7 loại tấn công lừa đảo nguy hiểm mọi người cần biết
Trong thời đại số, các cuộc tấn công mạng trở nên tinh vi và đa dạng hơn bao giờ hết. Một trong những hình thức tấn công phổ biến và nguy hiểm nhất chính là lừa đảo trực tuyến. Bài viết này sẽ giới thiệu 7 loại tấn công lừa đảo nguy hiểm nhất mà mọi người cần biết để bảo vệ bản thân và tài sản.
Cục Điều tra Liên bang Mỹ (FBI) đưa ra ước tính rằng trong năm 2023, người dân Mỹ đã chịu thiệt hại lên đến 12,5 tỷ USD do các chương trình lừa đảo qua email. Có thể bạn tự tin rằng mình đủ khả năng nhận biết và tránh xa những email lừa đảo, nhưng thực tế không đơn giản như vậy.
Những email độc hại chỉ là một phần trong danh sách dài các hình thức tấn công lừa đảo mà tội phạm mạng ngày càng sử dụng tinh vi hơn. Chúng không chỉ nhằm mục đích chiếm đoạt tiền bạc mà còn khai thác thông tin cá nhân, đánh cắp danh tính và gây tổn hại đến cả cá nhân lẫn doanh nghiệp.
Sau đây là 7 loại tấn công lừa đảo phổ biến và nguy hiểm nhất mà tội phạm mạng thường sử dụng để tấn công người dùng.
1. Lừa đảo qua email
Lừa đảo qua email (hay Email Phishing) là một hình thức tấn công mạng trong đó tội phạm mạng gửi email giả mạo để lừa người nhận thực hiện các hành động có lợi cho chúng, như cung cấp thông tin nhạy cảm, nhấp vào liên kết độc hại, hoặc tải xuống phần mềm độc hại. Các email này thường được thiết kế trông giống như đến từ một tổ chức hoặc cá nhân đáng tin cậy, chẳng hạn như ngân hàng, công ty lớn, hoặc cơ quan chính phủ.
Ban đầu, lừa đảo trực tuyến được hiểu đơn giản là những nỗ lực đánh cắp thông tin nhạy cảm hoặc tiền bạc thông qua email. Điều này không có gì ngạc nhiên, vì email là một trong những kênh tấn công đầu tiên mà tội phạm mạng khai thác để đánh lừa người dùng.
Dù đã xuất hiện từ lâu, email lừa đảo vẫn duy trì vị trí là một trong những hình thức lừa đảo phổ biến nhất hiện nay. Với ước tính lên đến 3,4 tỷ email được gửi đi mỗi ngày, hình thức này không chỉ gây tổn thất lớn mà còn là loại tội phạm mạng được báo cáo nhiều nhất.
Trước đây, các email lừa đảo thường dễ dàng bị nhận diện bởi những lỗi ngữ pháp vụng về và cách dùng từ ngữ kỳ quặc, khiến chúng nhanh chóng bị nghi ngờ là giả mạo. Tuy nhiên, mọi thứ đã thay đổi với sự ra đời của công nghệ AI như ChatGPT. Công cụ này đã trở thành "trợ thủ đắc lực" cho các tin tặc, cho phép ngay cả những kẻ không rành tiếng Anh tạo ra các email lừa đảo trôi chảy, chuyên nghiệp và đủ tinh vi để đánh lừa hầu như bất kỳ ai.
Nếu bạn nghi ngờ tính xác thực của một email, hãy chủ động liên hệ trực tiếp với công ty được đề cập, nhưng tuyệt đối đừng làm điều đó bằng cách trả lời email nghi vấn. Quan trọng hơn, trong mọi trường hợp, nếu bạn không hoàn toàn chắc chắn về độ tin cậy của email, hãy tránh nhấp vào bất kỳ liên kết nào hoặc tải xuống bất kỳ tệp đính kèm nào. Hành động này có thể là chìa khóa để bảo vệ bạn khỏi các cuộc tấn công mạng.
2. Lừa đảo qua tin nhắn văn bản
Lừa đảo qua tin nhắn văn bản (SMS) (còn gọi là SMS Phishing hay Smishing) là một hình thức lừa đảo qua tin nhắn văn bản hoặc các ứng dụng nhắn tin như WhatsApp, Messenger. Giống như lừa đảo qua email, mục tiêu của Smishing là lừa người dùng cung cấp thông tin cá nhân, thông tin tài chính, hoặc thực hiện các hành động có lợi cho kẻ lừa đảo, chẳng hạn như nhấp vào liên kết độc hại hoặc tải xuống phần mềm độc hại.
Phần lớn mọi người có thói quen kiểm tra tin nhắn ngay trong vòng 5 phút sau khi nhận, bởi lẽ tin nhắn thường được coi là phương tiện giao tiếp cá nhân và đáng tin cậy hơn email. Chúng ta thường nhận tin nhắn từ bạn bè, gia đình hoặc các công ty mà mình đã đặt niềm tin, khiến chúng dễ dàng thu hút sự chú ý và phản hồi nhanh chóng.
