Phishing là gì và nó hoạt động như thế nào

Cẩn thận! Rất nhiều văn bản.

• Lừa đảo trực tuyến là một loại lừa đảo trong đó những kẻ tấn công giả vờ là những cá nhân đáng tin cậy để lấy thông tin bí mật.

• Cảnh giác với các mưu đồ lừa đảo: Cảnh giác với các URL đáng ngờ, các yêu cầu khẩn cấp về thông tin cá nhân và các dấu hiệu khác.

• Tìm hiểu về các phương pháp lừa đảo khác nhau, từ email lừa đảo đến lừa đảo trực tuyến và tìm hiểu cách tự bảo vệ mình trong không gian mạng.

Giới thiệu

Lừa đảo trực tuyến là một loại lừa đảo trong đó những kẻ tấn công giả vờ là những cá nhân đáng tin cậy và lừa nạn nhân tiết lộ thông tin nhạy cảm. Trong bài viết này, chúng ta sẽ nói về lừa đảo là gì, nó hoạt động như thế nào và cách bảo vệ bạn khỏi nó.

Cách lừa đảo hoạt động

Lừa đảo dựa trên kỹ thuật xã hội: kẻ tấn công thao túng mọi người để tìm hiểu thông tin bí mật của họ. Ví dụ: trước tiên, những kẻ lừa đảo thu thập thông tin cá nhân từ các nguồn công khai (như mạng xã hội) rồi gửi email có vẻ là thật. Nạn nhân có cảm giác như chúng được viết bởi các tổ chức quen thuộc hoặc có uy tín.

Thông thường, các mưu đồ lừa đảo sử dụng email có chứa các liên kết hoặc tệp độc hại. Nếu bạn nhấp vào chúng, thiết bị của bạn có thể bị nhiễm vi-rút hoặc được chuyển hướng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và tài chính.

Nếu một email lừa đảo được viết kém thì rất dễ bị phát hiện. Nhưng một số tội phạm mạng sử dụng các công cụ tiên tiến như chatbot và máy tạo giọng nói được hỗ trợ bởi AI để khiến nạn nhân khó phân biệt giữa tin nhắn thật và tin nhắn lừa đảo.

Cách nhận biết các nỗ lực lừa đảo

Việc nhận biết email lừa đảo có thể khó khăn nhưng chúng tôi khuyên bạn nên chú ý đến một số dấu hiệu nhất định.

Dấu hiệu chung

Hãy cẩn thận nếu người gửi gửi địa chỉ đáng ngờ, sử dụng địa chỉ email công cộng, cố gắng gieo rắc nỗi sợ hãi hoặc hành động khẩn cấp cho bạn, yêu cầu thông tin cá nhân hoặc mắc lỗi chính tả hoặc ngữ pháp. Để kiểm tra một URL, hãy di chuột qua liên kết mà không nhấp vào nó.

Các cuộc tấn công lừa đảo liên quan đến thanh toán kỹ thuật số

Những kẻ tấn công thường giả danh các dịch vụ thanh toán trực tuyến nổi tiếng như PayPal, Venmo hoặc Wise. Trong các vụ lừa đảo lừa đảo, những kẻ lừa đảo gửi email giả yêu cầu bạn xác nhận thông tin đăng nhập của mình. Nếu bạn nhận được email như vậy, hãy cảnh giác và báo cáo hoạt động đáng ngờ.

Tấn công lừa đảo liên quan đến tài chính

Đôi khi những kẻ lừa đảo giả làm đại diện của ngân hàng hoặc tổ chức tài chính và nói về những vi phạm an ninh bị cáo buộc. Ví dụ: họ gửi email giả mạo về chuyển tiền hoặc tín dụng. Những kẻ tấn công cũng có thể cho rằng cần phải có bản cập nhật bảo mật khẩn cấp.

Các cuộc tấn công lừa đảo liên quan đến công việc

Những kẻ tấn công có thể đóng giả là giám đốc điều hành hoặc giám đốc để thuyết phục nạn nhân chuyển tiền hoặc mua hàng hóa không tồn tại. Họ thậm chí có thể sử dụng máy tạo giọng nói được hỗ trợ bởi AI để gọi điện thoại.

Làm thế nào để tránh trở thành nạn nhân của lừa đảo?

Để bảo vệ bản thân khỏi các cuộc tấn công lừa đảo, bạn phải tuân theo các biện pháp bảo mật. Không nhấp trực tiếp vào các liên kết; thay vào đó, hãy kiểm tra tính chính xác của thông tin trên trang web chính thức của công ty hoặc thông qua các kênh của công ty. Hãy thử kết nối các công cụ bảo mật như chương trình chống vi-rút, tường lửa và bộ lọc thư rác.

Các tổ chức nên sử dụng xác thực email để xác thực các email đến. Các phương pháp phổ biến bao gồm DKIM (Thư được xác định bằng khóa miền) và DMARC (Xác thực, báo cáo và tuân thủ thư dựa trên miền).

Các cá nhân nên cảnh báo gia đình và bạn bè về khả năng lừa đảo. Điều quan trọng là các công ty phải giáo dục nhân viên cách tự bảo vệ mình khỏi lừa đảo và tiến hành đào tạo thường xuyên để giảm thiểu rủi ro.

Nếu bạn cần trợ giúp hoặc cần thêm thông tin, hãy tìm kiếm trợ giúp từ các tổ chức như Anti-Phishing Working Group Inc hoặc tận dụng các sáng kiến ​​của chính phủ như OnGuardOnline.gov. Họ cung cấp các tài nguyên và hướng dẫn chi tiết về cách phát hiện, ngăn chặn và báo cáo các cuộc tấn công lừa đảo.

Các loại lừa đảo

Các phương thức lừa đảo không ngừng được cải tiến và tội phạm mạng sử dụng các giải pháp tiên tiến trong kế hoạch của chúng. Nhìn chung, lừa đảo được chia thành nhiều loại tùy theo mục đích và hướng tấn công. Chúng ta hãy xem xét kỹ hơn.

Lừa đảo nhân bản

Kẻ tấn công lấy một email chính hãng đã gửi trước đó, sao chép nó và dán liên kết đến một trang web độc hại. Kẻ lừa đảo có thể giả vờ là người gửi chính thức và cho rằng liên kết đã được cập nhật hoặc thay thế do liên kết trước đó bị lỗi hoặc đã hết hạn.

Lừa đảo trực tuyến

Kiểu tấn công này nhắm vào một cá nhân hoặc tổ chức. Phishing lừa đảo được coi là phức tạp hơn vì nó liên quan đến những kẻ tấn công xác định trước đặc điểm của nạn nhân. Đầu tiên, họ tìm hiểu thông tin quan trọng về cô ấy (ví dụ: tên của bạn bè hoặc người thân), sau đó sử dụng dữ liệu này để dụ nạn nhân đến một trang web độc hại hoặc thuyết phục cô ấy tải xuống một tệp.

Nông nghiệp

Kẻ tấn công sửa đổi mục nhập Hệ thống tên miền (DNS) để khách truy cập được chuyển hướng đến một trang web giả mạo thay vì trang web hợp pháp. Kiểu tấn công này được coi là nguy hiểm nhất vì người dùng không thể kiểm soát bản ghi DNS và do đó tự bảo vệ mình.

Đánh bắt cá voi

Một hình thức lừa đảo trực tuyến nhắm vào những người giàu có và quan trọng như giám đốc điều hành công ty và quan chức chính phủ.

Giả mạo địa chỉ email

Những email lừa đảo này bắt chước tin nhắn từ các công ty hoặc người thật. Đồng thời, những kẻ tấn công gửi liên kết đến các trang web độc hại có trang ủy quyền giả mạo - nếu bạn nhập thông tin đăng nhập của mình vào đó, những kẻ lừa đảo sẽ nhận được chúng. Các trang này có thể chứa Trojan, keylogger và các tập lệnh độc hại khác được thiết kế để lấy cắp thông tin cá nhân.

Chuyển hướng đến các trang web

Trong các sơ đồ này, khi người dùng điều hướng đến trang web thực, họ sẽ được đưa đến một URL khác. Kẻ tấn công sử dụng các lỗ hổng trong mã để chuyển hướng nạn nhân hoặc cài đặt phần mềm độc hại trên máy tính của anh ta.

Kiểu ngồi xổm

Kiểu ngồi xổm hướng lưu lượng truy cập đến các trang web giả mạo cố tình mắc các lỗi phổ biến trong tên của chúng, thay thế các chữ cái bằng bố cục nước ngoài và sử dụng các biến thể tinh vi của chữ hoa và chữ thường. Những kẻ tấn công sử dụng tên miền để bắt chước các trang web chính thức và lừa người dùng nhập hoặc đọc sai URL.

Quảng cáo trả tiền giả

Quảng cáo trả phí là một loại lừa đảo khác. Những kẻ tấn công tạo các miền giả giống với các miền chính thức và trả tiền để được quảng cáo trong kết quả tìm kiếm. Kết quả là trang web lừa đảo thậm chí có thể xuất hiện ở đầu kết quả tìm kiếm của Google.

Tấn công ở hố tưới nước

Trong cuộc tấn công Watering Hole, những kẻ lừa đảo sẽ phân tích người dùng và xác định các trang web thường xuyên truy cập. Sau đó, họ kiểm tra các lỗ hổng bảo mật trên các trang web đó và cố gắng đưa các tập lệnh độc hại vào chúng để gây hại cho khách truy cập.

Mạo danh và trò lừa bịp giả mạo

Đôi khi những kẻ lừa đảo đóng vai trò là người có ảnh hưởng trên mạng xã hội. Ví dụ, họ tự giới thiệu mình là giám đốc điều hành của công ty và thuyết phục họ thực hiện một số hành động, chẳng hạn như đăng ký rút thăm trúng thưởng. Những kế hoạch như vậy sử dụng cách tiếp cận cá nhân với kỹ nghệ xã hội và tìm kiếm những người dùng cả tin. Kẻ lừa đảo thậm chí có thể hack các tài khoản đã được xác minh và thay đổi tên người dùng để mạo danh danh tính thực đã được xác minh.

Gần đây, những kẻ lừa đảo đã tích cực sử dụng các nền tảng như Discord, X và Telegram cho mục đích này.

Ứng dụng độc hại

Kẻ lừa đảo có thể sử dụng các ứng dụng độc hại để theo dõi hoạt động của người dùng và đánh cắp thông tin nhạy cảm của họ. Đây có thể là công cụ theo dõi giá, ví và các công cụ khác liên quan đến tiền điện tử. Đồng thời, những kẻ tấn công đang nhắm mục tiêu vào người dùng quan tâm đến không gian tiền điện tử.

Lừa đảo qua điện thoại

Những kẻ lừa đảo có thể gọi điện, nhắn tin hoặc thư thoại để thuyết phục nạn nhân chia sẻ thông tin cá nhân.

Lừa đảo và dược phẩm

Một số người coi dược phẩm là một loại lừa đảo, nhưng nguyên tắc của họ khác nhau. Sự khác biệt chính là nạn nhân lừa đảo phải mắc lỗi. Và khi pharming, người dùng chỉ cần truy cập trang web chính thức và không nghi ngờ rằng những kẻ tấn công đã thay đổi bản ghi DNS trong miền.

Lừa đảo trong lĩnh vực blockchain và tiền điện tử

Mặc dù blockchain cung cấp bảo mật dữ liệu mạnh mẽ do tính phân quyền, nhưng người dùng nên cảnh giác với kỹ thuật xã hội và lừa đảo. Thông thường, tội phạm mạng lợi dụng sự cả tin của người khác để có quyền truy cập vào khóa riêng hoặc thông tin xác thực. Trong hầu hết các trường hợp, những kẻ lừa đảo đều dựa vào yếu tố con người.

Chúng cũng có thể lừa người dùng tiết lộ cụm từ hạt giống hoặc chuyển tiền đến địa chỉ giả. Hãy cẩn thận và làm theo các biện pháp phòng ngừa an toàn.

Tóm lại là

Để bảo vệ thông tin cá nhân và tài chính của mình, bạn cần hiểu các nguyên tắc lừa đảo và theo kịp sự phát triển của công nghệ gian lận. Sử dụng các biện pháp bảo mật đáng tin cậy, nghiên cứu kỹ thuật của những kẻ tấn công và theo dõi tin tức. Bảo vệ tài sản của bạn với SAFU và các giải pháp khác!

Đề nghị đọc

• 5 lời khuyên để bảo vệ tiền điện tử

• Năm cách để tăng cường bảo mật tài khoản Binance của bạn

• Đảm bảo an ninh trong giao dịch ngang hàng (P2P)

Tuyên bố miễn trừ trách nhiệm: Các tài liệu sau đây được cung cấp “nguyên trạng” mà không có bảo hành dưới bất kỳ hình thức nào chỉ nhằm mục đích tham khảo và giáo dục chung. Thông tin này không được coi là lời khuyên tài chính, tư vấn pháp lý hoặc khuyến nghị mua bất kỳ sản phẩm hoặc dịch vụ cụ thể nào. Bạn nên tìm kiếm lời khuyên của riêng mình từ các cố vấn chuyên môn phù hợp. Vì bài viết này được viết bởi tác giả bên thứ ba nên xin lưu ý rằng các ý kiến ​​được trình bày là của tác giả bên thứ ba và không nhất thiết phản ánh quan điểm của Binance Academy. Để biết thêm thông tin chi tiết xin vui lòng theo liên kết. Giá trị của tài sản kỹ thuật số có thể không ổn định. Giá trị của số tiền đầu tư có thể tăng hoặc giảm. Bạn có thể không lấy lại được số tiền đầu tư của mình. Bạn hoàn toàn chịu trách nhiệm về các quyết định đầu tư của mình. Binance Academy không chịu trách nhiệm về những tổn thất có thể xảy ra của bạn. Thông tin này không cấu thành tư vấn tài chính, pháp lý hoặc chuyên môn. Để tìm hiểu thêm, vui lòng đọc Điều khoản sử dụng và Tiết lộ rủi ro của chúng tôi.