Trace Id is missing
Bỏ qua để tới nội dung chính
Microsoft Security

Lừa đảo qua mạng là gì?

Những cuộc tấn công lừa đảo qua mạng nhằm mục đích lấy cắp hoặc phá hủy dữ liệu nhạy cảm bằng cách lừa mọi người tiết lộ thông tin cá nhân như mật khẩu và số thẻ tín dụng.

Các loại hình tấn công lừa đảo qua mạng khác nhau

Các cuộc tấn công lừa đảo qua mạng đến từ những kẻ lừa đảo giả mạo là nguồn đáng tin cậy và có thể tạo điều kiện để chúng truy nhập vào tất cả các loại dữ liệu nhạy cảm. Khi công nghệ phát triển, những cuộc tấn công trên mạng cũng phát triển theo. Hãy tìm hiểu về những loại hình lừa đảo qua mạng phổ biến nhất.

Lừa đảo qua mạng bằng email
Là hình thức lừa đảo qua mạng phổ biến nhất, loại hình tấn công này sử dụng các chiến thuật như siêu kết nối giả mạo để nhử người nhận email chia sẻ thông tin cá nhân. Những kẻ tấn công thường giả mạo là nhà cung cấp tài khoản lớn như Microsoft hoặc Google hay thậm chí là đồng nghiệp.

Lừa đảo qua mạng bằng phần mềm xấu
Là một phương pháp lừa đảo qua mạng phổ biến khác, kiểu tấn công này bao gồm việc cài cắm phần mềm xấu giả mạo là tệp đính kèm đáng tin cậy (chẳng hạn như sơ yếu lý lịch hoặc sao kê ngân hàng) vào email. Trong một số trường hợp, việc mở tệp đính kèm chứa phần mềm xấu có thể làm tê liệt toàn bộ hệ thống CNTT.

Tấn công lừa đảo
Trong khi hầu hết các cuộc tấn công lừa đảo qua mạng tạo ra một mạng lưới rộng lớn, tấn công lừa đảo lại nhắm mục tiêu đến những cá nhân cụ thể bằng cách khai thác thông tin được thu thập thông qua nghiên cứu về công việc và đời sống xã hội của những người đó. Những cuộc tấn công này có mức độ tùy chỉnh cao, khiến chúng đặc biệt hiệu quả trong việc vượt qua các biện pháp an ninh mạng cơ bản.

Kỹ thuật giăng lưới
Khi kẻ xấu nhắm vào một “con cá lớn” như giám đốc điều hành doanh nghiệp hoặc người nổi tiếng thì đó được gọi là kỹ thuật giăng lưới. Những kẻ lừa đảo này thường tiến hành nghiên cứu đáng kể các mục tiêu để tìm thời điểm cơ hội nhằm lấy cắp thông tin xác thực hoặc thông tin nhạy cảm khác. Nếu bạn có nhiều thứ để mất thì những kẻ tấn công bằng kỹ thuật giăng lưới sẽ có nhiều thứ để đạt được.

Lừa đảo qua tin nhắn
Kết hợp giữa lừa đảo qua mạng và tin nhắn SMS, lừa đảo qua tin nhắn là việc gửi tin nhắn văn bản giả mạo dưới dạng thông tin liên lạc đáng tin cậy từ các doanh nghiệp như Amazon hoặc FedEx. Mọi người đặc biệt dễ bị lừa đảo qua SMS vì tin nhắn văn bản được gửi ở dạng văn bản thuần và mang tính cá nhân hơn.

Lừa đảo qua điện thoại
Trong các chiến dịch lừa đảo qua điện thoại, những kẻ tấn công trong trung tâm cuộc gọi lừa đảo tìm cách lừa mọi người cung cấp thông tin nhạy cảm qua điện thoại. Trong nhiều trường hợp, những trò lừa đảo này sử dụng loại hình lừa đảo phi kỹ thuật để lừa nạn nhân cài đặt phần mềm xấu vào thiết bị dưới dạng ứng dụng.

Chiến thuật lừa đảo qua mạng phổ biến

Giao tiếp xảo quyệt
Những kẻ tấn công rất thành thạo trong việc điều khiển nạn nhân tiết lộ dữ liệu nhạy cảm bằng cách giấu thư và tệp đính kèm độc hại ở những nơi mọi người không thực sự cảnh giác (ví dụ: trong hộp thư đến email). Bạn có thể dễ dàng cho rằng thư đến hộp thư đến của bạn là hợp pháp, tuy nhiên hãy cảnh giác – email lừa đảo qua mạng thường trông an toàn và đơn giản. Để tránh bị lừa, hãy thao tác chậm hơn và kiểm tra các siêu kết nối cũng như địa chỉ email của người gửi trước khi bấm.

Nhận thức về nhu cầu
Mọi người bị lừa đảo qua mạng vì nghĩ rằng họ cần hành động. Ví dụ: các nạn nhân có thể tải xuống phần mềm xấu giả mạo là sơ yếu lý lịch vì họ đang gấp rút tuyển dụng hoặc nhập thông tin xác thực ngân hàng trên một website đáng ngờ để thu hồi tài khoản mà họ được báo là sẽ sớm hết hạn. Việc tạo nhận thức sai về nhu cầu là một mánh khóe phổ biến vì thường đạt hiệu quả. Để giữ an toàn cho dữ liệu của bạn, hãy thao tác với sự xem xét kỹ lưỡng hoặc cài đặt công nghệ bảo vệ email hiệu quả cho bạn.

Tin cậy sai
Kẻ xấu đánh lừa mọi người bằng cách tạo ra cảm giác tin cậy không có thật – và thậm chí những người cảnh giác nhất vẫn mắc vào những trò lừa đảo của chúng. Bằng cách mạo danh các nguồn đáng tin cậy như Google, Wells Fargo hay UPS, những kẻ lừa đảo qua mạng có thể lừa bạn thực hiện hành động trước khi bạn nhận ra mình đã bị lừa. Nhiều thư lừa đảo qua mạng không bị phát hiện nếu không có biện pháp an ninh mạng nâng cao được áp dụng. Hãy bảo vệ thông tin riêng tư của bạn bằng công nghệ bảo mật email được thiết kế để xác định nội dung đáng ngờ và loại bỏ chúng trước khi tới hộp thư đến.

Thao túng cảm xúc
Kẻ xấu sử dụng chiến thuật tâm lý để thuyết phục các mục tiêu hành động trước khi suy nghĩ. Sau khi xây dựng lòng tin bằng cách mạo danh một nguồn quen thuộc, rồi tạo ra cảm giác khẩn cấp không có thật, những kẻ tấn công khai thác cảm xúc như sợ hãi và lo lắng để đạt được những gì chúng muốn. Mọi người có xu hướng đưa ra quyết định nhanh chóng khi được thông báo rằng họ sẽ mất tiền, gặp rắc rối về pháp lý hoặc không còn có quyền truy nhập vào tài nguyên cần thiết nữa. Hãy thận trọng với mọi thông báo yêu cầu bạn “hành động ngay” – đó có thể là lừa đảo.

Mối nguy hiểm của email lừa đảo qua mạng

Một cuộc tấn công lừa đảo qua mạng thành công có thể gây ra những hậu quả nghiêm trọng. Điều này có thể trông giống như tiền bị đánh cắp, các khoản phí gian lận trên thẻ tín dụng, mất quyền truy nhập vào ảnh, video và tệp – thậm chí là tội phạm mạng mạo danh bạn và khiến người khác gặp rủi ro.

Tại nơi làm việc, rủi ro đối với chủ lao động có thể bao gồm mất tiền công ty, lộ thông tin cá nhân của khách hàng và đồng nghiệp, các tệp nhạy cảm bị đánh cắp hoặc không thể truy nhập được, chưa kể đến việc gây thiệt hại cho uy tín của công ty. Trong nhiều trường hợp, thiệt hại đó có thể không thể phục hồi được.

Rất may, có nhiều giải pháp để bảo vệ chống lại lừa đảo qua mạng – cả tại nhà và tại nơi làm việc.

Mẹo nhanh để tránh lừa đảo qua mạng

Không tin tưởng tên hiển thị

Kiểm tra địa chỉ email của người gửi trước khi mở thư – tên hiển thị có thể là giả.

Kiểm tra lỗi chính tả

Lỗi chính tả và ngữ pháp kém thường gặp trong email lừa đảo qua mạng. Nếu có nội dung nào đó không ổn, hãy gắn cờ cho nội dung đó.

Xem trước khi bấm

Di chuột qua các siêu kết nối trong nội dung nghe có vẻ xác thực để kiểm tra địa chỉ liên kết.

Đọc lời chào

Nếu email được gửi đến “Quý khách hàng” thay vì gửi cho bạn, hãy cảnh giác. Có thể là email lừa đảo.

Xem lại chữ ký

Kiểm tra thông tin liên hệ ở phần chân trang email. Người gửi hợp pháp luôn có những thông tin đó.

Coi chừng các mối đe dọa

Các cụm từ dựa trên sự sợ hãi như “Tài khoản của bạn đã bị tạm ngừng” thường xuất hiện trong email lừa đảo qua mạng.

Bảo vệ chống lại mối đe dọa trên mạng

Trong khi các hành vi lừa đảo qua mạng và các mối đe dọa trên mạng khác không ngừng phát triển, bạn có thể thực hiện nhiều hành động để tự bảo vệ mình.

Một người đang làm việc trong phòng máy chủ.

Duy trì nguyên tắc Zero Trust

Các nguyên tắc Zero Trust như xác thực đa yếu tố, quyền truy nhập vừa đủ và mã hóa đầu cuối sẽ bảo vệ bạn khỏi mối đe dọa trên mạng ngày càng phát triển.

Bảo vệ ứng dụng và thiết bị của bạn

Ngăn chặn, phát hiện và ứng phó với lừa đảo qua mạng cũng như các loại hình tấn công qua mạng khác bằng Microsoft Defender cho Office 365.

Bảo mật cho quyền truy nhập

Bảo vệ người dùng khỏi các cuộc tấn công tinh vi trong khi bảo vệ tổ chức của bạn khỏi các mối đe dọa dựa trên danh tính.

Câu hỏi thường gặp

  • Mục đích chính của mọi vụ lừa đảo qua mạng là lấy cắp thông tin nhạy cảm và thông tin xác thực. Hãy cảnh giác với mọi tin nhắn (qua điện thoại, email hoặc tin nhắn văn bản) yêu cầu cung cấp dữ liệu nhạy cảm hoặc yêu cầu bạn chứng minh danh tính của mình.

    Những kẻ tấn công cố gắng bắt chước các thực thể quen thuộc và sẽ sử dụng logo, thiết kế cũng như giao diện giống với thương hiệu hoặc cá nhân mà bạn đã quen thuộc. Hãy cảnh giác và không bấm vào liên kết hay mở tệp đính kèm trừ phi bạn chắc chắn thư đó là hợp pháp.

    Dưới đây là một số mẹo để nhận dạng email lừa đảo qua mạng:

    • Các mối đe dọa khẩn cấp hoặc lời kêu gọi hành động (ví dụ: “Mở ngay lập tức”).
    • Người gửi mới hoặc không thường xuyên – bất kỳ người nào gửi email cho bạn lần đầu tiên.
    • Lỗi chính tả và ngữ pháp (thường do bản dịch nước ngoài vụng về).
    • Các liên kết hoặc tệp đính kèm đáng ngờ – văn bản siêu kết nối tiết lộ các liên kết từ địa chỉ IP hoặc miền khác.

    Lỗi chính tả nhỏ (ví dụ: “micros0ft.com” hoặc “rnicrosoft.com”)

    1. Ghi lại thật nhiều chi tiết về cuộc tấn công mà bạn có thể nhớ lại. Ghi chú mọi thông tin bạn có thể đã chia sẻ, chẳng hạn như tên người dùng, số tài khoản hoặc mật khẩu.
    2. Thay đổi ngay lập tức mật khẩu trên các tài khoản bị ảnh hưởng của bạn và bất kỳ nơi nào khác mà bạn có thể sử dụng cùng một mật khẩu.
    3. Xác nhận bạn đang sử dụng tính năng xác thực đa yếu tố (hoặc hai bước) cho mọi tài khoản mà bạn sử dụng.
    4. Thông báo cho tất cả các bên liên quan rằng thông tin của bạn đã bị xâm phạm.
    5. Nếu bạn bị mất tiền hoặc là nạn nhân của việc trộm cắp danh tính, hãy báo cáo vụ việc với cơ quan thực thi pháp luật địa phương và Ủy ban Thương mại Liên bang. Cung cấp thông tin chi tiết bạn đã thu thập ở bước 1.

    Nếu bạn tin rằng mình có thể đã vô tình bị tấn công lừa đảo qua mạng, bạn nên thực hiện một số thao tác sau:

    Hãy nhớ rằng sau khi bạn gửi thông tin của mình cho kẻ tấn công, thông tin đó có thể nhanh chóng bị tiết lộ cho các đối tượng xấu khác. Lường trước các email, tin nhắn văn bản và cuộc gọi điện thoại lừa đảo qua mạng mới sẽ đến với bạn.

  • Nếu bạn nhận được thư đáng ngờ trong hộp thư đến Microsoft Outlook, hãy chọn Báo cáo thư từ dải băng, rồi chọn Lừa đảo qua mạng. Đây là cách nhanh nhất để loại bỏ thư khỏi hộp thư đến. Trong Outlook.com, chọn hộp kiểm bên cạnh thư đáng ngờ trong hộp thư đến, chọn mũi tên bên cạnh Thư rác, rồi chọn Lừa đảo qua mạng.

    Nếu bạn bị mất tiền hoặc là nạn nhân của việc trộm cắp danh tính, hãy báo cáo vụ việc với cơ quan thực thi pháp luật địa phương và liên hệ với Ủy ban Thương mại Liên bang. Các cơ quan này có một website riêng chuyên giải quyết các vấn đề thuộc loại này.

  • Không. Mặc dù lừa đảo qua mạng phổ biến nhất là qua email nhưng những kẻ lừa đảo cũng sử dụng cuộc gọi điện thoại, tin nhắn văn bản và thậm chí là hoạt động tìm kiếm trên web để lấy thông tin nhạy cảm.

  • Email rác là thư rác không mong muốn có nội dung không liên quan hoặc thương mại. Những thư này có thể quảng cáo các chương trình kiếm tiền nhanh, ưu đãi bất hợp pháp hoặc chiết khấu giả mạo.

    Lừa đảo qua mạng là nỗ lực nhắm mục tiêu cụ thể hơn (và thường được ngụy trang tốt hơn) để thu thập dữ liệu nhạy cảm bằng cách lừa các nạn nhân tự nguyện tiết lộ thông tin tài khoản và thông tin xác thực.

Theo dõi Microsoft Security