Phishing là gì? 5 hình thức tấn công phổ biến và cách phòng chống hiệu quả

Phishing là một hình thức tấn công mạng lợi dụng sự tin tưởng của người dùng để đánh cắp thông tin nhạy cảm như tài khoản, mật khẩu hoặc dữ liệu tài chính. Trong bài viết này, mình sẽ chia sẻ chi tiết về khái niệm Phishing, các phương thức tấn công phổ biến cũng như những giải pháp hiệu quả giúp bạn phòng chống Phishing trong môi trường số.’

Điểm chính cần nắm

• Định nghĩa Phishing là gì: Phishing là hình thức tấn công mạng phổ biến, kẻ xấu mạo danh tổ chức uy tín để lừa người dùng cung cấp thông tin nhạy cảm như tài khoản, mật khẩu hoặc chi tiết thẻ tín dụng.
• Các kỹ thuật Phishing phổ biến: Phishing hiện nay gồm nhiều hình thức như email giả mạo, làm giả website, vượt bộ lọc bảo mật, tấn công qua SMS và lừa đảo bằng giọng nói, nhằm đánh cắp thông tin người dùng hiệu quả hơn.
• Cách phòng chống Phishing hiệu quả: Cá nhân cần nâng cao nhận thức, kiểm tra kỹ email và liên kết đáng ngờ. Tổ chức nên áp dụng giải pháp bảo mật như Firewall, đào tạo nhân viên và cập nhật hệ thống thường xuyên để giảm thiểu rủi ro.
• Hướng dẫn nhận biết email lừa đảo: Email lừa đảo thường mạo danh tổ chức uy tín, yêu cầu cung cấp thông tin nhạy cảm hoặc hành động khẩn cấp. Các dấu hiệu gồm lời chào chung chung, liên kết giả mạo hoặc cảnh báo thời gian ngắn.
• Một số cuộc tấn công Phishing tiêu biểu: Các vụ tấn công nổi bật gồm việc John Podesta bị lừa lấy mật khẩu Gmail (2016), vụ “Fappening” làm lộ ảnh nhạy cảm của celeb qua phishing iCloud, và nhân viên Đại học Kansas bị đánh cắp thông tin tiền lương.
• Khái niệm Phishing kit là gì: Phishing kit là công cụ hỗ trợ hacker tấn công mạng dễ dàng, gồm tài nguyên web và mailing list, thường giao dịch trên dark web, với 27% được tái sử dụng trên nhiều host để giả mạo thương hiệu uy tín.
• Mục tiêu của Phishing là gì: Phishing nhằm đánh cắp thông tin nhạy cảm, phát tán phần mềm độc hại và thực hiện các cuộc tấn công có mục tiêu như spear phishing (nhắm vào cá nhân) hoặc whaling (nhắm vào lãnh đạo cấp cao).
• Lý do gia tăng tấn công Phishing: Hacker lợi dụng khả năng giả mạo, tạo cảm giác cấp bách và các cuộc khủng hoảng như COVID-19 để lừa nạn nhân, khiến họ dễ mắc bẫy qua email giả mạo, từ đó đánh cắp thông tin hoặc phát tán mã độc.
• Vietnix – Giải pháp công nghệ toàn diện: Vietnix, với 13 năm kinh nghiệm, dẫn đầu trong Hosting, VPS, Máy chủ và Firewall tại Việt Nam, cung cấp dịch vụ hiệu quả, an toàn, hỗ trợ 24/7, và được hơn 80.000 đối tác tin cậy.
• Giải đáp các thắc mắc liên quan đến Phishing là gì: Giúp bạn hiểu rõ khái niệm phishing, cách thức hoạt động, những dấu hiệu nhận biết, các loại hình phổ biến và biện pháp phòng tránh hiệu quả để bảo vệ thông tin cá nhân và tài khoản của mình.

Phishing là gì?

Phishing (tấn công giả mạo) là một dạng tấn công mạng phổ biến, trong đó kẻ xấu mạo danh các tổ chức uy tín để đánh lừa người dùng cung cấp thông tin cá nhân. Tin tặc thường sử dụng danh nghĩa ngân hàng, nền tảng giao dịch trực tuyến, hoặc ví điện tử để lấy cắp các dữ liệu quan trọng như tài khoản đăng nhập, mật khẩu, mã giao dịch, và thẻ tín dụng.

Hình thức tấn công này chủ yếu được thực hiện qua email hoặc tin nhắn, với các đường liên kết giả mạo dẫn đến trang đăng nhập. Khi người dùng nhập thông tin, kẻ tấn công sẽ khai thác dữ liệu ngay lập tức. Thuật ngữ Phishing xuất hiện lần đầu năm 1987, bắt nguồn từ “fishing for information” (câu thông tin) và “phreaking” (chiếm dụng dịch vụ điện thoại miễn phí), phản ánh sự tương đồng giữa việc “câu cá” và “câu dữ liệu” từ người dùng.

1. Tấn công qua Phishing email là gì?

Phishing email là một trong những phương thức cơ bản mà tin tặc sử dụng trong các cuộc tấn công Phishing. Bằng cách gửi email mang danh các tổ chức uy tín, kẻ xấu dụ dỗ người dùng truy cập vào các trang web giả mạo để đánh cắp thông tin cá nhân.

Các email này thường được thiết kế tinh vi, gần giống email thật ngoại trừ vài chi tiết nhỏ, khiến người nhận dễ mắc bẫy. Để tăng độ đáng tin cậy, tin tặc thường triển khai các chiêu thức như:

• Thay đổi nhẹ địa chỉ email người gửi để đánh lừa nạn nhân (ví dụ: thay đổi một ký tự trong tên miền).
• Sử dụng logo chính thức hoặc hình ảnh thương hiệu của tổ chức.
• Tạo các cửa sổ pop-up tương tự bản gốc về giao diện và thiết kế.
• Chèn các liên kết giả (ví dụ: hiển thị vietcombank.com.vn nhưng liên kết dẫn đến vietconbank.com.vn).
• Tận dụng các yếu tố trực quan của thương hiệu để làm tăng tính thuyết phục cho email.

2. Làm giả toàn bộ website

Trong tấn công Phishing, tin tặc không làm giả toàn bộ website mà chỉ tạo một landing page, thường là trang đăng nhập, để đánh cắp thông tin của nạn nhân. Những trang giả mạo này thường mang các đặc điểm sau:

• Giao diện được sao chép gần như hoàn toàn, giống đến 99% với trang chính thức.
• Đường dẫn (URL) thường bị thay đổi rất nhỏ, ví dụ: google.com (thật) bị đổi thành gugle.com hoặc microsoft.com thành verify-microsoft.com.
• Các thông điệp hấp dẫn hoặc khẩn cấp được chèn vào để thúc đẩy người dùng nhập dữ liệu cá nhân.

3. Vượt qua các bộ lọc Phishing

Google, Microsoft và các nhà cung cấp dịch vụ email khác đã triển khai các bộ lọc chống spam và phishing để bảo vệ người dùng. Những bộ lọc này nhận diện email lừa đảo thông qua việc phân tích nội dung văn bản. Tuy nhiên, kẻ tấn công đã cải tiến cách thức hoạt động của mình bằng việc sử dụng hình ảnh hoặc video để thực hiện các chiến dịch phishing tinh vi hơn. Do đó, người dùng cần luôn thận trọng để tránh trở thành nạn nhân.

4. Smishing là gì?

Smishing hay còn gọi là tấn công phishing qua tin nhắn SMS, là một hình thức tấn công lừa đảo sử dụng tin nhắn từ điện thoại di động hoặc smartphone để gửi các thông điệp “mồi nhử”.

Trong các cuộc tấn công này, nạn nhân thường được yêu cầu nhấp vào một liên kết, gọi đến một số điện thoại, hoặc liên hệ qua email do kẻ tấn công cung cấp. Sau đó, họ có thể bị yêu cầu cung cấp các thông tin cá nhân, chẳng hạn như thông tin đăng nhập hoặc mật khẩu cho các tài khoản trực tuyến.

Smishing có thể hiệu quả tương đương với các cuộc tấn công phishing qua email, đặc biệt khi hầu hết smartphone hiện nay đều được kết nối internet tốc độ cao. Ngoài ra, các tin nhắn Smishing thường được gửi từ những số điện thoại lạ hoặc không xác định, làm tăng khả năng lừa đảo.

