Phishing là gì? Có các loại Phishing phổ biến nào?

Giả mạo các tổ chức doanh nghiệp lớn để lừa gạt khách hàng là một trong những thách thức lớn đối với an ninh mạng trong thời đại công nghệ phát triển hiện nay. Có thể gọi đây là hình thức tấn công Phishing. Để tránh bị lừa đảo, các bạn hãy cùng Tino Group tìm hiểu chi tiết về Phishing qua bài viết dưới đây nhé!

Phishing là gì?

Định nghĩa Phishing

Phishing hay Tấn công giả mạo là một hình thức lừa đảo được thực hiện bởi các hacker bằng cách giả mạo một đơn vị doanh nghiệp uy tín để lừa khách hàng cung cấp một số thông tin nhạy cảm như tên đăng nhập, mật khẩu, thẻ tín dụng,…và mục đích cuối cùng là chiếm đoạt tài sản.

Thông thường, các hacker sẽ thực hiện tấn công thông qua email và tin nhắn cá nhân. Khi click vào đường link giả mạo trên email, người dùng sẽ được yêu cầu đăng nhập hoặc đại loại như vậy. Nếu người dùng mắc bẫy, những hacker đó sẽ có được thông tin ngay tức thì.

Lịch sử ra đời của Phishing

Hình thức tấn công Phishing được mô tả lần đầu trên một tạp chí Khoa học vào năm 1987. Đến đầu năm 1996, thuật ngữ Phishing mới chính thức xuất hiện trong cộng đồng internet. Tên gọi “Phishing” có thể hiểu là sự kết hợp giữa từ Fishing (nghĩa là Câu cá) và từ Phreaking ( một trò lừa đảo để sử dụng điện thoại của người khác mà không trả phí).

Các cuộc tấn công Phishing ngày càng phổ biến khi thị trường tiền điện tử bùng nổ. Khi đó, hacker thực hiện chiếm đoạt tài sản điện tử bằng cách xây dựng một trang web giả giống hệt như trang web thật và đồng thời đổi địa chỉ ví trên đó thành địa chỉ ví của hắn. Điều này khiến người dùng tưởng rằng họ đang giao dịch an toàn nhưng lại không biết tài sản của mình đang bị đánh cắp.

Những hình thức tấn công Phishing phổ biến

Tấn công Phishing được thực hiện với nhiều hình thức khác nhau, trong đó ba hình thức phổ biến nhất là: Lừa đảo qua website và lừa đảo qua email.

Lừa đảo qua website

Với hình thức này, các hacker sẽ sử dụng những trang web giả, web độc hại để đánh cấp thông tin người dùng. Lừa đảo qua website bao gồm những dạng sau đây.

Pharming

Các cuộc tấn công Pharming sẽ chuyển hướng lưu lượng truy cập của người dùng đến một trang web độc hại đang mạo danh trang web nào đó bằng cách khai thác các lỗ hổng trong hệ thống trùng với tên miền và địa chỉ IP.

Sửa đổi URL

URL của các trang web giả mạo được chỉnh sửa một cách tinh tế trông giống như URL của trang web thật.

Mục đích của hình thức này là tận dụng lỗi đánh máy khi người dùng nhập URL vào thanh địa chỉ trình duyệt của họ.

Ví dụ, họ có thể:

• Viết sai chính tả URL hợp pháp
• Sử dụng các chữ cái đứng cạnh nhau trên bàn phím, chẳng hạn ‘n’ thay cho ‘m’
• Hoán đổi hai chữ cái
• Thêm một chữ cái bổ sung.

Thay đổi giao diện người dùng

Những kẻ tấn công sẽ sử dụng nhiều lớp trong suốt để đặt nội dung độc hại lên các nút nhấp hợp pháp. Ví dụ: một người mua sắm trực tuyến nghĩ rằng họ đang nhấp vào nút để mua hàng, nhưng thay vào đó họ sẽ tải xuống phần mềm độc hại.

Thay đổi tab hợp pháp trên trình duyệt

Khi người dùng mở nhiều tab trên trình duyệt, một số tab không được giám sát sẽ được viết lại bằng các trang web độc hại.

Lừa đảo qua email

Hầu hết các email lừa đảo sẽ được gửi ngẫu nhiên đến một số lượng lớn người nhận. Càng gửi nhiều nạn nhân sẽ càng tăng.

Tuy nhiên, cũng một số kiểu tấn công được gọi là lừa đảo trực tuyến để nhằm vào các tổ chức hoặc cá nhân cụ thể. Cũng như với các chiến dịch lừa đảo rộng hơn, email có thể chứa các liên kết hoặc tệp đính kèm độc hại.

Clone Phishing

Kẻ xấu sẽ sử dụng nội dung của một email thật được gửi trước đó và gửi từ một địa chỉ giả mạo gần giống với địa chỉ email ban đầu. Sự khác biệt duy nhất là email giả sẽ chứa các liên kết hoặc tệp đính kèm độc hại.

Whaling

Mục tiêu của hình thức này là nhắm vào các cá nhân nổi tiếng, chẳng hạn như thành viên hội đồng quản trị hoặc thành viên của nhóm tài chính.

BEC (Business Email Compromise)

Những email này thường ở dạng yêu cầu khẩn từ các nhân viên cấp cao như Giám đốc điều hành hoặc Giám đốc tài chính. Họ sử dụng các kỹ thuật để đánh lừa nhiều nhân viên cấp dưới chuyển tiền hoặc tiết lộ bí mật kinh doanh.

Thực trạng tấn công Phishing đối với ngân hàng

Thời gian gần đây, hàng loạt người dùng đã nhận những tin nhắn như: “Bạn đã mở dịch vụ tài chính toàn cầu với phí dịch vụ hàng tháng là 2 triệu đồng. Nếu bạn không phải là người mở dịch vụ hãy bấm vào đường link để hủy”.

Bên cạnh đó, còn có những tin nhắn điển hình như:

• “Tài khoản của quý khách đang tạm thời bị khóa, đề nghị truy cập vào đường link để xác thực hôm nay”
• “Phát hiện tài khoản của bạn đăng nhập bất thường, vui lòng truy cập vào đường link để xác nhận thông tin và thay đổi mật khẩu”
• “Cần xác nhận thông tin của bạn, hoàn thành để được tặng thẻ 50.000.000 đồng, truy cập vào đường link để xác nhận”…

Điểm nguy hiểm ở chỗ, những đường link giả mạo này thường rất giống so với đường link thật của các ngân hàng nên rất dễ gây nhầm lẫn cho người dùng.

Hàng loạt ngân hàng đã phát đi thông báo cho người dân cảnh giác như :

• Không truy cập các đường link có sẵn trong tin nhắn, email lạ và không rõ nguồn gốc.
• Không cung cấp các thông tin giao dịch quan trọng như tên đăng nhập, mật khẩu, OTP, mã kích hoạt, mã PIN Soft Token, mã CVV2 in tại mặt sau thẻ hoặc các thông tin quan trọng khác.

Cách phòng tránh Phishing hiệu quả

Cách nhận biết một email hay một trang web lừa đảo

• Trang web hoặc email yêu cầu “Vui lòng xác thực tài khoản của bạn”.
• Một tin nhắn mang tính cấp bách “Nếu bạn không phản hồi trong vòng …giờ, tài khoản của bạn sẽ bị ngừng hoạt động”.
• Không có tên của bạn trong email mà thay vào đó là “Kính thưa quý khách hàng”.
• Email xuất hiện yêu cầu “Nhấp chuột vào link bên dưới để truy cập đến tài khoản của bạn”.
• Địa chỉ email hoặc địa chỉ web sai chính tả.

Một số biện pháp phòng tránh Phishing

• Không phản hồi các thư rác yêu cầu cung cấp hoặc cập nhật thông tin cá nhân, dù email đó trông giống như của một tổ chức uy tín.
• Không nhấp vào các tệp/liên kết trong email đáng ngờ.
• Hạn chế sử dụng email để gửi thông tin tài khoản.
• Chuyển tiếp các email rác đến địa chỉ spam@uce.gov.
• Không nên tin vào những email hoặc tin nhắn thông báo trúng thưởng từ doanh nghiệp hoặc ngân hàng.
• Sử dụng tường lửa hoặc các phần mềm ngăn chặn Phishing.
• Không truy cập vào các trang web đáng ngờ.
• Nếu nhận được những email yêu cầu từ cấp trên, hãy tìm cách liên hệ với bộ phận và xác thực lại.

Bài viết đã cung cấp cho bạn một số thông tin cần thiết về Phishing, một hình thức tấn công nguy hiểm dựa trên sự mất cảnh giác từ phía người dùng. Vì vậy, để đảm bảo an toàn tối đa, bạn phải luôn bật chế độ tập trung khi thao tác trên internet và luôn kiểm tra thật kỹ trước những tin nhắn, email nhận được.

FAQs về Phishing