Những loại Phishing dễ khiến người dùng mắc bẫy

Cục Điều tra Liên bang Hoa Kỳ ước tính rằng người Mỹ đã mất tới 12,5 tỷ đô la vào các chương trình lừa đảo trực tuyến vào năm 2023. Bạn nghĩ rằng mình có thể dễ dàng xác định được email lừa đảo và không trở thành nạn nhân của trò lừa đảo này, tuy nhiên, email độc hại chỉ là một trong nhiều cuộc tấn công phishing mà tội phạm mạng sử dụng.

Email Phishing

Ban đầu, một cuộc tấn công phishing chỉ ám chỉ đến một nỗ lực đánh cắp thông tin nhạy cảm hoặc tiền qua email. Đó là vì email là một trong những phương tiện tấn công đầu tiên mà tội phạm sử dụng để lừa đảo mọi người trực tuyến. Đây vẫn là một trong những kiểu lừa đảo trực tuyến phổ biến nhất, với ước tính 3,4 tỷ email được gửi mỗi ngày và là hình thức phạm tội được FBI báo cáo nhiều nhất.

Phần lớn các email phishing trước đây rất dễ nhận dạng. Ngữ pháp kém và lựa chọn từ ngữ kỳ lạ là những dấu hiệu rõ ràng cho thấy email đó là giả mạo. Điều đó đã thay đổi kể từ khi Generative AI như ChatGPT ra đời, giúp tin tặc không biết tiếng Anh nhanh chóng tạo ra các email có thể lừa đảo bất kỳ ai.

Nếu bạn đang thắc mắc liệu một email có phải là thật không, hãy liên hệ trực tiếp với công ty có liên quan, chứ đừng trả lời email. Và bất kể bạn làm gì, nếu không chắc chắn liệu một email có xác thực hay không, đừng nhấp vào bất kỳ liên kết nào hoặc tải xuống bất kỳ file đính kèm nào.

Smishing

Hầu hết mọi người kiểm tra tin nhắn trong vòng 5 phút sau khi nhận được vì tin nhắn, không giống như email, thường được gửi bởi bạn bè, gia đình và các công ty mà chúng ta tin tưởng.

Smishing cũng giống như email phishing, ngoại trừ việc thay vì nhận được email lừa đảo, bạn sẽ nhận được một tin nhắn SMS. Có thể bạn đã nhận được tin nhắn từ Amazon thông báo về việc gói hàng đã đến mặc dù không đặt hàng. Hoặc có thể bạn đã nhận được tin nhắn từ một người lạ nói rằng mình đã gọi nhầm số nhưng vẫn khăng khăng muốn bắt đầu cuộc trò chuyện với bạn. Cả hai đều là trường hợp tội phạm cố gắng khiến bạn nhấp vào phần mềm độc hại hoặc lừa bạn đưa tiền cho chúng.

Pig butchering là một cuộc tấn công smishing ngày càng phổ biến, trong đó kẻ tấn công chiếm được lòng tin của bạn trước khi thuyết phục bạn đầu tư vào thứ gì đó (thường là một sàn giao dịch tiền điện tử giả mạo) và cuối cùng đánh cắp khoản đầu tư của bạn.

Angler Phishing

Chúng ta đăng tải rất nhiều thông tin trên mạng xã hội để mọi người cùng xem. Những kẻ lừa đảo sẽ sử dụng thông tin này để tạo ra một cuộc tấn công angler phishing có tính cá nhân hóa cao.

Kẻ tấn công sẽ tìm kiếm thông tin trên mạng xã hội của bạn để tìm hiểu về các sản phẩm và dịch vụ bạn sử dụng. Sau đó, chúng đóng giả làm đại diện dịch vụ khách hàng của một công ty mà chúng xác định là bạn sử dụng. Chúng sẽ yêu cầu cung cấp thông tin nhạy cảm, gửi link độc hại hoặc liên kết đến trang web giả mạo để đánh cắp mật khẩu hoặc các thông tin khác mà chúng có thể sử dụng để truy cập vào tài khoản của bạn.

Vishing

Cuộc tấn công vishing có mọi yếu tố chính mà một cuộc tấn công Social Engineering cần có để thành công. Thời gian là yếu tố cốt lõi, khiến nạn nhân sợ hãi đến mức gần như cung cấp cho chúng thông tin nhạy cảm ngay lập tức.

Rất may, các tính năng và ứng dụng ngăn chặn lừa đảo có thể giảm các cuộc gọi độc hại, nhưng bạn vẫn nên cảnh giác.

Spear Phishing

Như đã đề cập, hàng tỷ email phishing được gửi đi mỗi ngày. Hầu hết trong số này là những email được gửi đi hàng loạt, giả vờ đến từ một doanh nghiệp hợp pháp, nhưng chúng không được cá nhân hóa.

Spear Phishing là một cuộc tấn công được cá nhân hóa nhiều hơn. Hãy tưởng tượng nếu một email bạn nhận được sử dụng tên của bạn và chứa thông tin nhạy cảm. Tất nhiên, bạn sẽ có xu hướng mở email đó nhiều hơn.

Các cuộc tấn công Spear Phishing không được sử dụng với người bình thường; thay vào đó, chúng dành riêng cho những người mà tin tặc cho là có giá trị cao. Tin tặc có thể đầu tư thời gian và tiền bạc để thu thập thông tin chi tiết về mục tiêu của chúng để tạo ra một email độc hại được cá nhân hóa cao.

Một biến thể của cuộc tấn công Spear Phishing là "whaling", được sử dụng cho các mục tiêu có giá trị cao hơn, chẳng hạn như giám đốc điều hành cấp cao và giám đốc điều hành.

Watering Hole

Cuộc tấn công watering hole hoạt động bằng cách xâm nhập vào một trang web hợp pháp. Kẻ tấn công có thể chiếm toàn bộ trang web hoặc tìm lỗ hổng và chèn code HTML hoặc JavaScript chuyển hướng người dùng đến một trang web giả mạo. Khi người dùng tin tưởng trang web này, họ có nhiều khả năng nhấp vào liên kết và cung cấp thông tin như thông tin thẻ tín dụng, số an sinh xã hội và thông tin đăng nhập.

Giả mạo trang web

Bạn đã bao giờ thử truy cập Amazon.com nhưng vô tình nhập Amazonn.com chưa? Mặc dù truy cập vào một trang web có vẻ ngoài và cảm giác giống hệt Amazon, nhưng thực chất đó là một trang web giả mạo do những kẻ lừa đảo sở hữu và điều hành. Trong một quá trình được gọi là Typosquatting, tội phạm mua tên miền tương tự như các trang web phổ biến. Chúng làm cho các trang web này trông giống nhau, ngoại trừ việc chúng được thiết kế hoàn toàn để thu thập thông tin nhạy cảm của bạn.

Mặc dù các cuộc tấn công phishing ngày càng khó phát hiện hơn, bạn có thể tự bảo vệ mình bằng cách không nhấp vào liên kết hoặc cung cấp thông tin nhạy cảm cho đến khi bạn xác minh chắc chắn rằng người bạn đang liên lạc là từ chính công ty đó.