PHISHING LÀ GÌ? 5 PHÚT NHẬN BIẾT & CHẶN ĐỨNG LỪA ĐẢO (Cập nhật 2025)

1. Phishing Là Gì?

Phishing (tấn công giả mạo) là một hình thức tấn công mạng, trong đó kẻ tấn công mạo danh một tổ chức hoặc cá nhân đáng tin cậy để lừa người dùng tiết lộ thông tin cá nhân nhạy cảm.

Thông tin mà tin tặc nhắm đến thường là:

• Tên đăng nhập và mật khẩu
• Thông tin tài khoản ngân hàng
• Số thẻ tín dụng
• Mã số an sinh xã hội

Kẻ tấn công thường sử dụng email, tin nhắn văn bản hoặc các trang web giả mạo để thực hiện hành vi lừa đảo. Khi người dùng truy cập vào các trang web giả mạo này và nhập thông tin cá nhân, tin tặc sẽ thu thập được những thông tin đó.

Thuật ngữ “Phishing” xuất hiện lần đầu vào năm 1987, là sự kết hợp của “fishing for information” (câu thông tin) và “phreaking” (lừa đảo qua điện thoại).

2. Các Phương Thức Tấn Công Phishing Phổ Biến

Có rất nhiều cách thức mà tin tặc sử dụng để thực hiện các cuộc tấn công Phishing. Dưới đây là một số phương pháp phổ biến:

2.1. Giả mạo Email

Đây là một trong những kỹ thuật Phishing cơ bản và phổ biến nhất. Kẻ tấn công gửi email cho người dùng, giả mạo là một tổ chức uy tín, chẳng hạn như ngân hàng, công ty thẻ tín dụng hoặc nhà cung cấp dịch vụ trực tuyến. Email này thường chứa một liên kết (link) dẫn đến một trang web giả mạo, nơi người dùng được yêu cầu nhập thông tin cá nhân của họ.

Để tăng tính thuyết phục, tin tặc thường sử dụng các kỹ thuật sau:

• Địa chỉ email giả mạo: Thay đổi nhỏ trong địa chỉ email gửi để trông giống thật (ví dụ: thay “sales.congtyA@gmail.com” thành “sale.congtyA@gmail.com”).
• Sử dụng logo và hình ảnh chính thức: Chèn logo và hình ảnh của tổ chức bị mạo danh để tạo sự tin tưởng.
• Thiết kế giao diện giống hệt: Tạo các cửa sổ pop-up, biểu mẫu đăng nhập có thiết kế giống hệt trang web chính thức.
• Giả mạo đường dẫn (link): Sử dụng kỹ thuật che giấu URL thực tế, hiển thị một đường dẫn quen thuộc nhưng lại dẫn đến trang web giả mạo (ví dụ: hiển thị “vietcombank.com.vn” nhưng khi nhấp vào lại dẫn đến “vietconbank.com.vn”).

2.2. Giả mạo Website

Trong tấn công Phishing, việc giả mạo website thường là tạo ra một trang đích (landing page) giả mạo, đặc biệt là trang đăng nhập. Trang web giả mạo này được thiết kế sao cho giống hệt trang web thật, từ giao diện đến bố cục, khiến người dùng khó phân biệt.

Một số đặc điểm nhận dạng trang web giả mạo:

• Thiết kế tương đồng: Giao diện giống đến 99% so với trang web gốc.
• URL tương tự: Đường dẫn (URL) chỉ khác một vài ký tự nhỏ (ví dụ: “reddit.com” (thật) so với “redit.com” (giả), “google.com” so với “gugle.com”).
• Lời kêu gọi hành động: Thường có các thông điệp thúc giục người dùng nhập thông tin cá nhân (ví dụ: “Xác nhận tài khoản”, “Cập nhật thông tin”).

2.3. Vượt Qua Bộ Lọc Phishing

Các nhà cung cấp dịch vụ email như Google và Microsoft đã triển khai các bộ lọc spam/phishing để bảo vệ người dùng. Tuy nhiên, tin tặc ngày càng tinh vi hơn trong việc vượt qua các bộ lọc này.

