Lừa đảo là một trong những hình thức tấn công mạng phổ biến nhất hiện nay, hầu hết các vụ việc liên quan đến mất thông tin tài khoản như tài khoản mạng xã hội, tài khoản email, tài khoản ngân hàng đều có liên quan đến lừa đảo. Trong bài viết này ta sẽ cùng tìm hiểu về hình thức tấn công lừa đảo, nhằm rút ra bài học kinh nghiệm để nhận biết hình thức tấn công này và có thể tự phòng chống.

Lừa đảo là gì?

Lừa đảo hay phishing là một trong những kiểu tấn công phi kỹ thuật (Social engineering), kẻ tấn công sẽ dựa vào các mối liên kết xã hội của nạn nhân dể thực hiện tấn công lừa đảo. Trong thực tế, kẻ tấn công sẽ xây dựng các hệ thống giả mạo, sau đó dùng các thông tin có được của nạn nhân để dụ dỗ hay lừa gạt, những thông tin của nạn nhân mà kẻ tấn công có được càng riêng tư sẽ càng có hiệu quả cao khi nạn nhân tin tưởng vào kẻ tấn công và trao các thông tin riêng tư khác.

Làm sao để lấy được thông tin từ bạn, chính là hỏi bạn. Kẻ lừa đảo sẽ giả mạo thành những người thân tín của bạn, giả mạo là đồng nghiệp, là lãnh đạo ở công ty, hay là bạn bè thân thiết của bạn để hỏi những thông tin của bạn.

Lừa đảo có mặt ở khắp mọi nơi và trong thời đại internet phẳng như hiện nay lừa đảo lại càng có nhiều cơ hội để sinh sôi, mọi người cũng nên tự trang bị kiến thức phòng tránh cho bản thân để không phải gặp rắc rối với tội phạm lừa đảo.

Dấu hiệu nhận biết lừa đảo

Kẻ tấn công luôn tìm mọi cách để liên hệ với bạn, ví dụ sẽ gửi email đến cho bạn, liên hệ với bạn qua các ứng dụng chat trực tuyến (OTT), liên hệ với bạn qua mạng xã hội (facebook, zalo…), liên hệ với bạn qua điện thoại hay tin nhắn sms.

Lừa đảo qua mạng xã hội, kẻ tấn công thường sẽ dùng tài khoản đã chiếm đoạt từ người khác trong danh sách bạn bè của bạn (trong trường hợp khác là giả mạo bạn bè/người thân của bạn), ban đầu sẽ tạo niềm tin với bạn, rồi hỏi tiếp những thông tin riêng tư. Kẻ lừa đảo chỉ thực hiện hành vi lừa đảo với gần như một mục đích là vì tiền, do đó nếu thấy các yêu cầu gửi tiền hay chuyển tiền đi đâu đó thì luôn cẩn trọng, hoặc dụ dỗ bạn tham gia vào một hệ thống tài chính nào đó để sinh lời cao (đánh vào tâm lý muốn kiếm tiền), rồi cũng chỉ để chiếm đoạt tiền của bạn.

Lừa đảo qua email, những kẻ lừa đảo sẽ gửi email giả mạo thành những tổ chức tín dụng, ngân hàng, giả mạo thành các hệ thống dịch vụ internet mà bạn đang sử dụng, như các trang mạng xã hội, hay chính email mà bạn đang dùng để lừa đảo bạn truy cập vào một đường link, đường link đó là một cái bẫy để lừa bạn điền các thông tin mà kẻ tấn công muốn, thường là thông tin tài khoản và mật khẩu nào đó.

Lừa đảo qua số điện thoại của bạn, kẻ tấn công sẽ giả mạo là những người làm việc trong ngân hàng mà bạn đang dùng, giả mạo là khách hàng của bạn, giả mạo là nhân viên thực thi pháp luật để khủng bố hay lừa gạt bạn phải chuyển tiền cho chúng. Đừng bao giờ chuyển tiền cho ai chỉ với vài cuộc gọi điện thoại, cho dù vấn đề liên quan trong các cuộc gọi đó có thực sự nghiêm trọng. Gọi điện cho bạn để nhận hàng thay cho người thân của mình, đây cũng là một hành vi lừa đảo rất dễ gặp, kẻ lừa đảo cố tình gọi cho bạn để nhận hàng thay cho người thân, thường sẽ là những món hàng không có giá trị và mục đích là chiếm đoạt tiền của bạn.

Lừa đảo qua tin nhắn SMS, hầu hết các thương hiệu lớn và các tổ chức lớn có uy tín đều có chính sách xây dựng thương hiệu, một trong các hình thức xây dựng thương hiệu là SMB Brandname, bạn sẽ nhìn thấy một tin nhắn được gửi đến từ một tên gọi (ví dụ: Apple, Google) thay cho một số điện thoại. Kẻ tấn công lừa đảo thì thường dùng cách giả mạo những tên thương hiệu này để gửi tin nhắn đến cho bạn (ví dụ: thay vì là Apple thì sẽ là Apple abc.). Tương tự email, trong tin nhắn này sẽ có một đường link giả mạo.

Phòng tránh lừa đảo

• Đầu tiên hãy biết cách bảo mật thông tin cá nhân (đọc thêm tại đây). Tránh để lộ quá nhiều thông tin cá nhân sẽ giúp bạn tránh bị các kẻ xấu khai thác các thông tin này nhằm lừa gạt bạn.
• Xem xét cẩn thận các đường link trước khi nhấn vào. Nếu thấy một trang web hay ứng dụng hỏi các thông tin riêng tư, nhất là tài khoản hay mật khẩu thì tuyệt đối cẩn thận, phải xác minh đường link đó có đúng chính xác hay không trước khi bấm vào. (Xem thêm cách nhận biết đường link giả mạo)
• Không chuyển tiền hay gửi tiền cho bất kỳ ai nếu chưa xác minh chính xác. Nếu bạn nhận được yêu cầu chuyển tiền từ tài khoản mạng xã hội, email hay sms, thì hãy gọi điện thoại trực tiếp đến người đó để xác minh trước.
• Trong các trường hợp nhận được các cuộc gọi hoặc email hoặc sms, mà tự xưng là nhân viên công quyền hay lực lượng thực thi pháp luật thì chắc chắn đó là lừa đảo, vì các lực lượng này sẽ thông qua chính quyền địa phương để liên hệ với bạn khi cần.
• Hầu hết kẻ lừa đảo đều dụ dỗ bạn với một hứa hẹn về khoản tiền lớn, sau đó đòi bạn chuyển một khoản tiền nhỏ hơn để “bôi trơn” cho việc nhận khoản tiền lớn, đây là thủ đoạn quen thuộc khi nhắm vào lòng tham của con người, do đó cần cảnh giác trước các thủ đoạn này không ai tự nhiên cho bạn một khoản tiền lớn cả!

“Là một người làm việc lâu năm trong nghành An toàn thông tin, bản thân tôi gặp rất nhiều những vụ việc liên quan đến lừa đảo trực tuyến, có người thì nhờ tôi lấy lại các tài khoản mạng xã hội, có người khác muốn tôi giúp lấy lại được tiền đã mất. Nhưng hầu hết tôi đều không thể giúp được. Vì vậy phòng tránh là cách tốt nhất để bảo vệ mình”