5. Lừa đảo qua giọng nói

Vishing (hay Voice Phishing) là hình thức lừa đảo qua giọng nói, trong đó kẻ tấn công sử dụng công nghệ Voice over IP (VoIP) để thực hiện các cuộc gọi tự động đến nhiều người cùng lúc. Thông qua các công cụ chuyển đổi văn bản thành giọng nói, chúng tạo ra các cuộc gọi giả danh từ ngân hàng hoặc tổ chức uy tín, thông báo về các hoạt động gian lận trên tài khoản của nạn nhân.

Kẻ tấn công thường giả mạo số điện thoại để hiển thị như thể cuộc gọi đến từ một ngân hàng hoặc tổ chức hợp pháp. Sau đó, nạn nhân được yêu cầu nhập thông tin nhạy cảm (chẳng hạn như mã PIN, số tài khoản, hoặc mật khẩu), hoặc được kết nối với một người thật để thực hiện các thủ đoạn social engineering (kỹ thuật thao túng tâm lý) nhằm đánh cắp thông tin cá nhân.

1. Đối với cá nhân

Để bảo vệ mình khỏi các cuộc tấn công Phishing trên Internet, vốn nhằm đánh cắp thông tin cá nhân và dữ liệu quan trọng của bạn, hãy tuân thủ các nguyên tắc sau:

• Đừng vội tin các email yêu cầu nhập thông tin nhạy cảm, đặc biệt khi nội dung có vẻ khẩn cấp hoặc hấp dẫn. Ví dụ: nếu bạn nhận được email từ ngân hàng thông báo hoàn tiền sau khi mua sắm trực tuyến, yêu cầu bạn nhập thông tin thẻ, hãy suy xét kỹ trước khi hành động.
• Không nhấp vào bất kỳ liên kết nào trong email nếu bạn không chắc chắn rằng nó an toàn.
• Tránh gửi bất kỳ thông tin bí mật nào qua email.
• Đừng trả lời những email lừa đảo, scam. Tin tặc thường cung cấp số điện thoại để bạn gọi lại, sử dụng công nghệ VoIP để giấu danh tính và không để lại dấu vết.
• Luôn sử dụng Tường lửa và phần mềm diệt virus, đồng thời đảm bảo các công cụ này được cập nhật thường xuyên.
• Báo cáo các email rác hoặc Phishing bằng cách chuyển tiếp đến spam@uce.gov hoặc gửi đến reportphishing@antiphishing.org, tổ chức chuyên hỗ trợ phòng chống các cuộc tấn công kiểu này.

2. Đối với các tổ chức

Các tổ chức và doanh nghiệp cần thực hiện các biện pháp bảo mật nghiêm ngặt để đảm bảo an toàn trước các hiểm họa từ tấn công Phishing. Một số giải pháp bao gồm:

• Đào tạo nhân viên thông qua các buổi tập huấn định kỳ, giúp họ nâng cao kỹ năng sử dụng internet an toàn và khả năng nhận diện các tình huống giả mạo.
• Ưu tiên sử dụng G-Suite cho doanh nghiệp thay vì Gmail miễn phí, vì tài khoản miễn phí có nguy cơ bị giả mạo cao hơn.
• Áp dụng hệ thống lọc thư rác để ngăn chặn email lừa đảo.
• Thường xuyên cập nhật phần mềm và ứng dụng trong hệ thống để hạn chế các điểm yếu về bảo mật mà kẻ tấn công có thể khai thác.
• Đảm bảo thông tin quan trọng và nhạy cảm được bảo mật bằng các phương pháp chủ động.

Hướng dẫn nhận biết 1 email lừa đảo

Dưới đây là cách một cuộc tấn công phishing thường được thực hiện:

Một email giả mạo với địa chỉ hiển thị dường như đến từ myuniversity.edu được gửi hàng loạt đến càng nhiều giảng viên càng tốt. Trong nội dung email, kẻ tấn công tuyên bố rằng mật khẩu của người dùng sắp hết hạn. Sau đó, email hướng dẫn người nhận truy cập vào liên kết myuniversity.edu/renewal để gia hạn mật khẩu trong vòng 24 giờ.

Đây là một chiêu trò phổ biến để đánh cắp thông tin đăng nhập, khi đường dẫn có thể được ngụy trang để dẫn đến một trang web giả mạo được thiết kế trông giống với trang chính thức của trường đại học. Người dùng cần đặc biệt cảnh giác với các email yêu cầu hành động trong thời gian ngắn hoặc liên quan đến thông tin nhạy cảm.

Ban đầu, email giả mạo có vẻ giống hệt email chính thức, nhưng trên thực tế, chúng thường ẩn chứa nhiều dấu hiệu bất thường. Dưới đây là một số cụm từ phổ biến thường xuất hiện trong các email hoặc tin nhắn lừa đảo:

• “Xác nhận tài khoản của bạn” / “Verify your account”: Những dịch vụ uy tín sẽ không bao giờ yêu cầu bạn cung cấp thông tin nhạy cảm như mật khẩu hoặc tài khoản qua email.
• “Nếu bạn không trả lời trong 48 giờ, tài khoản của bạn sẽ bị khóa” / “If you don’t respond within 48 hours, your account will be closed.”: Đây là chiêu trò tạo áp lực thời gian, khiến bạn hành động ngay mà không kiểm tra tính xác thực.
• “Dear Valued Customer.” / “Kính gửi Quý khách hàng”: Tin nhắn lừa đảo thường không cá nhân hóa nội dung và chỉ sử dụng các lời chào chung chung thay vì ghi rõ tên người nhận.
• “Nhấp vào liên kết dưới đây để truy cập tài khoản” / “Click the link below to gain access to your account.”: Các liên kết này thường được ngụy trang cẩn thận, khiến bạn tin rằng chúng dẫn đến trang web chính thức. Tuy nhiên, chúng thực sự đưa bạn đến các trang web giả mạo để đánh cắp thông tin cá nhân.

Một số cuộc tấn công Phishing tiêu biểu

• Một trong những cuộc tấn công phishing có hậu quả nặng nề nhất đã xảy ra vào năm 2016. Khi đó, các hacker đã khiến người cầm đầu diến dịch Hilary Clinton – John Podesta, phải cung cấp mật khẩu Gmail của mình.
• Cuộc tấn công “fappening”, trong đó những bức ảnh nhạy cảm của nhiều celeb đã bị công khai. Ban đầu, người ta cho rằng đó là do lỗi bảo mật từ server iCloud của Apple. Tuy nhiên, đó thật ra lại là hậu quả của nhiều đợt tấn công phishing.
• Năm 2016, các nhân viên của trường Đại học Kansas đã phản hồi một email lừa đảo. Sau đó vô tình trao quyền truy cập vào thông tin tiền lương của họ.

Phishing kit là gì?

Phishing kit giúp các hacker dễ dàng thực hiện tấn công mạng hơn. Ngoài ra, nó cũng không yêu cầu nhiều kỹ năng, kỹ thuật phức tạp để có thể sử dụng. Một bộ phishing kit gồm các tài nguyên web và các công cụ chỉ cần cài đặt trên server. Sau đó, các hacker chỉ cần email đến những con mồi tiềm năng. Phishing kit cũng như mailing list luôn có sẵn ở trên dark web. Một số trang web như Phishtank và OpenPhish cũng có các danh sách dày đặc những bộ phishing kit.

Một số phishing kit cho phép hacker giả mạo các thương hiệu đáng tin cậy. Do đó sẽ tăng cơ hội cho ai đó nhấp vào liên kết gian lận này. Theo nghiên cứu của Akamai, có đến 62 loại kit khác nhau cho Microsoft. Con số này với PayPal là 14, 7 cho DHL và 11 cho Dropbox.

Duo Labs cũng cho xuất bản một báo cáo về việc tái sử dụng các phishing kit. Trong khoảng 3200 phishing kit được Duo phát hiện, có 900 (27%) kit được tìm thấy ở trên nhiều hơn 1 host. Con số còn có thể cao hơn như vậy. “Tại sao chúng ta không tỷ lệ tái sử dụng kit cao hơn?

Có lẽ vì chúng ta đang đo dựa trên hash SHA1 của kit. Một thay đổi nhỏ trong một file của kit cũng sẽ xuất hiện ở dạng hai kit riêng biệt. Mặc dù về bản chất, chúng giống nhau hoàn toàn.” Jordan Wright, kỹ sư cao cấp R&D tại Duo, đồng thời cũng là tác giả bản báo cáo, cho biết.

