Tóm tắt
Lừa đảo qua mạng là một hành vi độc hại, kẻ tấn công giả mạo các thực thể đáng tin cậy, dụ dỗ cá nhân tiết lộ thông tin nhạy cảm.
Luôn cảnh giác với các cuộc tấn công lừa đảo qua mạng, chú ý đến một số dấu hiệu phổ biến như URL đáng ngờ và yêu cầu thông tin cá nhân khẩn cấp.
Tìm hiểu về các kỹ thuật lừa đảo khác nhau, chẳng hạn như lừa đảo qua email phổ biến, lừa đảo qua mạng kiểu cá mập phức tạp, v.v., để nâng cao khả năng phòng thủ an ninh mạng.
Giới thiệu
Lừa đảo qua mạng là một phương thức tấn công người khác xấu, kẻ phạm tội giả mạo nguồn đáng tin cậy, dụ dỗ người khác chia sẻ dữ liệu nhạy cảm. Trong bài viết này, chúng tôi sẽ giới thiệu về khái niệm và nguyên lý hoạt động của lừa đảo qua mạng, cũng như cách tránh rơi vào bẫy.
Nguyên lý của lừa đảo qua mạng
Lừa đảo qua mạng chủ yếu dựa vào các phương pháp kỹ thuật xã hội, kẻ tấn công sử dụng nó để thao túng người khác, khiến họ tiết lộ thông tin bí mật. Kẻ tấn công thu thập thông tin cá nhân từ các nguồn công khai (như mạng xã hội), giả mạo các email có vẻ hợp pháp. Nạn nhân thường nhận được các thông điệp độc hại có vẻ như đến từ các liên hệ quen thuộc hoặc tổ chức nổi tiếng.
Hình thức lừa đảo qua mạng phổ biến nhất là gửi email chứa liên kết hoặc tệp đính kèm độc hại. Người dùng nhấp vào những liên kết này có thể cài đặt phần mềm độc hại trên thiết bị của họ hoặc truy cập các trang web giả mạo có ý định đánh cắp thông tin cá nhân và tài chính.
Việc nhận diện các email lừa đảo kém chất lượng thì khá dễ dàng, nhưng tội phạm mạng đang sử dụng các công cụ tiên tiến như chatbot và trình tạo giọng nói AI để nâng cao khả năng làm giả của họ. Điều này làm cho người dùng khó phân biệt được tính xác thực của email.
Nhận diện các nỗ lực lừa đảo qua mạng
Email lừa đảo qua mạng có thể khó nhận diện, nhưng bạn vẫn có thể đánh giá qua một số dấu hiệu.
Dấu hiệu phổ biến
Nếu email chứa URL đáng ngờ, sử dụng địa chỉ email công cộng, gây ra sự sợ hãi hoặc khẩn cấp, yêu cầu cung cấp thông tin cá nhân hoặc có lỗi chính tả và ngữ pháp, hãy cẩn thận. Trong hầu hết các trường hợp, di chuột qua liên kết sẽ hiển thị URL mà không cần nhấp vào.
Lừa đảo giả mạo nền tảng thanh toán kỹ thuật số
Kẻ lừa đảo qua mạng thường giả mạo các nhà cung cấp dịch vụ thanh toán trực tuyến đáng tin cậy như PayPal, Venmo và Wise. Họ sẽ gửi email lừa đảo, thúc giục người dùng xác minh thông tin đăng nhập. Hãy luôn cảnh giác và báo cáo các hoạt động đáng ngờ.
Tấn công lừa đảo giả mạo các tổ chức tài chính
Các kẻ lừa đảo giả mạo ngân hàng hoặc tổ chức tài chính, tuyên bố có lỗ hổng bảo mật để lấy thông tin cá nhân. Các phương pháp phổ biến bao gồm gửi email lừa đảo liên quan đến việc chuyển tiền hoặc gửi tiền trực tiếp đến nhân viên mới. Họ cũng có thể tuyên bố có cập nhật bảo mật khẩn cấp.
Lừa đảo lừa đảo qua mạng liên quan đến công việc
Trong những vụ lừa đảo cá nhân hóa này, kẻ tấn công giả mạo các giám đốc điều hành, giám đốc điều hành cao cấp hoặc giám đốc tài chính yêu cầu chuyển khoản hoặc tuyên bố cần mua hàng hóa. Các kẻ lừa đảo cũng có thể sử dụng trình tạo giọng nói AI trong các cuộc gọi để thực hiện lừa đảo qua giọng nói.
Cách phòng ngừa các cuộc tấn công lừa đảo qua mạng
Khi phòng ngừa các cuộc tấn công lừa đảo qua mạng, hãy thực hiện nhiều biện pháp bảo mật. Tránh nhấp trực tiếp vào bất kỳ liên kết nào. Hãy truy cập trang web chính thức của công ty hoặc kiểm tra thông tin đã được công bố trên các kênh giao tiếp của họ để xác minh thông tin bạn nhận được. Bạn có thể sử dụng các công cụ bảo mật như phần mềm diệt virus, tường lửa và bộ lọc thư rác.
Ngoài ra, các doanh nghiệp nên sử dụng các tiêu chuẩn xác thực email để xác thực email đến. Các phương pháp xác thực email phổ biến bao gồm DKIM (DomainKeys Identified Mail) và DMARC (Domain-based Message Authentication, Reporting & Conformance).
Cá nhân phải thông báo cho bạn bè và người thân về những rủi ro liên quan đến lừa đảo qua mạng. Các công ty nên cung cấp thông tin về các kỹ thuật lừa đảo qua mạng cho nhân viên và thường xuyên tổ chức đào tạo để nâng cao nhận thức nhằm giảm thiểu rủi ro.
Nếu bạn cần thêm thông tin và hỗ trợ, hãy theo dõi các trang web của chính phủ như OnGuardOnline.gov và các tổ chức như nhóm chống lừa đảo qua mạng. Họ cung cấp các tài nguyên và hướng dẫn chi tiết về cách nhận diện, tránh và báo cáo các cuộc tấn công lừa đảo qua mạng.
Các loại lừa đảo qua mạng
Với sự phát triển không ngừng của công nghệ lừa đảo qua mạng, các phương pháp gian lận của tội phạm cũng ngày càng phong phú. Lừa đảo qua mạng thường được phân loại dựa trên mục tiêu và phương tiện tấn công. Dưới đây chúng ta sẽ tìm hiểu chi tiết.
Lừa đảo sao chép
Kẻ tấn công sẽ lợi dụng các email hợp pháp đã được gửi trước đó, sao chép nội dung của chúng vào các email tương tự chứa liên kết đến các trang web độc hại. Họ cũng có thể tuyên bố rằng đây là một liên kết cập nhật hoặc mới được tạo và chỉ ra rằng địa chỉ liên kết trước đó là sai hoặc đã hết hạn.
Lừa đảo kiểu cá mập
Các cuộc tấn công này chủ yếu nhằm vào một cá nhân hoặc tổ chức duy nhất. Các cuộc tấn công kiểu cá mập phức tạp hơn so với các loại lừa đảo khác, vì kẻ tấn công sẽ tìm hiểu trước về mục tiêu của mình và tấn công một cách có mục tiêu. Họ sẽ thu thập thông tin về nạn nhân (như tên bạn bè hoặc thành viên trong gia đình) và sau đó sử dụng dữ liệu này để dụ dỗ nạn nhân truy cập vào các trang web độc hại.
Ghép miền
Kẻ tấn công sẽ làm giả các bản ghi cache DNS, khiến người dùng khi truy cập vào các trang web hợp pháp sẽ bị chuyển hướng đến các trang web lừa đảo mà kẻ tấn công đã chuẩn bị trước. Các cuộc tấn công này có mức độ nguy hiểm cao nhất. Vì các bản ghi DNS không nằm dưới sự kiểm soát của người dùng, người dùng hoàn toàn không thể phòng ngừa.
