Tìm Hiểu Tấn Công Phishing Là Gì ? Cách Phòng Tránh Tấn Công Phishing Hiệu Quả

Phishing là gì ? Cách phòng tránh tấn công phishing

Phishing là một trong những hình thức lừa đảo trên mạng đơn giản và phổ biến nhất hiện nay. Hãy dành vài phút lướt qua vài biết này để biết cách bảo vệ mình khỏi nguy cơ dính phishing bạn nhé!

1. Phishing là gì?

 

Phishing là hành vi lừa đảo gây ra bởi tội phạm mạng, nhằm mục đích thu thập, chia sẻ các thông tin nhạy cảm của người dùng như mật khẩu và thông tin thẻ tín dụng. Tương tự như cách câu cá, phishing hoạt động bằng cách “thả mồi” lừa nạn nhân và sau đó thu thập thông tin. Hình thức phổ biến nhất thường gặp là:

• Bạn nhận được một email hoặc tin nhắn giả mạo cá nhân/tổ chức đáng tin cậy (đồng nghiệp, ngân hàng hoặc văn phòng chính phủ).
• Khi mở email hoặc tin nhắn, bạn tìm thấy một thông điệp nghiêm trọng yêu cầu bạn truy cập vào một website trong mail ngay lập tức, nếu không sẽ gặp phải hậu quả.
• Nếu nhấp vào liên kết, bạn sẽ được chuyển đến một website giả mạo một website hợp pháp và được yêu cầu đăng nhập bằng tên người dùng và mật khẩu. Nếu làm theo, hacker sẽ có được thông tin đăng nhập của bạn và sử dụng nó để đánh cắp dữ liệu cá nhân, tài khoản ngân hàng và bán các thông tin này trên thị trường chợ đen.

Phishing là loại tấn công mạng đơn giản nhất, nhưng đồng thời cũng nguy hiểm và hiệu quả nhất. Khác với những hình thức lừa đảo khác, hacker Phishing không cố gắng khai thác lỗ hổng bảo mật trong hệ thống, thay vào đó dùng “social engineering” để lừa người dùng tự trao các thông tin cá nhân cho mình!

2. Lịch sử của phising

• Phishing được cho rằng được ghép từ “Fishing” và “Phony” (“câu cá” và “lừa đảo”), vì cách hoạt động của phishsing cũng tương tự như câu cá: chuẩn bị mồi và chờ cá tự cắn câu.
• Những năm 1970, các hacker đầu tiên – được gọi là “Phreaks” (ghép từ “phone” và “freaks”), đã  dùng các công nghệ thấp để khai thác hệ thống điện (Phreaking) để thực hiện các cuộc gọi đường dài miễn phí hoặc gọi tới các số điện thoại chưa được niêm yết.
• Năm 1987, một kỹ thuật phising đã được mô tả chi tiết trong một bài báo và gửi cho Nhóm người dùng HP quốc tế – Interex.
• Năm 1990, hacker khét tíếng Khan C Smith được cho là đã sử dụng thuật ngữ “phishing” một cách chính thức.
• Vào 02/01/1996, phishing lần đầu tiên được sử dụng và ghi lại công khai bởi nhóm tin Usenet có tên AOHell. Vào thời điểm đó, America Online (AOL) là nhà cung cấp truy cập Internet số một, với hàng triệu lượt đăng nhập hàng ngày, biến nó trở thành mục tiêu của hacker. Tin tặc đã sử dụng AOHell để liên lạc với nhau và thực hiện các cuộc tấn công phishing. Khi AOL tắt AOHell, hacker đã giả mạo là nhân viên của AOL để gửi tin nhắn yêu cầu người dùng AOL xác minh tài khoản và bàn giao thông tin thanh toán. Hậu quả là AOL phải đưa ra cảnh báo tức thời rằng “Nhân viên AOL không yêu cầu người dùng cung cấp mật khẩu hoặc thông tin thanh toán” trên tất cả các ứng dụng email và tin nhắn.
• Vào những năm 2000, phishing chuyển sang khai thác hệ thống thanh toán trực tuyến, nhắm vào khách hàng của ngân hàng và dịch vụ thanh toán trực tuyến. Đồng thời tăng cường tấn công các mạng xã hội để đánh cắp thông tin cá nhân. Phổ biến nhất, hacker đã đăng ký các tên miền giả mạo eBay và PayPal để đánh lừa người dùng bằng các email lừa đảo, yêu cầu họ cập nhật thông tin thẻ tín dụng và nhận dạng cá nhân.
• Vào 9/2003, cuộc tấn công phishing vào ngân hàng đầu tiên đã được báo cáo bởi The Banker (một ấn phẩm thuộc sở hữu của The Financial Times Ltd.).
• Giữa những năm 2000, phần mềm turnkey phishing đã có mặt trên thị trường chợ đen. Đồng thời, các nhóm hacker cũng bắt đầu thực hiện các chiến dịch phishing tinh vi.
• Báo cáo năm 2007 từ Gartner nói rằng có tới 3,6 triệu người dùng đã mất $3,2 tỷ từ 08/2006 đến 8/2007 do phishing.
• Năm 2011, một chiến dịch phishing nghi ngờ được nhà nước Trung Quốc tài trợ đã nhắm vào tài khoản Gmail của các quan chức cấp cao của chính phủ và quân đội Mỹ, Hàn Quốc, và cả Trung Quốc.
• Năm 2013, 110 triệu hồ sơ khách hàng và thẻ tín dụng đã bị đánh cắp từ khách hàng Target, thông qua tài khoản nhà thầu phụ lừa đảo.
• Đầu năm 2016, chiến dịch lừa đảo do Fancy Bear (một nhóm gián điệp mạng liên kết với cơ quan tình báo quân đội GRU) phát động tấn công các địa chỉ email liên kết với Ủy ban Quốc gia Dân chủ. Nhà quản lý chiến dịch của Hillary Clinton cho Cuộc bầu cử tổng thống năm 2016, John Podesta, đã bị hack Gmail và bị rò rỉ thông tin.
• Năm 2017,  bộ phận kế toán của Google và Facebook đã bị tấn công phishing và chuyển đi số tiền hơn 100 triệu USD vào các tài khoản ngân hàng ở nước ngoài.