Việc phân tích phishing kit cho phép các nhóm bảo mật theo dõi những người đang sử dụng chúng. “Một trong những thông tin hữu ích nhất ta có thể khai thác được là nơi gửi thông tin đăng nhập. Bằng cách theo dõi các địa chỉ email được tìm thấy trong phishing kit, ta có thể tìm ra các đối tượng liên quan đến những chiến lược, hoặc kit cụ thể.

Ông Wright cho biết. “Thậm chí nó còn có thể làm được nhiều hơn thế. Chúng ta còn có thể thấy được nơi thông tin đăng nhập được gửi. Ngoài ra còn cả nơi gửi thông tin xác thực yêu cầu. Những kẻ tạo ra phishing kit thường sử dụng header ‘From’ như một tấm thiệp. Do đó ta có thể tìm ra được nhiều phishing kit được tạo ra bởi cùng một người.”

Hiện nay, có rất nhiều kỹ thuật phishing khác nhau. Chúng tôi sẽ phân biệt chúng dựa trên mục đích tấn công. Thông thường, một chiến dịch phishing sẽ cố gắng khiến nạn nhân thực hiện một trong hai điều sau:

1. Đưa ra các thông tin nhạy cảm

Các thông báo giả mạo sẽ lừa người dùng tiết lộ dữ liệu quan trọng. Thường là username hay password để hacker có thể sử dụng đăng nhập vào một hệ thống hay tài khoản.

Phiên bản cổ điển của hình thức này liên quan đến việc gửi email được thiết kế riêng. Sao cho giống như một thông báo từ một ngân hàng lớn. Sau đó gửi thông báo đến hàng triệu người khác nhau, chắc chắn sẽ có ít nhất một người là khách hàng của ngân hàng đó.

Sau đó, nạn nhân này sẽ nhấp vào một liên kết trong tin nhắn, điều hướng đến trang web giả mạo và được thiết kế giống với trang web ngân hàng. Khi nạn nhân đã nhập username và password trên trang web này, hacker có thể truy cập được vào tài khoản của nạn nhân.

2. Tải phần mềm độc hại

Các email lừa đảo thường được thiết kế để dụ dỗ nạn nhân thực hiện hành động khiến máy tính của họ bị nhiễm phần mềm độc hại (malware). Điều này có thể xảy ra thông qua việc tải xuống tệp đính kèm, nhấp vào liên kết độc hại hoặc nhập thông tin nhạy cảm vào các trang web giả mạo.

Thống kê cho thấy 93% email lừa đảo chứa tệp đính kèm có ransomware – một loại phần mềm độc hại mã hóa dữ liệu của nạn nhân và yêu cầu tiền chuộc để khôi phục. Điều này cho thấy mức độ phổ biến của ransomeware trong các cuộc tấn công qua email.

Máy tính bị nhiễm ransomware không chỉ gây mất dữ liệu mà còn ảnh hưởng nghiêm trọng đến hoạt động của cá nhân hoặc doanh nghiệp, đặc biệt nếu không có bản sao lưu dữ liệu.

3. Không có mục tiêu cố định

Các email phishing có thể nhằm vào nhiều mục tiêu khác nhau. Nhưng như chúng tôi đã nói, nhiều email không có mục tiêu cụ thể. Các email này được gửi đến hàng triệu người ngẫu nhiên, cố lừa họ đăng nhập vào các phiên bản giả mạo của những trang web phổ biển.

Trong số hơn 50.000 trang đăng nhập giả mạo, Ironscales đã chỉ ra các thương hiệu được dùng nhiều nhất bởi hacker:

• PayPal :22%
• Microsoft: 19%
• Facebook: 15%
• eBay: 6%
• Amazon: 3%

4. Spear phishing

Khi các hacker cố gắng gửi thông báo để thu hút một cá nhân cụ thể, đó được gọi là spear phishing. (Đây là hình ảnh ẩn dụ của một người câu cá đang nhắm đến một con xác định, không để ý những con khác). Các hacker xác định mục tiêu (thường sử dụng thông tin trên LinkedIn) và giả mạo các địa chỉ để gửi email đến.

Trong đó, một hacker spear phishing có thể nhắm đến ai đó trong một bộ phận tại chính. Sau đó, chúng sẽ giả vở là người quản lý của nạn nhân. Rồi yêu cầu chuyển khoản gấp đến một ngân hàng lớn.