Tấn công lừa đảo qua mạng
Một hình thức lừa đảo qua mạng kiểu cá mập, nhằm vào những người giàu có và quan trọng (như giám đốc điều hành và quan chức chính phủ).
Lừa đảo qua email
Tội phạm thường giả mạo các công ty hoặc cá nhân hợp pháp để gửi email lừa đảo, cung cấp liên kết đến các trang web độc hại cho các nạn nhân không biết gì. Họ sẽ lợi dụng các trang đăng nhập được ngụy trang khéo léo để thu thập thông tin đăng nhập và thông tin cá nhân của nạn nhân. Những trang này có thể chứa trojan, phần mềm ghi lại phím bấm và các script độc hại khác để đánh cắp thông tin cá nhân.
Chuyển hướng trang web
Chuyển hướng trang web sẽ dẫn người dùng từ URL họ muốn truy cập sang một URL khác. Tội phạm sẽ lợi dụng lỗ hổng, chèn lệnh chuyển hướng và cài đặt phần mềm độc hại trên máy tính của người dùng.
Tên miền đánh máy sai
Tên miền đánh máy sai sẽ dẫn lưu lượng truy cập đến các trang web giả mạo có sự khác biệt nhỏ so với tên miền cấp cao nhất, sử dụng cách viết bằng ngôn ngữ nước ngoài hoặc các lỗi chính tả phổ biến. Kẻ lừa đảo sử dụng tên miền để giả mạo các trang web hợp pháp. Khi người dùng đọc sai hoặc nhập sai URL, họ sẽ vào những trang web giả mạo này.
Quảng cáo trả tiền giả mạo
Quảng cáo trả tiền là một phương pháp lừa đảo qua mạng khác. Kẻ tấn công lợi dụng các quảng cáo giả mạo để đẩy tên miền đánh máy sai vào kết quả tìm kiếm. Những trang web này thậm chí có thể xuất hiện trong các kết quả tìm kiếm phổ biến của Google.
Tấn công vũng nước
Trong các cuộc tấn công vũng nước, kẻ lừa đảo qua mạng sẽ phân tích hành vi người dùng và xác định các trang web họ thường truy cập. Họ sẽ quét các lỗ hổng của những trang này và cố gắng chèn các script độc hại nhằm khóa mục tiêu khi người dùng truy cập lại trang web đó.
Giả mạo và quà tặng giả
Giả mạo các nhân vật có ảnh hưởng trên mạng xã hội. Kẻ lừa đảo qua mạng có thể giả mạo các lãnh đạo hàng đầu của công ty, phát hành quảng cáo quà tặng hoặc thực hiện các hành vi gian lận khác. Họ thậm chí có thể sử dụng phương pháp kỹ thuật xã hội, nhắm vào những người dễ bị lừa và thực hiện từng bước một. Tội phạm có thể xâm nhập vào các tài khoản đã được xác thực, thay đổi tên người dùng để giả mạo người thật, nhưng không thay đổi trạng thái xác thực của tài khoản.
Gần đây, kẻ lừa đảo qua mạng đã tấn công mạnh mẽ trên các nền tảng như Discord, X và Telegram với cùng một mục đích: gửi tin nhắn lừa đảo, giả mạo cá nhân và làm giả dịch vụ hợp pháp.
Ứng dụng độc hại
Kẻ lừa đảo qua mạng cũng có thể sử dụng các ứng dụng độc hại để theo dõi hành vi của bạn hoặc đánh cắp thông tin nhạy cảm. Những ứng dụng này có thể giả mạo các công cụ theo dõi giá, ví tiền và các công cụ liên quan đến tiền điện tử khác (những người dùng của các công cụ này thường giao dịch và giữ tiền điện tử).
Lừa đảo qua tin nhắn SMS và giọng nói
Đây là một hình thức lừa đảo qua mạng sử dụng tin nhắn SMS, kẻ lừa đảo thường gửi tin nhắn hoặc thông tin giọng nói, khuyến khích người dùng chia sẻ thông tin cá nhân.
