<img src="https://certify.alexametrics.com/atrk.gif?account=53pUm1a4KM+2vg" style="display:none" height="1" width="1" alt="">

Phishing (tấn công giả mạo) là gì & Những gì bạn cần biết về Phishing

Đăng bởi Rick Yvanovich

Find me on:
vào

Khi khám phá những biển thông tin rộng lớn và xa lạ trên Internet, bạn cần phải cảnh giác vì sâu trong đó luôn ẩn chứa vô vàn nguy hiểm. Chúng ta hẳn cũng không mấy bất ngờ khi nghe câu: mạng Internet không phải là nơi an toàn. Nhưng khi nói về phishing (tấn công giả mạo; một dạng lừa đảo chiếm đoạt tài sản) thì cẩn thận có lẽ không bao giờ là đủ.

Nội dung:

Phishing (tấn công giả mạo) là gì & Những gì bạn cần biết về Phishing

Phishing (tấn công giả mạo) là gì?

Thuật ngữ "phishing" còn có cách gọi khác là "brand spoofing" (mạo danh thương hiệu) hay "carding" (đánh cắp thông tin thẻ) là một hình thức lừa đảo qua mạng bằng các chiêu trò để khiến cho người dùng tin rằng họ đang tương tác với các nguồn (website, thương hiệu, cơ quan chức năng, v.v.) chính thống.

Trên thực tế, phisher (đối tượng hay tổ chức lừa đảo) sẽ giả dạng thành một nguồn đáng tin cậy và khai thác người dùng theo nhiều cách khác nhau nhưng chủ yếu là gây tổn hại cho "con mồi" về mặt tài chính.

Đọc thêm: Transformers' và bài học về an ninh mạng doanh nghiệp

Phishing diễn ra như thế nào?

Một ví dụ điển hình của phishing là một email giả danh một tổ chức tài chính yêu cầu người nhận cung cấp thông tin đăng nhập và mật khẩu hoặc số thẻ tín dụng và mã bảo mật để xác thực.

Do bản chất là như vậy nên những email như thế thường ít nhiều cũng khiến bạn hoài nghi. Bạn có lẽ sẽ tự hỏi rằng có ai thực sự tin là ngân hàng cần thông tin thẻ tín dụng hay mật khẩu cá nhân hay không.

Bạn không hề sai đâu vì nhiều người sẽ nhận ra được mối nguy hiểm tiềm tàng đó nhưng nguyên lý của phishing là "thả dây dài để câu cá lớn", quá trình đó thường được thực hiện trên một phạm vi rộng. Thuật ngữ phishing bắt nguồn từ đó.

Đọc thêm: Vì sao vị trí Giám đốc Dữ liệu (CDO) ngày càng phổ biến?

Không phải ngẫu nhiên mà "phishing" gần giống với chữ "fishing" (câu cá). Giống như khi câu cá, bạn phải thả lưỡi câu có mắc mồi vào một cái hồ có hàng chục hay hàng trăm con cá mới câu được một con cá. Kẻ lừa đảo cũng không khác với người câu cá là mấy. Họ nhắm đến hàng ngàn người khác nhau chỉ để lừa được vài người cắn câu. Về nguyên tắc thì hai quá trình đó là giống nhau.

Phishing không phải là một mối đe dọa mới

Trong quyển Phishing Exposed (Phơi bày Phishing), các tác giả đã tóm tắt lại giai đoạn đầu của quá trình phishing như sau.

Một trong những chương trình phishing đầu tiên được phát triển ngay từ những ngày đầu mạng Internet ra đời để khai thác người dùng của AOL (America Online), tức là vào năm 1995. Phần mềm phishing đó đã giả mạo quản trị viên của AOL để trình bày rằng quá trình thanh toán đang gặp trục trặc dai dẳng nên người dùng cần làm mới một số thông tin của thẻ tín dụng của họ.

Do số lượng người dùng trực tuyến còn ít nên phương pháp đó cực kỳ hiệu quả. Nhưng cũng phải thừa nhận rằng đối với hầu hết người dùng ở thời điểm đó thì mạng Internet là một thứ hoàn toàn mới mẻ.

Số lượng email phising đã tăng mạnh vào năm 2003 khi mà khách hàng của những tổ chức tài chính lớn của Hoa Kỳ bị tấn công. Quá trình đó không phải do những thiên tài lừa đảo chuyên nghiệp thực hiện.

Đọc thêm: Bảo vệ dữ liệu trên đám mây: 5 lớp bảo mật của Infor CloudSuite

Họ cũng không tạo ra những công cụ tinh vi nào với mục đích thực hiện những kế hoạch phạm tội lớn vì những công cụ lúc bấy giờ đều khá dễ tiếp cận do phishing được xây dựng dựa trên nguyên tắc giống với email rác.

Những kẻ lừa đảo chỉ việc tạo ra những email càng giống với email chính thống càng tốt và tận dụng sự trợ giúp của một trong các phần mềm spam sẵn có. Yếu tố con người là yếu tố mà tường lửa và các phần mềm diệt vi rút không thể tác động lên.

Báo cáo của Hiệp hội Công Nghệ Máy Tính (CompTIA) chỉ ra rằng từ tháng 5 năm 2014 đến 2015, phishing đã gây thiệt hại lên đến gần 930 triệu USD chỉ tính riêng ở Mỹ. Rõ ràng là phishing đang cực kỳ phổ biến.

Dang ky nhan tin tu TRG Blog

Thống kê về phishing 

Sau đây là tổng hợp một vài số liệu về thực trạng của phishing: 

  • Có 165.772 website phishing bị báo cáo trong quý 1 của năm 2020
  • 85% các website phishing được kiểm tra và có kết quả tích cực bởi một nhà cung cấp chứng thực số đáng tin cậy (thể hiện bằng nút khóa màu xanh trên trình duyệt web)
  • Những mục tiêu tiêu biểu của phishing là các ứng dụng SaaS (tức những phần mềm ở dạng dịch vụ như Google Apps hay Dropbox), các trình duyệt email, các tổ chức tài chính và các cổng thanh toán
  • Gần đây Google đã chặn 100 triệu email phishing mỗi ngày. Trong đó, có 18 triệu email là những vụ lừa đảo liên quan đến COVID-19
  • 65% doanh nghiệp Hoa Kỳ là nạn nhân của một vụ tấn công giả mạo vào năm 2019
  • Apple là thương hiệu bị nhái để phục vụ cho phishing nhiều nhất trên thế giới, kế đó là Netflix và Paypal
  • Facebook là trang web bị giả mạo nhiều nhất thế giới
  • Trung bình, trong 99 email có 1 email là tấn công giả mạo, nghĩa là một nhân viên sẽ bị tấn công giả mạo gần 5 lần mỗi tuần

Phishing (tấn công giả mạo) là gì & Những gì bạn cần biết về Phishing

Các hình thức phishing 

Phishing có thể được phân thành nhiều loại. 

Theo mục tiêu 

1. Mọi người - hình thức này khá dễ hiểu và là hình thức phishing phổ biến nhất

Mục tiêu của hình thức này là tiếp cận được càng nhiều người càng tốt bằng cách nhái lại cái thương hiệu nổi tiếng như Apple và Google. Chỉ một số ít người sẽ phản hồi và có nguy cơ bị đánh cắp thông tin cá nhân hoặc chèn phần mềm độc hại (phần mềm cho phép truy cập trái phép vào một hệ thống). 

2. Nhóm người cụ thể - những kẻ lừa đảo sẽ tập trung vào những nhóm người nhất định chẳng hạn như khách hàng hay thành viên trong doanh nghiệp.

Những kẻ lừa đảo sẽ giả vờ như đang có quan hệ với nhóm người này. Ví dụ, kẻ lừa đảo có thể mạo danh nhà cung cấp và gửi hóa đơn giả đến công ty mục tiêu. Mục tiêu là để gây ra những thiệt hại về tài chính hoặc xâm nhập vào các hệ thống của tổ chức để khai thác sâu hơn những đối tác của tổ chức đó.

Cách tiếp cận này đòi hỏi phải có kĩ năng ở mức độ cao hơn và muốn thành công đòi hỏi phải nghiên cứu nhiều hơn là hình thức nhắm đến mọi người.

Đọc thêm: Làm thế nào để bảo vệ dữ liệu của bạn khi nhân viên thôi việc

3. Cá nhân - còn được gọi là "spear phishing" (phising mũi nhọn). Cách tiếp cận này tập trung vào một người cụ thể thường là quản lý hoặc quản trị hệ thống hay thậm chí là người nổi tiếng.

Cách tiếp cận này đòi hỏi phải có rất nhiều kĩ năng, chuẩn bị và nghiên cứu thật kĩ. Mục tiêu là để tiếp cận thông tin cá nhân và những tài khoản chứa nội dung giá trị hoặc gây thiệt hại nặng nề về tài chính. 

Các nhà sáng tạo của bộ phim điện ảnh Star Wars cho biết họ sợ bị rò rỉ thông tin về dự án phim sắp tới nên để phòng ngừa, họ đã quyết định viết kịch bản trên chiếc laptop không có khả năng kết nối Internet. Chứng tỏ rằng thậm chí một công ty có doanh thu hàng tỷ và có thể tạo ra bảo mật ở trình độ cao vẫn lo sợ về vấn nạn trộm nội dung thông qua khai thác yếu tố con người dưới hình thức phishing. 

Theo nền tảng 

1. Di động - tin nhắn và cuộc gọi giả mạo.

Chẳng hạn, một tổ chức tài chính nào đó nhắn tin hoặc gọi điện đến người dùng để báo rằng có người đang cố gắng lấy được thẻ tín dụng của họ vì thế họ cần cung cấp chi tiết thông tin thẻ tín dụng để xác thực chủ của thẻ.

2. Email - một email sẽ được gửi đến hộp thư của người dùng.

Ví dụ email có nội dung rằng người dùng đã trúng thưởng và chỉ cần trả bưu phí để nhận thưởng. 

3. Web - khi đang lướt web trên mạng, người dùng có thể sẽ gặp những web phishing giả mạo web chính chủ.

Ví dụ, người dùng tìm kiếm quần áo và sẽ tìm thấy trang web về thời trang của một thương hiệu chất lượng cao đang giảm giá siêu khủng, thúc giục khách hàng phải mua ngay nếu không quà tặng sẽ hết hạn. Đương nhiên trang web sẽ đánh cắp thông tin thẻ tín dụng nếu người dùng rơi vào chiếc bẫy đó. Hoặc trang Facebook giả mạo có thể sẽ lừa người dùng đăng nhập vào và ghi nhớ dữ liệu cũng như mật khẩu của họ.

Đọc thêm: Vai trò của mật khẩu trong bảo mật thông tin đã lỗi thời?

4. Mạng xã hội - người dùng sẽ nhận được một thông báo hay tin nhắn trực tiếp với nội dung rằng có ai nhắc đến họ trong một bài viết/ tweet để chuyển hướng họ đến web giả mạo.

Tương tự như ví dụ trên, người dùng sẽ được nhắc đến trong một bài viết khuyến mại cho một thương hiệu nào đó. Sau khi nhấp vào bài viết, người dùng sẽ bị chuyển hướng ra khỏi mạng xã hội và đến với một nền tảng giả mạo.

Các dấu hiệu cảnh báo

Lừa đảo diễn ra thường xuyên hơn chúng ta tưởng. Nhưng có một số quy tắc phổ quát có thể giúp bạn bảo vệ bản thân khỏi những mối nguy hại tiềm ẩn.

1. Không chia sẻ những thông tin cá nhân và thông tin tài chính hay thông tin đăng nhập

Đây là quy tắc quan trọng nhất khi sử dụng mạng Internet. 

Lời phủ bỏ trách nhiệm (disclaimer) ở cuối mỗi email của kênh chính chủ là để đính chính với người dùng rằng tổ chức đó không cần phải biết mật khẩu hay thông tin thẻ của người dùng thì mới có thể vận hành trôi chảy.

Nếu có người hỏi về thông tin đăng nhập của bạn dù có là người đáng tin cậy đi nữa thì hãy luôn luôn cẩn trọng và từ chối.

2. Không giao tiếp ở bên ngoài kênh chính thức

Các tổ chức dành những khoản chi phí rất lớn để cung cấp web và ứng dụng không chỉ để tạo ra trải nghiệm tuyệt vời mà còn tạo ra một không gian an toàn cho khách hàng. 

Những kẻ lừa đảo luôn muốn đưa người dùng đến nền tảng của chúng. Chúng sẽ sử dụng những cụm từ như "phản hồi email này" hay "Chỉ nhấp vào link này" vì chúng không muốn người dùng truy cập vào những web hay ứng dụng chính thức.

Chẳng hạn như bạn đang cài đặt tài khoản Paypal và nhận được email thông báo rằng giao dịch sẽ không thể được thực hiện. Thay vì làm theo những lời trong email, hãy đăng nhập lại vào app hoặc website và kiểm tra trạng thái tài khoản. Nếu có câu hỏi, hãy liên hệ hỗ trợ với kênh chính thức. 

3. Áp lực và cảm giác khẩn cấp

Những tin nhắn giả mạo luôn tạo ra cảm giác khẩn cấp và áp lực thúc giục người dùng phải nhanh chóng hành động.

Một ví dụ điển hình là một tổ chức tài chính gửi tin nhắn có nội dung là có người đang cố gắng sử dụng thẻ tín dụng của người dùng và để tránh những giao dịch trái phép thì chủ tài khoản cần phải xác thực. Vấn đề ở đây là nỗi sợ thiệt hại về tài chính sẽ khiến người ta không suy nghĩ thông suốt và phản hồi lại mà không hề do dự. Thật trớ trêu khi người ta tự đặt mình vào tình thế nguy hiểm.

Hãy dành thời gian kiểm tra độ xác thực của tin nhắn. Không được quyết định hấp tấp. 

Cũng giống như những đợt giảm giá khó tin. Nếu thứ gì hấp dẫn đến mức khó tin thì có khả năng là hoàn toàn ngược lại. 

4. Những nguồn đáng ngờ

Một số dấu hiệu có thể cho thấy người gửi tin không phải là một tổ chức đáng tin cậy.

Chẳng hạn như lỗi chính tả hay có các biểu tượng ở phần thân của địa chỉ email. Nếu tin nhắn được gửi từ “Facebok@yahho.net” hoặc "_google*@gmail.com" thì đó không phải là một tổ chức đáng tin cậy.

URL của đường dẫn trong tin nhắn cũng là một điểm cần lưu ý. Thường thì, những đường dẫn từ những tổ chức chính chủ thường rất ngắn gọn và đơn giản. Hãy so sánh hai đường dẫn sau đây. Đường dẫn thứ nhất dùng để lưu trữ mật khẩu bị quên của Apple ID và đường dẫn thứ hai là đường dẫn tự chế.

https://iforgot.apple.com/password/verify/appleid

 

https://apple_.passwordID.services.net/1f9YkoP8XvASC21InA7&

Cái nào làm bạn nghi ngờ hơn? 

Nếu địa chỉ URL chứa những chữ không có nghĩa, kí tự, số hoặc có vẻ khác với đường dẫn đầu tiên thì ít nhất phải có nghi vấn. 

Thỉnh thoảng vẫn có những kẻ lừa đảo tinh vi hơn và chúng sử dụng những địa chỉ URL rút gọn để ẩn đi đường dẫn đầy đủ. Để làm rõ hơn, chúng tôi sẽ rút gọn đường dẫn đến những bài blog của chúng tôi. Đầu tiên là đường dẫn bình thường và đường dẫn thứ hai đã được rút gọn bằng một ứng dụng khác.

https://blog.trginternational.com/how-hotels-can-achieve-competitive-advantage-with-business-intelligence

 

https://shorturl.at/HLPX4

Rất dễ để ẩn đi đường dẫn đầy đủ nhưng khi nhấp vào URL đã được rút gọn thì URL gốc sẽ hiện ra trên trình duyệt web. 

Bài viết này đã bao quát nội dung về chủ đề tấn công giả mạo (phishing) và tương tự như mọi xu hướng số khác, nó đang không ngừng phát triển. Và để biết thêm nhiều kiến thức hữu ích cũng như bảo vệ an toàn cho bản thân hoặc công ty của bạn khi trực tuyến, hãy đăng ký theo dõi TRG blog.

Đăng ký Blog của chúng tôi

Chủ đề: An ninh mạng, Xu hướng công nghệ, Digital Transformation

Sự kiện sắp tới:

Sự kiện:

Các bài viết mới nhất

Bài viết xem nhiều nhất

Mục tiêu & Sứ mệnh

RY - profile picture-1

 Rick Yvanovich
//Người sáng lập & Giám Đốc Điều Hành//

Với trang blog của TRG International, sứ mệnh của chúng tôi là trở thành người bạn đồng hành đáng tin cậy và là người có thể cung cấp các giải pháp hoạt động tối ưu cho doanh nghiệp bạn. Chúng tôi sẽ đảm bảo rằng chúng tôi giúp doanh nghiệp của bạn càng ngày càng phát triển lớn mạnh hơn.

Đăng ký nhận bài viết từ TRG

Kết nối với chúng tôi