5. Whaling

Whaling là một hình thức của spear phishing, nhằm vào những “con cá” rất lớn. Có thể là các CEO hay những mục tiêu giá trị khác. Các cuộc tấn công này thường nhằm vào những người thuộc Hội đồng quản trị của công ty. Họ có nhiều thẩm quyền trong công ty, nhưng lại không phải là nhân viên toàn thời gian. Do đó thường sử dụng các email cá nhân để làm việc. Các email này lại thường không được trang bị biện pháp bảo vệ như email công ty.

Việc thu thập đủ thông tin để lừa mục tiêu có thể tốn nhiều thời gian, nhưng lợi nhuận thu được là cực kỳ lớn. Ngoài ra, còn có nhiều hình thức khác của phishing. Chẳng hạn như clone phishing, vishing, snowshoeing…

Lý do cho sự gia tăng của tấn công lừa đảo (phishing) là gì?

Các hacker thường dựa vào khả năng giả mạo, lừa gạt và tạo cảm giác cấp bách, làm nạn nhân bối rối và dễ dàng thành công. Các cuộc khủng hoảng như đại dịch COVID-19 lại mang đến cho những hacker một cơ hội lớn để thực hiện phishing.

Trong thời kỳ đại dịch, tất cả mọi người đều mong muốn có được thông tin nhanh chóng. Những nhân viên thì mong đợi thông báo từ những người quản lý hay chính phủ…Khi đó, một email giả tạo, có vẻ uy tín, cung cấp thông tin, hướng dẫn để thực hiện việc nào đó…thường sẽ dễ đánh lừa người dùng hơn. Chỉ cần một cú click chuột, mọi thông tin, thiết bị đều sẽ bị nhiễm mã độc.

Đây là một ví dụ về chiến dịch phishing của Mimecast, cố gắng đánh cắp thông tin từ tài khoản OneDrive của nạn nhân. Các hacker đã lợi dụng thông tin về COVID-19 để giả mạo các email.

Hay thậm chí là email giả mạo cách chữa trị COVID-19. Ứng dụng này, tất nhiên, chính là một malware.

Vietnix – Nhà cung cấp giải pháp công nghệ hàng đầu

Với hơn 13 năm kinh nghiệm, Vietnix tự hào là đơn vị tiên phong trong lĩnh vực Hosting, VPS, Tên miền, Máy chủ, và Firewall tại Việt Nam. Chúng tôi cung cấp các giải pháp công nghệ toàn diện như Firewall độc quyền, VPS tốc độ cao, Hosting ổn định, và nhiều dịch vụ khác, giúp doanh nghiệp vận hành hệ thống một cách an toàn, tối ưu và hiệu quả.

Vietnix không chỉ tập trung vào chất lượng sản phẩm mà còn đặt sự hài lòng của khách hàng làm ưu tiên hàng đầu. Với đội ngũ kỹ thuật chuyên nghiệp hỗ trợ 24/7, chúng tôi đã trở thành đối tác đáng tin cậy của hơn 80.000 doanh nghiệp trong và ngoài nước.

Thông tin liên hệ:

• Địa chỉ: 265 Hồng Lạc, Phường 10, Quận Tân Bình, Thành Phố Hồ Chí Minh
• Hotline: 1800 1093
• Email: sales@vietnix.com.vn
• Website: https://vietnix.vn/ 

Trên đây là toàn bộ chia sẻ của mình về Phishing là gì, cách nhận biết và các biện pháp phòng chống hiệu quả. Có thể thấy, Phishing không chỉ là một mối đe dọa phổ biến trong môi trường số hiện nay mà còn là vấn đề đòi hỏi các doanh nghiệp và cá nhân phải cảnh giác cao độ để bảo vệ dữ liệu và tài sản của mình. Việc áp dụng các giải pháp bảo mật hiện đại cùng nâng cao nhận thức về an ninh mạng là yếu tố then chốt để giảm thiểu rủi ro từ các cuộc tấn công này. Nếu bạn muốn tìm hiểu thêm về các kiến thức chuyên sâu về bảo mật và an ninh mạng, hãy tham khảo một số bài viết hữu ích dưới đây của mình: