Thủ Thuật

Phishing là gì? và làm thế nào để không bị “Cắn Câu”

Posted on by administrator

Bạn đang tìm hiểu về Phishing và các vấn đề bảo mật?

Lừa đảo và gian lận trên thế giới internet là việc rất phổ biến ngày nay.

Vậy làm thế nào để không bị “Cắn Câu” sẽ được Diều Hâu giải thích trong bài này.

Nhưng trước hết hãy tìm hiểu qua một số khái niệm nhé !

phishing-la-gi

Phishing là gì?

Phishing là một cách thức lừa đảo trong đó kẻ tấn công giả mạo là cá nhân hay tổ chức uy tín trong email, hoặc các kênh liên lạc khác. Kẻ tấn công sử dụng email lừa đảo để phân phối các liên kết hoặc tệp đính kèm độc hại, có thể thực hiện nhiều chức năng khác nhau, bao gồm thu thập thông tin đăng nhập hoặc tài khoản từ nạn nhân..

Phishing rất phổ biến với các tội phạm mạng (internet).

Vì việc lừa ai đó click vào liên kết độc hại trong email lừa đảo (rất giống thật)

Sẽ dễ dàng hơn nhiều so với cố gắng vượt qua các lớp bảo mật.

Phishing hoạt động như thế nào?

Phishing được các hacker nhắm tới nhiều nhất là trên các social network ( Facebook, Instagram, Twitter..)

Bằng cách hình thức liên lạc như: email, live chat, tin nhắn trên MXH, sms….

Như các bạn đã thấy ngày nay để biết thông tin của người trên Facebook là không có gì khó.

Bằng những thông tin cơ bản như: email, tên, sđt, địa chỉ, lịch sử, công việc….

Chúng sẽ sử dụng chúng để chuẩn bị một email giả mạo, và gửi đến bạn.

Đôi khi bạn không ngờ tới và sẽ tin đây là email thật và vô tính Click vào.

Và bạn đã bị “Cắn Câu” mọi thông tin đăng nhập, thẻ ngân hàng…

Đều bị đánh cắp bởi kẻ lừa đảo.

Ví dụ điển hình về Phishing

Dưới đây là vài ví dụ điển hình về phisihing

  • Một email giả mạo từ myuniversity.edu (rất giống thật) được gửi đến cho tất cả giảng viên.
  • Email tuyên bố rằng mật khẩu của người dùng sắp hết hạn (còn 1 ngày).
  • Hướng dẫn này có đưa một đường dẫn đến myuniversity.edu/renewal để gia hạn mật khẩu của họ trong vòng 24 giờ.

Một số hậu quả có thể khi bấm vào liên kết kia như:

  • Người dùng bị chuyển hướng đến myuniversity.edurenewal.com, một website giả mạo y như thật, nơi yêu cầu cả mật khẩu mới và mật khẩu hiện có. Kẻ tấn công sẽ thu thập mật khẩu để chiếm đoạt vào khu vực quản trị của website nhà trường.

  • User sẽ được chuyển hướng đến trang đổi mật khẩu thật. Tuy nhiên, trong quá trình chuyển hướng, một tập lệnh độc hại sẽ kích hoạt trong nền để chiếm quyền điều khiển cookie trong phiên của người dùng. Điều này dẫn đến một cuộc tấn công XSS, cho phép thủ phạm truy cập khu vực vào đặc quyền.

Các dạng phishing

Hiện nay phishing cũng có rất nhiều loại khác nhau.

Những kẻ tấn công luôn thay đổi và tìm ra nhữn cách tinh vi nhất để đánh lừa bạn.

Sau đây tôi sẽ giới thiệu đến bạn một số loại phổ biến nhất.

1. Spear Phishing

Spear phishing là loại hình tấn công dựa vào các thông tin của nạn nhân (cá nhận hoặc tổ chức).

Sau đó gửi email lừa đảo bằng các thông tin cụ thể để đánh lừa họ (như xác nhận lại mật khẩu)

Hoặc có thể lợi dụng những người cùng làm việc nơi bạn để giả mạo

Để thực hiện được spear phishing hacker sẽ cần thu thập được thông tin của mục tiêu.

Sau đó sẽ lên kế hoạch để tấn công.

2. Clone Phishing

Với clone phishing kẻ lừa đảo sẽ lợi dụng những email gốc (như email đổi mật khẩu tài khoản GG account)

Copy lại với nội dung y hệt (hãy chú ý email gửi đến, đôi khi chỉ khác dấu “.”)

Sau đó chúng sẽ thay thế bằng URL khác, hoặc đính kèm với một file có chứa mã độc.

Vì email này đôi khi “y hệt” bản gốc nên bạn sẽ dễ bị lừa.

3. Voice Phishing

Voice phishing còn được biết đến là lừa đảo qua hình thức hộp thoại tự động.

Nạn nhân sẽ được thông báo về hoạt động bất thường về tài khoản ngân hàng, thẻ tín dụng.

Và bắt nạn nhận xác nhận lại thông tin để “chiếm đoạt”

Đôi khi dạng lừa đảo này còn qua SMS gửi đến nạn nhân, yêu cầu bắt xác nhận thông tin.

