Tin tức đầy rẫy các báo cáo về “các cuộc tấn công lừa đảo trực tuyến” được sử dụng chống lại các chính phủ, các tập đoàn lớn và các nhà hoạt động chính trị. Các cuộc tấn công lừa đảo qua mạng hiện là cách phổ biến nhất mà mạng công ty bị xâm nhập, theo nhiều báo cáo.

Spear-phishing là một hình thức lừa đảo mới hơn và nguy hiểm hơn. Thay vì giăng một tấm lưới rộng với hy vọng bắt được bất cứ thứ gì, những kẻ lừa đảo thường tấn công cẩn thận và nhắm vào từng người hoặc từng bộ phận cụ thể.

Giải thích về Lừa đảo

Lừa đảo là hành vi mạo danh ai đó đáng tin cậy để thử và lấy thông tin của bạn. Ví dụ: kẻ lừa đảo có thể gửi email spam giả danh từ Bank of America yêu cầu bạn nhấp vào liên kết, truy cập trang web giả mạo của Bank of America (trang web lừa đảo) và nhập chi tiết ngân hàng của bạn.

Tuy nhiên, lừa đảo không chỉ giới hạn ở email. Kẻ lừa đảo có thể đăng ký tên trò chuyện như “Hỗ trợ Skype” trên Skype và liên hệ với bạn qua tin nhắn Skype, nói rằng tài khoản của bạn đã bị xâm phạm và chúng cần mật khẩu hoặc số thẻ tín dụng của bạn để xác minh danh tính của bạn. Điều này cũng đã được thực hiện trong các trò chơi trực tuyến, nơi những kẻ lừa đảo mạo danh quản trị viên trò chơi và gửi tin nhắn yêu cầu mật khẩu của bạn, chúng sẽ sử dụng mật khẩu này để đánh cắp tài khoản của bạn. Lừa đảo cũng có thể xảy ra qua điện thoại. Trước đây, có thể bạn đã nhận được các cuộc điện thoại tự xưng là từ Microsoft và nói rằng bạn có vi-rút, bạn phải trả tiền để loại bỏ.

Những kẻ lừa đảo thường giăng một lưới rất rộng. Email lừa đảo của Bank of America có thể được gửi tới hàng triệu người, ngay cả những người không có tài khoản Bank of America. Do đó, lừa đảo thường khá dễ phát hiện. Nếu bạn không có mối quan hệ với Bank of America và nhận được email tự nhận là từ họ, thì cần phải hiểu rõ rằng email đó là lừa đảo. Những kẻ lừa đảo phụ thuộc vào thực tế rằng, nếu họ liên hệ với đủ người, cuối cùng sẽ có người rơi vào tình trạng lừa đảo của họ. Đây cũng là lý do mà chúng ta vẫn có email spam – ai đó ngoài kia chắc chắn phải yêu chúng nếu không chúng sẽ không sinh lợi.

Hãy xem cấu trúc của một email lừa đảo để biết thêm thông tin.

Spear Phishing khác nhau như thế nào

Nếu lừa đảo truyền thống là hành động giăng một lưới rộng với hy vọng bắt được thứ gì đó, thì lừa đảo trực tiếp là hành động nhắm mục tiêu một cách cẩn thận vào một cá nhân hoặc tổ chức cụ thể và điều chỉnh cuộc tấn công cho riêng họ.

Mặc dù hầu hết các email lừa đảo không thật cụ thể, nhưng một cuộc tấn công lừa đảo trực tuyến sử dụng thông tin cá nhân để làm cho trò lừa đảo có vẻ như thật. Ví dụ: thay vì đọc “Kính gửi Ngài, vui lòng nhấp vào liên kết này để biết được sự giàu có và giàu có”, email có thể có nội dung “Xin chào Bob, vui lòng đọc kế hoạch kinh doanh này mà chúng tôi đã soạn thảo trong cuộc họp hôm thứ Ba và cho chúng tôi biết suy nghĩ của bạn.” Email có thể đến từ một người nào đó mà bạn biết (có thể với một địa chỉ email giả mạo, nhưng có thể với một địa chỉ email thực sau khi người đó bị xâm nhập trong một cuộc tấn công lừa đảo) chứ không phải từ một người nào đó mà bạn không biết. Yêu cầu được làm cẩn thận hơn và có vẻ như nó có thể là hợp pháp. Email có thể đề cập đến người bạn biết, giao dịch mua hàng bạn đã thực hiện hoặc một phần thông tin cá nhân khác.

Các cuộc tấn công lừa đảo nhằm vào các mục tiêu có giá trị cao có thể được kết hợp với khai thác zero-day để đạt được thiệt hại tối đa. Ví dụ: một kẻ lừa đảo có thể gửi email cho một cá nhân tại một doanh nghiệp cụ thể nói rằng “Xin chào Bob, bạn có vui lòng xem báo cáo kinh doanh này không? Jane nói rằng bạn sẽ cung cấp cho chúng tôi một số phản hồi ”. với một địa chỉ email hợp pháp. Liên kết có thể đi đến một trang web có nhúng nội dung Java hoặc Flash, lợi dụng ngày 0 để xâm phạm máy tính. (Java đặc biệt nguy hiểm, vì hầu hết mọi người đều đã cài đặt các plugin Java lỗi thời và dễ bị tấn công.) Khi máy tính bị xâm nhập, kẻ tấn công có thể truy cập vào mạng công ty của họ hoặc sử dụng địa chỉ email của họ để khởi động các cuộc tấn công lừa đảo có chủ đích chống lại các cá nhân khác trong cơ quan.

Kẻ lừa đảo cũng có thể đính kèm một tệp nguy hiểm được ngụy trang để trông giống như một tệp vô hại. Ví dụ: email lừa đảo trực tuyến có thể có tệp PDF thực sự là tệp .exe được đính kèm.

Ai thực sự cần lo lắng

Các cuộc tấn công lừa đảo trực tuyến đang được sử dụng để chống lại các tập đoàn và chính phủ lớn để truy cập vào mạng nội bộ của họ. Chúng tôi không biết về mọi công ty hoặc chính phủ đã bị xâm nhập bởi các cuộc tấn công lừa đảo trực tuyến thành công. Các tổ chức thường không tiết lộ chính xác loại tấn công đã làm tổn hại đến họ. Họ thậm chí không muốn thừa nhận rằng họ đã bị tấn công.

Một cuộc tìm kiếm nhanh cho thấy các tổ chức bao gồm Nhà Trắng, Facebook, Apple, Bộ Quốc phòng Hoa Kỳ, The New York Times, Wall Street Journal và Twitter đều có khả năng bị xâm nhập bởi các cuộc tấn công lừa đảo trực tuyến. Đó chỉ là một vài tổ chức mà chúng tôi biết đã bị xâm nhập – mức độ của vấn đề có thể lớn hơn nhiều.

Nếu kẻ tấn công thực sự muốn xâm phạm một mục tiêu có giá trị cao, thì một cuộc tấn công lừa đảo trực tuyến – có thể kết hợp với một phương thức khai thác zero-day mới được mua trên thị trường chợ đen – thường là một cách rất hiệu quả để làm như vậy. Các cuộc tấn công lừa đảo trực tuyến thường được đề cập là nguyên nhân khi một mục tiêu có giá trị cao bị xâm phạm.

Bảo vệ bản thân khỏi Lừa đảo bằng giáo

Với tư cách là một cá nhân, bạn ít có khả năng trở thành mục tiêu của một cuộc tấn công tinh vi như vậy so với các chính phủ và các tập đoàn lớn. Tuy nhiên, những kẻ tấn công vẫn có thể cố gắng sử dụng các chiến thuật phishing chống lại bạn bằng cách đưa thông tin cá nhân vào email lừa đảo. Điều quan trọng là phải nhận ra rằng các cuộc tấn công lừa đảo ngày càng trở nên tinh vi hơn.

Khi nói đến lừa đảo, bạn nên cảnh giác. Luôn cập nhật phần mềm của bạn để bạn được bảo vệ tốt hơn khỏi bị xâm phạm nếu bạn nhấp vào liên kết trong email. Hãy hết sức thận trọng khi mở các tệp đính kèm trong email. Cẩn thận với những yêu cầu bất thường về thông tin cá nhân, ngay cả những yêu cầu có vẻ như là hợp pháp. Không sử dụng lại mật khẩu trên các trang web khác nhau, đề phòng trường hợp mật khẩu của bạn bị mất.

Các cuộc tấn công lừa đảo thường cố gắng làm những điều mà các doanh nghiệp hợp pháp sẽ không bao giờ làm. Ngân hàng của bạn sẽ không bao giờ gửi email cho bạn và hỏi mật khẩu của bạn, một doanh nghiệp bạn đã mua hàng sẽ không bao giờ gửi email cho bạn và yêu cầu số thẻ tín dụng của bạn và bạn sẽ không bao giờ nhận được tin nhắn tức thì từ một tổ chức hợp pháp yêu cầu bạn cung cấp mật khẩu của bạn hoặc thông tin nhạy cảm khác. Không nhấp vào liên kết trong email và đưa ra thông tin cá nhân nhạy cảm, cho dù email lừa đảo và trang web lừa đảo có thuyết phục đến đâu.


Giống như tất cả các hình thức lừa đảo khác, lừa đảo trực tuyến là một hình thức tấn công kỹ thuật xã hội đặc biệt khó chống lại. Tất cả những gì chỉ cần một người mắc lỗi và những kẻ tấn công sẽ thiết lập được chỗ đứng trong mạng của bạn.

Tín dụng hình ảnh: Cá và Động vật hoang dã Florida trên Flickr

Tham khảo (HowToGeek)