Smishing, Phishing và Vishing là gì? Chúng khác nhau như thế nào?

Bạn có bao giờ nhận được những email, tin nhắn hoặc cuộc gọi kỳ lạ yêu cầu tiền, thông tin cá nhân của bạn hoặc bạn nhấp vào một số liên kết mờ ám để hoàn thành công việc nào đó không? Rất có thể một số kẻ lừa đảo đang cố gắng dụ dỗ bạn bằng các kỹ thuật phishing, smishing hoặc vishing.

Nhưng làm thế nào để bạn biết mình vướng phải rắc rối nào trong số này và làm cách nào bạn có thể tránh bị mắc vào bẫy của chúng?

Phishing, Smishing và Vishing

Trước khi đi sâu vào chi tiết, đây là tổng quan về những gì mỗi trò lừa đảo đòi hỏi:

Phishing là gì?

Các nỗ lực phishing thường được thực hiện thông qua email. Những kẻ lừa đảo sử dụng email vì rất dễ giả mạo địa chỉ "From" và làm cho email trông giống như được gửi từ ngân hàng, một cửa hàng nổi tiếng, cơ quan chính phủ, v.v... Chúng thường gửi thư dựa trên những thứ mà mọi người có thể sẽ nhận được email, chẳng hạn như ngân hàng, đơn đặt hàng của Amazon, thông báo theo dõi gói hàng từ UPS hoặc FedEx hay yêu cầu reset mật khẩu từ Facebook hoặc Gmail.

Tất nhiên, phản ứng đầu tiên của bạn là nghĩ: "Ồ không, tốt hơn hết tôi nên kiểm tra điều đó!" Vì vậy, bạn nhấp vào liên kết được cung cấp để xử lý nó ngay lập tức. Nhưng liên kết đó không đưa bạn đến trang web đích thực. Thay vào đó, nó sẽ đưa bạn đến một trang đăng nhập giả mạo mà những kẻ lừa đảo đã tạo và ngay sau khi bạn nhập chi tiết đăng nhập, chúng sẽ có toàn quyền truy cập vào tài khoản của bạn. Tiếp theo, chúng sẽ thay đổi mật khẩu của bạn, rút cạn tài khoản ngân hàng hoặc đánh cắp danh tính của bạn.

Smishing là gì?

Smishing là một trò lừa đảo được gửi qua tin nhắn văn bản tới điện thoại thay vì email tới hộp thư đến của bạn. Từ này xuất phát từ việc kết hợp từ "SMS", nghĩa là Short Message Service (tin nhắn văn bản) và "phishing".

Tin nhắn Smishing sử dụng đủ loại thủ thuật để khiến bạn nhấp vào liên kết hoặc từ bỏ các chi tiết nhạy cảm. Các tin nhắn thường có vẻ hợp pháp, giống như chúng được gửi từ ngân hàng, bạn bè hoặc công ty bạn sử dụng và bao gồm các liên kết được nhúng để nhấp qua. Nếu bạn nhấp vào liên kết đó và gửi thông tin đăng nhập của mình, thì bạn đã trở thành nạn nhân của trò lừa đảo.

Trong một trường hợp khác, một tin nhắn SMS với mục đích xấu có thể cho biết bạn đã trúng giải thưởng hoặc xổ số một cách bất ngờ. Để nhận "tiền thưởng", bạn cần phải trả một khoản phí nhỏ, gọi đến một số hoặc nhấp vào liên kết yêu cầu thông tin cá nhân (bao gồm cả mật khẩu). Giải thưởng này không tồn tại và chi tiết tài khoản bị xâm phạm có thể cho phép những kẻ lừa đảo rút hết số dư ngân hàng của bạn.

Kiểu lừa đảo tương tự là một tin nhắn cho biết ai đó đã trúng xổ số và muốn chia sẻ số tiền thắng cược của họ với bạn. Đúng như dự kiến, họ cung cấp hướng dẫn nhấp vào liên kết hoặc cung cấp thông tin cá nhân để đảm bảo.

Vậy tại sao lại nhắn tin mà không phải là gửi email? Theo Gartner, số người đọc và trả lời tin nhắn tăng lên nhiều hơn - khoảng 98% so với chỉ 20% đối với email. Bởi vì chúng ta thường xuyên dán mắt vào điện thoại nên việc smishing có cơ hội thành công cao hơn.

Vishing là gì?

Vishing là "voice phishing" và đề cập đến các trò lừa đảo được thực hiện qua những cuộc gọi điện thoại. Điều này giống như nhận được email phishing, ngoại trừ việc kẻ tấn công gọi trực tiếp cho bạn bằng tương tác được ghi âm hoặc trực tiếp thay vì liên hệ bằng hình thức kỹ thuật số.

Vishing sử dụng các chiến lược Social Engineering khác nhau để cố đánh lừa bạn. Một kỹ thuật tấn công Vishing phổ biến là yêu cầu một tình huống đáng sợ khẩn cấp như số An sinh xã hội của bạn bị sử dụng một cách gian lận hoặc bạn nợ tiền IRS. Điều này khiến nạn nhân sợ hãi hoặc hoảng loạn, khiến họ có nhiều khả năng tuân theo khi kẻ lừa đảo nói rằng chúng cần thông tin cá nhân để giúp giải quyết tình huống. Câu chuyện trong thread X dưới đây là một tình huống điển hình:

Một thủ thuật khác mà visher sử dụng là "giả mạo ID người gọi" để khiến cuộc gọi trông giống như đến từ một công ty hợp pháp, cơ quan chính phủ hoặc số địa phương. Kẻ xấu có thể đã thu thập từng phần thông tin của bạn từ các vụ vi phạm dữ liệu trong quá khứ, vì vậy, nội dung nghe có vẻ thuyết phục hơn khi chúng gọi, nhằm thu hút được sự chú ý và tin tưởng của bạn.

Bây giờ, một trong hai điều xảy ra.

1. Nạn nhân sẽ gặp hệ thống giọng nói tự động yêu cầu nạn nhân nhập thẻ tín dụng, thẻ ghi nợ hoặc các chi tiết ngân hàng khác, cùng với mã PIN và thông tin nhận dạng cá nhân khác.
2. Ban đầu, khi nạn nhân cúp máy để gọi đến ngân hàng, kẻ lừa đảo sẽ ngăn việc này. Điều này giữ cho đường dây luôn mở và kết nối với kẻ lừa đảo. Sau đó, nạn nhân có thể nghe thấy một âm quay số giả mạo, sau đó là kẻ lừa đảo "trả lời" điện thoại. Tiếp theo, chúng đóng vai nhân viên ngân hàng, yêu cầu nạn nhân cung cấp thông tin chi tiết để sử dụng sau này hoặc chuyển tiền từ tài khoản này sang tài khoản "an toàn" mới.

Thật không may, tổn thất kinh tế thông qua các cuộc tấn công vishing vẫn là một vùng xám về mặt pháp lý, khi các ngân hàng lập luận rằng nạn nhân phải chịu một số trách nhiệm pháp lý để tích cực bảo vệ lợi ích của họ, bất chấp những nỗ lực phối hợp của những kẻ lừa đảo.

Cách phát hiện các trò lừa đảo Phishing, Smishing và Vishing

Bạn có thể trang bị cho mình một số chiến thuật nhằm giảm nhẹ tác động của các trò lừa này. Chúng rất dễ nhớ và sẽ giúp bạn tiết kiệm thời gian, tiền bạc.

1. Kiểm tra kỹ số điện thoại, địa chỉ email hoặc nguồn tin nhắn văn bản hoặc tức thời của người gọi. Con số này có thể đã bị giả mạo để trông giống như một nguồn chính thức.
2. Ngay cả khi số đó có vẻ hợp pháp, hãy luôn sử dụng đường dây điện thoại khác khi bạn được yêu cầu gọi lại cho một số khác. Điều này tránh được những trò lừa đảo "không cúp máy". Sử dụng số từ bảng sao kê ngân hàng gần đây hoặc tra cứu trực tuyến số dịch vụ khách hàng chính của ngân hàng.
3. Đừng bao giờ cung cấp cho bất kỳ ai thông tin ngân hàng của bạn qua điện thoại, cho dù họ có kiên quyết đến thế nào. Ngân hàng của bạn sẽ không yêu cầu bạn cung cấp bất kỳ chi tiết nhận dạng nào, đặc biệt là mã PIN, số bảo mật ở mặt sau thẻ hoặc thậm chí ngày hết hạn thẻ.
4. Không bao giờ chuyển tiền vào tài khoản khác theo lệnh của một người gọi ngẫu nhiên. Ngân hàng của bạn sẽ không bao giờ yêu cầu bạn làm điều này. Tương tự, họ sẽ không cử người chuyển phát nhanh đến nhà bạn để lấy sổ séc của bạn. Không có tổ chức chính thức nào làm điều này trừ khi bạn bị bắt theo lệnh của IRS.
5. Hãy hết sức cảnh giác với những tin nhắn bất thường từ ngân hàng của bạn hoặc một tổ chức đáng tin cậy khác. Trừ khi trước đó bạn đã đồng ý với ngân hàng của mình rằng việc liên hệ qua SMS được chấp nhận, điều đó sẽ không xảy ra.
6. Tương tự, hãy cảnh giác với bất kỳ liên kết nào có trong bất kỳ tin nhắn SMS nào. Các liên kết rút gọn có thể đưa bạn đến bất cứ đâu và có rất ít cách để biết điều gì sẽ xảy ra khi liên kết đó được nhấp vào.
7. Hãy cúp máy khi nhận được những cuộc gọi đe dọa yêu cầu thanh toán ngay lập tức. Các công ty thực sự sẽ không đưa ra những lời đe dọa vô căn cứ một cách bất ngờ.
8. Không bao giờ trả tiền cho những người gọi không quen bằng các phương tiện không thể thay đổi được như thẻ quà tặng, tiền điện tử hoặc chuyển khoản ngân hàng. Những phương thức thanh toán này không cung cấp cho bạn sự bảo vệ chống gian lận.
9. Tin vào bản năng của bạn. Nếu một email, tin nhắn hoặc cuộc gọi có vẻ đáng ngờ hoặc "quá tốt để có thể tin là sự thật", hãy coi đó là một nỗ lực lừa đảo.

Trên hết, hãy cảnh giác. Nếu bạn không chắc chắn, chỉ cần gác máy. Nếu đó là một email hoặc tin nhắn đáng ngờ, hãy bỏ qua nó.