Smishing tương tự như lừa đảo qua email, nhưng thay vì xuất hiện trong hộp thư đến, các chiêu trò này được thực hiện qua tin nhắn SMS. Bạn có thể đã từng nhận một tin nhắn giả mạo từ "Amazon" thông báo về một đơn hàng đang được giao, dù bạn chưa từng đặt mua gì.
Hoặc có thể bạn nhận được tin nhắn từ một "người lạ" viện lý do gửi nhầm số nhưng lại cố tình kéo dài cuộc trò chuyện với bạn. Những tình huống này đều là mưu đồ của tội phạm mạng nhằm dụ bạn nhấp vào liên kết chứa phần mềm độc hại hoặc thao túng bạn để chiếm đoạt tiền bạc và thông tin cá nhân.
Pig Butchering (tạm dịch: Giết lợn) là một hình thức tấn công smishing tinh vi, ngày càng phổ biến, trong đó kẻ lừa đảo kiên nhẫn "nuôi dưỡng" nạn nhân như nuôi một con lợn, từng bước xây dựng lòng tin và thuyết phục họ đầu tư tiền bạc vào thứ gì đó (thường là một sàn giao dịch tiền điện tử giả mạo), để cuối cùng chiếm đoạt toàn bộ tài sản.
3. Lừa đảo câu cá trên mạng xã hội
Lừa đảo câu cá trên mạng xã hội (hay Angler Phishing) là một hình thức tấn công mạng, trong đó tội phạm mạng giả mạo các tài khoản hỗ trợ khách hàng trên mạng xã hội như Facebook, Zalo,… để lừa đảo nạn nhân. Những kẻ tấn công tạo ra các trang web hoặc tài khoản giả, mạo danh các thương hiệu nổi tiếng hoặc dịch vụ khách hàng uy tín, nhằm đánh lừa người dùng tin tưởng và cung cấp thông tin cá nhân, tài khoản hoặc tiền bạc.
Chúng ta thường chia sẻ nhiều thông tin cá nhân trên mạng xã hội với mong muốn kết nối và chia sẻ cùng mọi người. Tuy nhiên, chính những thông tin này lại trở thành công cụ cho kẻ lừa đảo, giúp chúng tạo ra các cuộc tấn công lừa đảo tinh vi và được cá nhân hóa, nhằm lừa đảo người dùng một cách hiệu quả hơn.
Kẻ tấn công sẽ dò tìm thông tin trên các trang mạng xã hội của bạn để nắm bắt những sản phẩm và dịch vụ bạn đang sử dụng. Dựa vào đó, chúng giả mạo thành đại diện dịch vụ khách hàng của các công ty mà bạn tin dùng.
Sau đó, chúng sẽ yêu cầu bạn cung cấp thông tin nhạy cảm, gửi liên kết độc hại, hoặc đưa bạn đến các trang web giả mạo để đánh cắp mật khẩu và các dữ liệu quan trọng khác, từ đó có thể xâm nhập vào tài khoản của bạn.
4. Lừa đảo qua điện thoại
Lừa đảo qua điện thoại (còn gọi là Voice Phishing hay Vishing) là một hình thức lừa đảo qua điện thoại, trong đó kẻ tấn công giả mạo là một tổ chức hoặc cá nhân đáng tin cậy để lừa người nhận cung cấp thông tin cá nhân, tài chính, hoặc thực hiện các hành động có lợi cho kẻ lừa đảo. Vishing là sự kết hợp giữa lừa đảo và cuộc gọi thoại, sử dụng giọng nói thay vì email hoặc tin nhắn văn bản.
Gần đây, nhiều người nhận được một cuộc gọi từ một người tự xưng là nhân viên của các ngân hàng, với giọng điệu tự tin và thân thiện. Người này thông báo rằng có một giao dịch đáng ngờ vừa được thực hiện trên thẻ của họ và phía ngân hàng cần xác minh danh tính. Điều đầu tiên mà kẻ lừa đảo thực hiện là yêu cầu người dùng cung cấp số căn cước công dân và các thông tin quan trọng khác về thẻ ngân hàng.
Cuộc tấn công vishing này có đầy đủ mọi yếu tố cần thiết để trở thành một cuộc tấn công phi kỹ thuật thành công. Chúng nhấn mạnh rằng thời gian là yếu tố quyết định, khiến nạn nhân cảm thấy lo lắng và gần như sẵn sàng cung cấp thông tin nhạy cảm. Hơn nữa, chúng còn giả vờ có thẩm quyền, tạo ra cảm giác rằng việc yêu cầu thông tin từ tôi là hoàn toàn hợp lý và cần thiết.
5. Lừa đảo trực tuyến có mục tiêu
Lừa đảo trực tuyến có mục tiêu (hay Spear Phishing) là một hình thức tấn công lừa đảo trực tuyến rất tinh vi và được cá nhân hóa cao. Khác với lừa đảo thông thường, nơi kẻ tấn công gửi hàng nghìn email giả mạo ngẫu nhiên, spear phishing nhắm mục tiêu cụ thể vào một cá nhân hoặc tổ chức. Kẻ tấn công sẽ thu thập thông tin chi tiết về mục tiêu, như sở thích, mối quan hệ công việc, hoặc các dữ liệu cá nhân khác, để tạo ra một email giả mạo có vẻ rất hợp lý và đáng tin cậy.
Spear phishing là một cuộc tấn công tinh vi và mang tính cá nhân cao hơn rất nhiều. Hãy thử tưởng tượng nếu bạn nhận được một email có chứa tên của bạn và thông tin nhạy cảm. Rõ ràng, bạn sẽ có xu hướng mở email đó với mức độ tin tưởng cao hơn, vì nó trông có vẻ rất hợp lệ và đáng tin cậy.
Các cuộc tấn công lừa đảo qua email không nhắm vào những người bình thường; thay vào đó, chúng thường được hướng đến những mục tiêu mà tin tặc cho là có giá trị cao. Một tin tặc có thể sẵn sàng đầu tư thời gian và nguồn lực để thu thập thông tin chi tiết về mục tiêu của mình, từ đó tạo ra những email độc hại được cá nhân hóa một cách tỉ mỉ và thuyết phục.
Một biến thể tinh vi của tấn công lừa đảo trực tuyến là "săn cá voi", thường nhắm vào các mục tiêu có giá trị cao hơn, như các giám đốc điều hành và tổng giám đốc, với mục đích chiếm đoạt thông tin nhạy cảm từ những người này.
6. Lừa đảo bằng bẫy hố nước
Lừa đảo bằng bẫy hố nước (hay Watering Hole) được mượn từ hành vi săn mồi trong tự nhiên, nơi kẻ săn mồi phục kích tại nguồn nước mà con mồi thường xuyên lui tới.
Trong an ninh mạng, nó mô tả hình thức tấn công mà kẻ tấn công xâm nhập vào một trang web hoặc dịch vụ trực tuyến mà mục tiêu thường sử dụng. Kẻ tấn công lợi dụng niềm tin của người dùng đối với trang web hợp pháp này để lây nhiễm mã độc hoặc đánh cắp thông tin cá nhân khi người dùng truy cập.
Lừa đảo watering hole diễn ra khi kẻ tấn công xâm nhập vào một trang web hợp pháp và khai thác các lỗ hổng để cài đặt mã độc, chẳng hạn như mã HTML hoặc JavaScript. Kẻ tấn công có thể chiếm quyền kiểm soát toàn bộ trang web hoặc chỉ chỉnh sửa một phần của nó để chuyển hướng người dùng đến một trang giả mạo.
Khi người dùng tin tưởng trang web ban đầu, họ có xu hướng nhấp vào các liên kết và cung cấp thông tin nhạy cảm, chẳng hạn như số thẻ tín dụng, số căn cước công dân hoặc thông tin đăng nhập, từ đó tạo cơ hội cho kẻ tấn công chiếm đoạt dữ liệu.
7. Lừa đảo thông qua trang web giả mạo
Lừa đảo thông qua trang web giả mạo (hay Website Spoofing) là một hình thức tấn công mạng trong đó kẻ tấn công tạo ra một trang web giả mạo với giao diện và chức năng gần như giống hệt một trang web hợp pháp. Mục tiêu của hành vi này là lừa người dùng tin tưởng rằng họ đang truy cập trang web thật, từ đó đánh cắp thông tin nhạy cảm như mật khẩu, số thẻ tín dụng, hoặc thông tin cá nhân khác.
Bạn đã bao giờ cố truy cập Amazon.com nhưng vô tình gõ thành Amazonn.com chưa? Dù trang web bạn thấy có giao diện và cảm giác giống hệt Amazon, nhưng thực tế đó có thể là một trang giả mạo do kẻ lừa đảo sở hữu và vận hành.
Đây là một hình thức tấn công được gọi là chiếm đoạt địa chỉ mạng URL, trong đó tội phạm mạng mua các tên miền gần giống với các trang web phổ biến. Chúng thiết kế các trang web này sao cho giống trang thật, nhưng mục đích thực sự là thu thập thông tin nhạy cảm của bạn, như mật khẩu, thông tin thẻ tín dụng, hoặc dữ liệu cá nhân.
Mặc dù các cuộc tấn công lừa đảo ngày càng trở nên tinh vi và khó phát hiện hơn, bạn vẫn có thể bảo vệ mình bằng cách luôn thận trọng. Đừng bao giờ nhấp vào liên kết hoặc cung cấp thông tin nhạy cảm trừ khi bạn đã xác minh rõ ràng rằng người bạn đang giao tiếp thực sự là đại diện của công ty đáng tin cậy.