Lừa đảo qua mạng và ghép miền
Mặc dù một số người cho rằng ghép miền cũng là một loại lừa đảo qua mạng, nhưng cơ chế hoạt động của nó hoàn toàn khác với lừa đảo. Sự khác biệt chính giữa lừa đảo qua mạng và ghép miền là trong lừa đảo, nạn nhân vô tình phạm sai lầm, tội phạm mới có thể thành công. Trong khi trong ghép miền, bản ghi DNS của trang web hợp pháp đã bị tội phạm thay đổi, nạn nhân chỉ cần cố gắng truy cập trang web đó sẽ rơi vào bẫy.
Lừa đảo qua mạng trong lĩnh vực blockchain và tiền điện tử
Mặc dù công nghệ blockchain dựa vào đặc điểm phi tập trung để cung cấp độ bảo mật dữ liệu cao, nhưng người dùng trong lĩnh vực này vẫn cần cảnh giác với các cuộc tấn công kỹ thuật xã hội và các nỗ lực lừa đảo. Tội phạm mạng thường lợi dụng điểm yếu của con người để lấy khóa cá nhân hoặc thông tin đăng nhập. Trong hầu hết các trường hợp, chỉ khi nạn nhân mắc lỗi, tội phạm mới có thể thành công.
Kẻ lừa đảo cũng có thể cố gắng dụ dỗ người dùng tiết lộ cụm từ ghi nhớ của họ hoặc chuyển tiền vào địa chỉ giả mạo. Hãy chắc chắn áp dụng các phương pháp an toàn nhất, đề phòng bị lừa.
Kết luận
Tóm lại, việc hiểu biết về lừa đảo qua mạng và cập nhật công nghệ mới là rất quan trọng để bảo vệ thông tin cá nhân và tài chính. Cá nhân và tổ chức có thể thực hiện các biện pháp an ninh mạnh mẽ, phổ biến kiến thức liên quan và nâng cao nhận thức phòng ngừa, từ đó chống lại mối đe dọa lừa đảo qua mạng đang tồn tại trong thế giới số kết nối. Hãy cùng nhau nỗ lực để bảo vệ tài sản!
Tài liệu tham khảo
5 lời khuyên để bảo vệ tài sản tiền điện tử
5 cách để nâng cao bảo mật tài khoản Binance
Cách thực hiện giao dịch ngang hàng (C2C) một cách an toàn
Tuyên bố từ chối trách nhiệm: Nội dung bài viết này được cung cấp "như hiện tại", chỉ nhằm mục đích thông tin chung và giáo dục, không tạo thành bất kỳ tuyên bố hoặc đảm bảo nào. Bài viết này không cấu thành tư vấn tài chính, pháp lý hoặc chuyên môn nào khác và không có ý định khuyến nghị mua bất kỳ sản phẩm hoặc dịch vụ cụ thể nào. Bạn nên tự tìm kiếm lời khuyên từ các chuyên gia phù hợp. Nếu bài viết này được gửi bởi bên thứ ba, xin lưu ý rằng quan điểm trong bài viết thuộc về người gửi bên thứ ba, không nhất thiết phản ánh quan điểm của Binance Academy. Để biết thêm chi tiết, vui lòng nhấp vào đây để đọc toàn văn tuyên bố từ chối trách nhiệm. Giá tài sản kỹ thuật số có thể dao động. Giá trị đầu tư của bạn có thể giảm hoặc tăng, và bạn có thể không thể thu hồi vốn đầu tư. Bạn hoàn toàn chịu trách nhiệm cho quyết định đầu tư của mình, Binance Academy không chịu trách nhiệm cho bất kỳ tổn thất nào mà bạn có thể gặp phải. Bài viết này không cấu thành tư vấn tài chính, pháp lý hoặc chuyên môn nào khác. Để biết thêm chi tiết, vui lòng tham khảo các điều khoản sử dụng và cảnh báo rủi ro của chúng tôi.
