[Infographic] Những loại Phishing dễ khiến người dùng mắc bẫy

Các cuộc tấn công giả mạo còn được biết tới dưới cái tên quen thuộc - Phishing. Phishing thường xuất hiện như một hoạt động đáng tin cậy của các công ty hợp pháp hay một trang thông tin điện tử có danh tiếng như eBay, Paypal, Gmail hay các ngân hàng trực tuyến dưới nhiều hình thức khác nhau.

Ở bài viết này, Quantrimang.com xin giới thiệu tới bạn đọc một số loại tấn công Phishing phổ biến nhất. Cho dù thông qua hình thức nào, bạn cũng nên nắm được những cách nhận biết và phòng tránh cơ bản. Hãy cùng theo dõi thông qua infographic dưới đây.

4 hình thức phổ biến nhất của phishing

• Email Phishing
• Gọi điện (Vishing)
• Nhắn tin (SMiShing)
• Bẫy USB

Email Phishing

Email lừa đảo thường xuất hiện như một thực thể đáng tin cậy với mục đích đánh cắp dữ liệu cá nhân để kiếm tiền. Kiểu Phishing này thường đính kèm các tệp cài đặt phần mềm độc hại lên máy tính hoặc liên kết đến trang web bất hợp pháp để lừa nạn nhân chuyển giao dữ liệu cá nhân.

Các thống kê cho thấy, có tới 91% các cuộc tấn công mạng tiên tiến bắt đầu bằng email, 50% người nhận sẽ mở email và click vào liên kết lừa đảo. Số liệu này cho thấy Phishing bằng email là cách cực kỳ hữu hiệu được tội phạm mạng sử dụng.

• Cách nhận biết và phòng tránh tấn công Phishing qua email giả mạo

Gọi điện (Vishing)

Các cuộc điện thoại lừa đảo được tội phạm mạng thực hiện bằng cách mạo danh các dịch vụ tài chính, ngân hàng để dụ dỗ người dùng cung cấp thông tin chuyển tiền hoặc các thông tin nhạy cảm khác.

Con số Vishing gây tổn hại trên toàn cầu là vào khoảng 46.3 tỷ USD mỗi năm.

TIP: Hạn chế nhận cuộc gọi từ các số điện thoại lạ và không bao giờ cung cấp thông tin cá nhân qua điện thoại.

Nhắn tin (SMiShing)

Hình thức này được thực hiện bằng cách sử dụng tin nhắn văn bản để dụ nạn nhân tải phần mềm độc hại xuống điện thoại, truy cập trang web lừa đảo hoặc gọi tới số điện thoại giả mạo. Tin nhắn dạng SMiShing cũng có thể mang tính câu kéo, thúc ép khiến nạn nhân tin tưởng dẫn tới một hành động ngay lập tức như yêu cầu cung cấp thông tin bảo mật và chi tiết tài khoản cá nhân của chủ sở hữu.

Một cuộc khảo sát gần đây của Pew Research thống kê rằng chỉ có 32% người dùng smartphone đã cài đặt phần mềm anti-virus trên điện thoại của mình. Vì vậy khả năng các cuộc tấn công Phishing qua điện thoại vẫn đạt được mục đích của mình là khá cao.

TIP: Không trả lời tin nhắn hoặc nhấp vào bất kỳ liên kết nào. Xóa tin nhắn và chặn số người gửi ngay lập tức.

Bẫy USB

Trong các cuộc tấn công lừa đảo sử dụng USB, tội phạm mạng đánh vào tâm lý nạn nhân khi thường "bỏ quên" các thiết bị USB để người sử dụng sẽ cắm vào máy tính của mình với mục đích tìm chủ nhân của thiết bị. Các ổ USB này được sử dụng để tiêm mã độc, chuyển hướng bạn đến các trang web lừa đảo hoặc cấp cho hacker quyền truy cập vào máy tính cá nhân.

Một cuộc tấn công Phishing vào những tổ chức cỡ vừa trung bình sẽ làm "bay hơi" khoảng 1.6 triệu USD mỗi lần.

Vì vậy, luôn cảnh giác và chống lại sự cám dỗ khi bạn muốn đưa một chiếc USB "tự nhiên bắt được" vào máy tính của mình chỉ để xem những gì trên đó. Thay vào đó, hãy đem nó lên bộ phận CNTT có chuyên môn để xử lý.

Một số hình thức tấn công Phishing khác

Spear Phishing

Đây là một loại tấn công phishing tinh vi và nâng cao hơn nhằm vào một nhóm hoặc thậm chí các cá nhân cụ thể. Nó thường được sử dụng bởi những hacker cao cấp để xâm nhập vào các tổ chức.

Những kẻ lừa đảo thực hiện nghiên cứu sâu rộng về một người, lý lịch của họ hoặc những người mà họ thường xuyên tương tác để có thể tạo ra một nội dung mang tính cá nhân hơn, và bởi vì những người dùng cá nhân thường không nghi ngờ rằng có điều gì đó không ổn.