3. Các kiểu tấn công phishing

• Spear phishing

Spear phishing tấn công cá nhân hoặc tổ chức cụ thể, với nội dung được thiết kế riêng cho nạn nhân. Điều này đòi hỏi hacker phải thu thập và đối chiếu các thông tin của nạn nhân (tên, chức danh, email, tên đồng nghiệp, mối quan hệ…) để tạo ra một email lừa đảo đáng tin cậy!

Spear phishing là một mối đe dọa nghiêm trọng đối với doanh nghiệp, chính phủ và gây thiệt hại rất lớn. Một báo cáo năm 2016 nói rằng Spear phishing chịu trách nhiệm cho 38% các cuộc tấn công mạng vào doanh nghiệp trong năm 2015, mỗi cuộc tấn công gây thiệt hại trung bình $1,8 tỷ cho các doanh nghiệp Mỹ.

• Clone phishing

Với Clone phishing, hacker sao chép các email hợp pháp, nhưng thay thế đường dẫn hoặc tệp đính kèm trong email. Khi người dùng nhấp vào liên kết hoặc mở tệp đính kèm, tài khoản của họ sẽ bị hacker kiểm soát. Sau đó, hacker sẽ giả mạo danh tính của nạn nhân để thực hiện phishing trong chính tổ chức của nạn nhân.

• 419/Nigeria scam

Email phishing đến từ hoàng tử Nigeria là một trong những vụ lừa đảo lâu đời nhất trên Internet. Nigeria scam là một email đến từ một người tự xưng là quan chức chính phủ hoặc thành viên của gia đình hoàng gia, cần giúp đỡ để chuyển hàng triệu đô ra khỏi ngân hàng Nigeria. Email dạng này thường được đánh dấu là “khẩn cấp” hoặc “riêng tư”, và yêu cầu người nhận cung cấp số tài khoản ngân hàng để chuyển tiền tiền.

Con số “419” đề cập đến Bộ luật hình sự của Nigeria liên quan đến gian lận, cáo buộc và hình phạt cho những người phạm tội.

• Phone phishing

Hình thức lừa đảo qua điện thoại này còn gọi là”voice phishing” hoặc “vishing.” Các phisher sẽ tự xưng là đại diện của ngân hàng, sở cảnh sát, hoặc thậm chí IRS tại địa phương bạn sinh sống. Họ sẽ đe dọa và yêu cầu bạn cung cấp thông tin tài khoản hoặc nộp phạt qua chuyển khoản hoặc bằng thẻ trả trước để tránh bị theo dõi.

Lừa đảo qua tin nhắn SMS (smishing) cũng được thực hiện tương tự như trên nhưng thông qua tin nhắn.

4. Cách xác định một cuộc tấn công phishing

Email được gửi từ người mà bạn không thường xuyên liên lạc, nội dung email không liên quan gì đến công việc của bạn. Hoặc bạn được yêu cầu gửi email cho những người mình không biết hoặc không liên quan.

Bạn nhận được tin nhắn/email yêu cầu trả phí hoặc có nội dung “cảnh báo”, “khẩn cấp”, khuyến khích bạn nhấp và hành động ngay nếu không muốn bị khóa tài khoản.

Bạn nhận tin nhắn có chứa tệp đính kèm bất thường. Các tệp đính kèm này có thể chứa malware, ransomware hoặc mối đe dọa trực tuyến khác.

Tin nhắn có chứa các lỗi chính tả và các liên kết đáng ngờ. Bạn đừng nhấp vào các embedded hyperlinks, thay vào đó, hãy di con trỏ qua liên kết để xem URL thực tế.

Ví dụ về phishing thông qua PayPal, yêu cầu người dùng nhấp vào nút “Xác nhận ngay”. Nếu di chuột qua nút này, bạn sẽ thấy URL thật sự:

Ví dụ về phishing giả mạo Amazon bằng cảnh báo “Khóa tài khoản nếu không phản hồi trong vòng 48 giờ”:

Ví dụ về phishing thu thập thông tin cá nhân:

5. Cách phòng trách phishing

• Không mở email từ người lạ.
• Không nhấp vào các liên kết đáng ngờ trong email.
• Nếu nghi ngờ một trang web trông có vẻ hợp pháp, bạn hãy nhập địa chỉ trang web hợp pháp trên trình duyệt theo cách thủ công.
• Kiểm tra xem website có dùng SSL không. Đây không phải là cách phòng tránh an toàn nhất, nhưng hầu hết các trang web hợp pháp đều sử dụng HTTPS để tăng tính bảo mật.
• Nếu bạn nghi ngờ một email không hợp pháp, hãy lấy các thông tin trong email và thử tìm kiếm xem liệu có cuộc tấn công lừa đảo nào thực hiện bằng các phương pháp tương tự không.
• Di chuột qua liên kết để kiểm tra URL chính xác.
• Sử dụng phần mềm bảo mật chống phần mềm độc hại đáng tin cậy.