Một trong những kỹ thuật được sử dụng là sử dụng hình ảnh hoặc video thay vì văn bản (text) trong email. Điều này gây khó khăn cho các bộ lọc, vì chúng thường dựa vào việc phân tích văn bản để phát hiện các dấu hiệu của Phishing.

3. Cách Phòng Chống Phishing Hiệu Quả

3.1. Đối Với Cá Nhân

• Cẩn trọng với email yêu cầu thông tin cá nhân: Luôn nghi ngờ các email yêu cầu bạn nhập thông tin nhạy cảm, đặc biệt là khi chúng mang tính khẩn cấp hoặc đe dọa.
• Kiểm tra kỹ đường dẫn (link): Trước khi nhấp vào bất kỳ liên kết nào trong email, hãy kiểm tra kỹ xem nó có dẫn đến trang web chính thức của tổ chức hay không.
• Không cung cấp thông tin cá nhân qua email: Các tổ chức uy tín sẽ không bao giờ yêu cầu bạn cung cấp thông tin nhạy cảm qua email.
• Sử dụng mật khẩu mạnh và duy nhất: Sử dụng mật khẩu mạnh, phức tạp và khác nhau cho từng tài khoản trực tuyến.
• Bật xác thực hai yếu tố (2FA): Bật xác thực hai yếu tố bất cứ khi nào có thể để tăng cường bảo mật cho tài khoản của bạn.
• Cập nhật phần mềm diệt virus và tường lửa: Đảm bảo rằng phần mềm diệt virus và tường lửa của bạn luôn được cập nhật phiên bản mới nhất.
• Báo cáo email Phishing: Chuyển tiếp các email lừa đảo đến spam@uce.gov hoặc reportphishing@antiphishing.org để giúp ngăn chặn các cuộc tấn công Phishing khác.

3.2. Đối Với Tổ Chức, Doanh Nghiệp

• Đào tạo nhân viên: Nâng cao nhận thức của nhân viên về các mối đe dọa Phishing và cách phòng tránh.
• Sử dụng G-suite cho doanh nghiệp: Sử dụng các dịch vụ email doanh nghiệp có tính năng bảo mật nâng cao.
• Triển khai bộ lọc SPAM: Sử dụng bộ lọc SPAM để ngăn chặn các email lừa đảo xâm nhập vào hộp thư đến của nhân viên.
• Cập nhật phần mềm và ứng dụng: Thường xuyên cập nhật các phần mềm và ứng dụng để vá các lỗ hổng bảo mật.
• Bảo mật thông tin nhạy cảm: Thực hiện các biện pháp bảo mật nghiêm ngặt để bảo vệ thông tin nhạy cảm của tổ chức.

4. Dấu Hiệu Nhận Biết Email Lừa Đảo

• Yêu cầu xác thực tài khoản: Các trang web hợp pháp không bao giờ yêu cầu bạn gửi mật khẩu hoặc thông tin cá nhân qua email.
• Thông báo khẩn cấp: Các email lừa đảo thường tạo ra cảm giác cấp bách để bạn hành động ngay lập tức mà không cần suy nghĩ.
• Chào hỏi chung chung: Các email lừa đảo thường sử dụng cách chào hỏi chung chung như “Kính gửi khách hàng” thay vì tên riêng của bạn.
• Liên kết đáng ngờ: Các liên kết trong email có thể dẫn đến các trang web giả mạo hoặc chứa mã độc.

5. Các Công Cụ Hữu Ích Giúp Phòng Chống Phishing

• SpoofGuard: Plugin trình duyệt giúp phát hiện và cảnh báo các trang web Phishing.
• Anti-phishing Domain Advisor: Toolbar cảnh báo các trang web lừa đảo dựa trên dữ liệu của Panda Security.
• Netcraft Anti-phishing Extension: Tiện ích mở rộng chống Phishing với nhiều tính năng cảnh báo thông minh.

Phishing là một mối đe dọa an ninh mạng ngày càng tinh vi và nguy hiểm. Bằng cách nâng cao nhận thức và thực hiện các biện pháp phòng ngừa thích hợp, bạn có thể bảo vệ bản thân và tổ chức của mình khỏi các cuộc tấn công Phishing.