Hãy luôn so sánh địa chỉ email và định dạng của email với những gì bạn thường nhận được từ người liên hệ đó. Tốt nhất là gọi cho người gửi và xác minh mọi thứ trước khi tải xuống file đính kèm hoặc nhấp vào liên kết ngay cả khi có vẻ như đó là từ người bạn biết.

Whaling

Đây là một kiểu tấn công phishing tinh vi và tiên tiến khác. Kiểu này chỉ nhắm vào một nhóm người cụ thể - các giám đốc điều hành doanh nghiệp cấp cao như quản lý hoặc CEO.

Đôi khi, các email lừa đảo này đề cập trực tiếp đến mục tiêu trong lời chào và thông điệp có thể ở dạng trát hầu tòa, khiếu nại pháp lý hoặc thứ gì đó yêu cầu hành động khẩn cấp để tránh phá sản, bị sa thải hoặc trả chi phí liên quan đến pháp lý.

Những kẻ tấn công sẽ dành nhiều thời gian để nghiên cứu sâu rộng về người đó và tạo ra một thông điệp chuyên biệt nhắm mục tiêu vào những người chủ chốt trong một tổ chức, những người thường có quyền truy cập vào quỹ hoặc thông tin nhạy cảm.

Mục tiêu sẽ được gửi liên kết đến một trang đăng nhập trông rất thuyết phục, nơi tin tặc sẽ lấy mã truy cập hoặc thông tin đăng nhập. Một số tội phạm mạng cũng sẽ yêu cầu nạn nhân tải xuống file đính kèm để xem phần còn lại của thứ được gọi là trát hầu tòa hoặc thư. Các file đính kèm này chứa phần mềm độc hại có thể truy cập vào máy tính.

Angler Phishing

Thủ đoạn tấn công phishing tương đối mới này sử dụng mạng xã hội để thu hút mọi người chia sẻ thông tin nhạy cảm. Kẻ lừa đảo theo dõi những người đăng về ngân hàng và các dịch vụ khác trên mạng xã hội. Sau đó, chúng giả làm đại diện dịch vụ khách hàng từ công ty đó.

Giả sử bạn đăng một bài báo về khoản tiền gửi bị trì hoãn hoặc một số dịch vụ ngân hàng chất lượng kém và bài đăng bao gồm tên ngân hàng của bạn. Tội phạm mạng sẽ sử dụng thông tin này để giả vờ rằng chúng đến từ ngân hàng và sau đó liên hệ với bạn.

Sau đó, bạn sẽ được yêu cầu nhấp vào một liên kết để có thể nói chuyện với đại diện dịch vụ khách hàng và sau đó chúng sẽ yêu cầu bạn cung cấp thông tin để xác minh danh tính.

Khi bạn nhận được thông báo như thế này, tốt nhất bạn nên liên hệ với bộ phận dịch vụ khách hàng thông qua các kênh an toàn như trang Twitter hoặc Instagram chính thức. Chúng thường có dấu hiệu tài khoản đã được xác minh.

CEO Fraud Phishing

Điều này gần giống như kiểu tấn công Whaling. Nó nhắm mục tiêu đến các CEO và quản lý nhưng kiểu tấn công này thậm chí còn nguy hiểm hơn, vì mục tiêu không chỉ là lấy thông tin từ CEO mà là mạo danh vị CEO đó. Kẻ tấn công, giả danh CEO hoặc chức danh tương tự sau đó sẽ gửi email cho đồng nghiệp yêu cầu chuyển tiền thông qua hình thức chuyển khoản hoặc yêu cầu gửi thông tin bí mật ngay lập tức.

Cuộc tấn công thường nhằm vào một người nào đó trong công ty được ủy quyền thực hiện việc chuyển khoản ngân hàng, chẳng hạn như thủ quỹ, người từ bộ phận tài chính hoặc những người nắm giữ thông tin nhạy cảm. Thông báo thường mang nghĩa rất khẩn cấp, vì vậy nạn nhân sẽ không có thời gian để suy nghĩ.

Search Engine Phishing

Đây là một trong những kiểu tấn công phishing mới nhất sử dụng các công cụ tìm kiếm hợp pháp. Những kẻ lừa đảo sẽ tạo ra một trang web không có thật cung cấp các ưu đãi, những mặt hàng miễn phí và giảm giá cho các sản phẩm, thậm chí cả những lời mời làm việc giả mạo. Sau đó, chúng sẽ sử dụng kỹ thuật SEO để các trang web được lập chỉ mục bởi những site hợp pháp.

Vì vậy, khi bạn tìm kiếm một thứ gì đó, công cụ tìm kiếm sẽ hiển thị cho bạn kết quả bao gồm các trang web giả mạo này. Sau đó, bạn sẽ bị lừa đăng nhập hoặc cung cấp thông tin nhạy cảm cho tội phạm mạng.

Một số kẻ lừa đảo đang trở nên thành thạo trong việc sử dụng các kỹ thuật tiên tiến để thao túng những công cụ tìm kiếm nhằm thu hút lưu lượng truy cập vào trang web.

Hãy cẩn thận và tự bảo vệ mình khỏi những cuộc tấn công Phishing!