4. Whaling Attack

Whaling là loại lừa đảo nhắm trực tiếp vào những người có vị trí cao trong tổ chức nào đó.

Hacker sẽ phải lên kế hoạch tỉ mĩ và kĩ lưỡng, vì đây là những mục tiêu lớn (khó lừa).

Những thông tin hacker cần sẽ phải thật chính xác và chi tiết.

Thường chúng sẽ giả danh môt nhân viên cấp cao hơn, và yêu cầu thực hiện mệnh lệnh của chúng.

Tác hại của Phishing đối với bạn

Phishing là một tội ác nghiêm trọng trong thế giới mạng. Phishing có thể gây ra:

  • Tổn thất tài chính
  • Mất dữ liệu
  • Danh sách đen của các tổ chức
  • Lan truyền các phần mềm độc hại và virus vào máy tính hoặc một hệ thống máy tính
  • Sử dụng trái phép thông tin chi tiết của người dùng
  • Lạm dụng số an sinh xã hội của bạn vv

Các phisher cũng có thể lấy thông tin tài khoản của người dùng và mở một tài khoản mới bằng tên nạn nhân.

Phishing thậm chí có thể được sử dụng để hủy hoại cuộc sống của một ai đó, bởi lạm dụng thông tin cá nhân của họ.

Các cuộc tấn công phishing trong năm 2012

Theo Anti-Phishing Working Group (APWG), các cuộc tấn công phishing đã gia tăng đáng kể, những trang lừa đảo này hầu hết ở Mỹ.

Trong ba tháng cuối năm 2012, trung bình hơn 25.000 báo cáo email phishing đã được gửi tới APWG.

Thêm vào đó các website lừa đảo mọc lên như nấm hơn 45.000/ tháng.

Để xem báo cáo chi tiết hơn trước quý cuối cùng của năm 2012, bấm vào đây.

Các dịch vụ tài chính và các dịch vụ thanh toán là mục tiêu chung của gian lận phishing, gia tăng 12% trong báo cáo phishing trong các trò chơi trực tuyến.

Thông tin game đang bị đánh cắp bởi các hacker và các trò chơi, được bán ở thị trường chợ đen để lấy tiền mặt. Các game thủ cũng bị ảnh hưởng.

Bảo vệ chống lại tấn công Phishing

Việc luôn đề phòng những email giả mạo là yếu tố chính bạn cần để ý.

Nhưng có cách nào để không trở thành nạn nhận của phishing không?

Dưới đây là một số cách…

1. Two-Factor Authentication (xác thực hai bước)

Gmail, Facebook, Dropbox, Microsoft, iCloud của Apple và Twitter là các ứng dụng đều hỗ trợ Two-Factor Authentication.

Trong quá trình này, bạn đăng nhập bằng mật khẩu, và một mã nữa sẽ được gửi đến điện thoại của bạn.

Vậy trừ khi hacker có điện thoại của bạn, mới có thể truy cập vào tài khoản của bạn.

Two-Factor Authentication

2. HTTPS thay vì HTTP

HTTPS là một giao thức an toàn hơn HTTP vì nó mã hóa trình duyệt của bạn và tất cả các thông tin mà bạn gửi hoặc nhận.

Nhất là những thông tin như thẻ ngân hàng, Visa, Master. HTTPS hay SSL chính là thứ bắt buộc phải có trên website bán hàng trực tuyến.

Nó sẽ giúp bảo vệ các thông tin cá nhân nhạy cảm của bạn.

Nếu bạn chưa biết cách làm thế nào để thêm SSL và HTTPS trong WordPress

Hãy tham khảo dịch vụ cài đặt của chúng tôi nhé.

Cách website giả mạo có thể giống hệt website thật, nên hãy kiểm tra thật kỹ xem có https không nhé (ổ khóa màu xanh bên cạnh URL)

3. Phần mềm Anti-Spam

Tốt nhất là bạn không bị nhận những email giả mạo và cho chúng váo spam.

Bạn sẽ càng ít có nguy cơ gặp phải email phishing hơn.

Chúng tôi đã có bài viết Cách phòng tránh email rác với WordPress, hãy đọc nếu bạn chưa biết nhé.

4. Liên kết trong Email

Đừng bao giờ click vào liên kết nhận được trong email từ một nguồn không rõ ràng hoặc chưa được xác minh.

Những liên kết như thế chứa mã độc và bạn sẽ được yêu cầu đăng nhập hoặc điền thông tin cá nhân khi bạn truy cập.

Hãy luôn tìm kiếm tên các tổ chức từ các công cụ tìm kiếm và nhấp chuột vào từ các kết quả tìm kiếm.

5. Tường lửa (Firewall)

Với một tường lửa, người dùng sẽ ngăn chặn nhiều trình duyệt hijack. Điều quan trọng là tường lửa của cả máy tính và tường lửa của mạng lưới đều phải kiểm tra nguồn gốc của các lưu lượng truy cập, cho dù đó là một tên miền có thể chấp nhận hay là giao thức Internet. Nó cũng có hiệu quả khi chống lại các cuộc tấn công virus và phần mềm gián điệp.

Hy vọng bài viết trên giúp bạn hiểu hơn về Phishing là gì và cách phòng tránh trước các mối nguy hiểm lừa đảo trên mạng nhé.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *