Lừa đảo phishing ngày càng trở nên tinh vi, với ba xu hướng tấn công chính trong năm 2025 gồm ransomware, lừa đảo trực tuyến và tấn công có chủ đích APT. Theo thống kê, có đến 50% nhân viên trong các doanh nghiệp mở email lừa đảo mà không nhận ra, và 60% trong số đó đã nhấp vào đường link dẫn tới trang giả mạo. Bài viết này sẽ giúp bạn hiểu rõ về phishing, nhận biết dấu hiệu và áp dụng các biện pháp phòng tránh hiệu quả để bảo vệ thông tin cá nhân.
Phishing là gì? Hiểu đúng để phòng tránh hiệu quả
Phishing (hay còn gọi là lừa đảo trực tuyến) là hình thức lừa đảo mà kẻ gian giả mạo thành các tổ chức, công ty uy tín để lừa người dùng cung cấp thông tin cá nhân nhạy cảm như mật khẩu, thông tin thẻ tín dụng, số tài khoản ngân hàng. Đây là một trong những phương thức tấn công mạng phổ biến nhất hiện nay vì tính hiệu quả và dễ thực hiện.
Theo thống kê từ Cục An toàn thông tin (Bộ TT&TT), trong dịp Tết Nguyên đán 2025 vừa qua, đã phát hiện 105 cuộc tấn công mạng chủ yếu theo hình thức Phishing. Cơ quan chức năng đã phải gửi cảnh báo và hỗ trợ xử lý 15 cuộc tấn công mạng, đồng thời đã chặn và xử lý 30 website vi phạm pháp luật.
Điều đáng báo động là một khảo sát thực tế đã chỉ ra rằng khi triển khai phishing chủ động tại một doanh nghiệp có 5 chi nhánh trên cả nước, trung bình 50% nhân viên mở email lừa đảo mà không phát hiện ra thông tin giả mạo. Trong số này, có đến 60% đã bấm vào đường link dẫn tới website giả mạo. Con số này cho thấy mức độ nguy hiểm của phishing và sự thiếu cảnh giác của người dùng Internet.
Các hình thức lừa đảo phishing phổ biến năm 2025
Theo các chuyên gia an ninh mạng, năm 2025 chứng kiến sự gia tăng của ba xu hướng tấn công mạng chính, trong đó phishing đóng vai trò quan trọng:
1. Tấn công mã hóa dữ liệu tống tiền (Ransomware)
Ransomware là một loại phần mềm độc hại mã hóa dữ liệu của nạn nhân và đòi tiền chuộc để khôi phục quyền truy cập. Phương thức này thường bắt đầu từ một email phishing có chứa tệp đính kèm độc hại. Khi người dùng mở tệp này, ransomware sẽ tự động cài đặt và bắt đầu mã hóa dữ liệu.
Ransomware đặc biệt nguy hiểm vì nó nhắm vào sự thiếu hiểu biết hoặc nhận thức chưa cao về các mối đe dọa của người dùng. Tính lây lan nhanh chóng và khả năng gây thiệt hại nghiêm trọng khiến nó trở thành lựa chọn hàng đầu của tin tặc.
2. Phishing qua email (Email Phishing)
Đây là hình thức phổ biến nhất, khi kẻ tấn công gửi email giả mạo từ các tổ chức đáng tin cậy như ngân hàng, công ty thanh toán, hoặc mạng xã hội. Email thường yêu cầu người nhận cập nhật thông tin tài khoản, xác minh danh tính, hoặc thông báo về vấn đề bảo mật cần giải quyết ngay lập tức.
3. Lừa đảo qua tin nhắn SMS (Smishing)
Smishing là viết tắt của “SMS phishing”. Kẻ lừa đảo gửi tin nhắn SMS giả mạo có chứa liên kết độc hại hoặc số điện thoại để liên hệ. Các tin nhắn này thường kích thích sự tò mò, lo lắng hoặc ham muốn của người nhận, như thông báo trúng thưởng, cảnh báo tài khoản bị khóa, hoặc thông báo giao dịch đáng ngờ.
4. Lừa đảo qua cuộc gọi điện thoại (Vishing)
Vishing (Voice phishing) là khi kẻ lừa đảo gọi điện trực tiếp cho nạn nhân, giả danh nhân viên ngân hàng, cơ quan thuế, hoặc công ty công nghệ. Họ thường tạo cảm giác khẩn cấp, yêu cầu nạn nhân cung cấp thông tin cá nhân hoặc thực hiện các hành động như chuyển tiền để “bảo vệ tài khoản”.
5. Lừa đảo qua mạng xã hội
Kẻ tấn công tạo tài khoản giả mạo bạn bè, người thân hoặc người nổi tiếng để gửi tin nhắn chứa liên kết độc hại. Họ cũng có thể gửi yêu cầu kết bạn từ các tài khoản có vẻ quen thuộc. Sau khi kết nối, họ gửi các liên kết độc hại hoặc yêu cầu chuyển tiền với nhiều lý do khác nhau.
6. Wi-Fi “Evil Twin” (Wi-Fi song sinh quỷ quyệt)
Kẻ tấn công tạo ra một mạng Wi-Fi công cộng giả mạo có tên giống với mạng chính thức. Khi nạn nhân kết nối vào mạng này, mọi thông tin họ truyền qua mạng đều có thể bị chặn và đánh cắp. Hình thức này thường xuất hiện ở sân bay, quán cà phê, trung tâm mua sắm và các địa điểm công cộng khác.
Những câu chuyện thực tế về nạn nhân của lừa đảo phishing
Câu chuyện 1: Công ty bị tấn công ransomware qua email giả mạo hồ sơ ứng viên
Một công ty đã trở thành nạn nhân của một cuộc tấn công ransomware tinh vi. Kẻ tấn công gửi email có đính kèm một tệp có tên “Hồ sơ ứng viên” đến bộ phận nhân sự. Do công ty đang trong quá trình tuyển dụng, nhân viên nhân sự đã mở tệp đính kèm mà không nghi ngờ. Ngay lập tức, ransomware xâm nhập vào hệ thống và mã hóa toàn bộ dữ liệu của công ty.
Kẻ tấn công đòi 700 USD tiền chuộc để khôi phục dữ liệu. Không còn lựa chọn nào khác, công ty buộc phải trả tiền chuộc để lấy lại dữ liệu quan trọng. Sau sự cố, công ty đã thuê chuyên gia bảo mật để tăng cường hệ thống và đào tạo nhân viên về cách nhận biết email đáng ngờ.
Câu chuyện 2: Giám đốc tài chính bị lừa chuyển tiền qua email giả mạo CEO
Một giám đốc tài chính nhận được email từ “CEO” của công ty, người đang đi công tác nước ngoài. Email yêu cầu chuyển gấp một khoản tiền lớn cho một đối tác mới với lý do đảm bảo quan hệ đối tác quan trọng. Email được soạn thảo rất chuyên nghiệp, sử dụng đúng cách xưng hô thường dùng của CEO và có đầy đủ thông tin về giao dịch.
Do tin tưởng và muốn hỗ trợ CEO, giám đốc tài chính đã nhanh chóng thực hiện chuyển khoản mà không kiểm tra kỹ. Chỉ khi CEO thật sự liên lạc vài ngày sau đó, họ mới phát hiện ra đã bị lừa. Khoản tiền đã biến mất và không thể thu hồi.
Câu chuyện 3: Khách hàng bị đánh cắp thông tin thẻ tín dụng qua thông báo giả mạo
Một khách hàng vừa mua sắm tại một cửa hàng trực tuyến nổi tiếng. Hai ngày sau, họ nhận được email thông báo có vấn đề với thông tin thẻ tín dụng và cần xác nhận lại. Email trông rất chuyên nghiệp với logo và định dạng giống hệt trang web chính thức.
Khách hàng đã nhấp vào liên kết trong email và điền thông tin thẻ tín dụng vào trang web giả mạo. Chỉ vài giờ sau, thẻ của họ bị sử dụng để thực hiện nhiều giao dịch trái phép. Mặc dù ngân hàng đã hủy thẻ ngay khi phát hiện giao dịch đáng ngờ, nhưng khách hàng vẫn phải trải qua quá trình phức tạp để khôi phục tài khoản và chứng minh mình là nạn nhân của lừa đảo.
Dấu hiệu nhận biết email hoặc tin nhắn lừa đảo
Để tránh trở thành nạn nhân của lừa đảo phishing, việc nhận biết các dấu hiệu đáng ngờ là rất quan trọng. Dưới đây là những dấu hiệu phổ biến của email hoặc tin nhắn lừa đảo:
1. Lỗi chính tả và ngữ pháp
Các email lừa đảo thường chứa nhiều lỗi chính tả, ngữ pháp hoặc câu cú kỳ lạ. Đây là dấu hiệu phổ biến vì nhiều kẻ lừa đảo không sử dụng tiếng Việt là ngôn ngữ chính hoặc sử dụng công cụ dịch tự động. Các tổ chức chuyên nghiệp luôn kiểm tra kỹ nội dung trước khi gửi.
2. Yêu cầu thông tin cá nhân
Các tổ chức hợp pháp như ngân hàng, công ty thẻ tín dụng hoặc cơ quan chính phủ sẽ không bao giờ yêu cầu bạn cung cấp thông tin cá nhân nhạy cảm qua email. Nếu nhận được email yêu cầu cung cấp mật khẩu, số thẻ tín dụng, hoặc số CMND/CCCD, đó rất có thể là lừa đảo.
3. Tạo cảm giác khẩn cấp
Kẻ lừa đảo thường tạo cảm giác khẩn cấp để khiến nạn nhân hành động mà không suy nghĩ kỹ. Họ có thể đe dọa khóa tài khoản, tuyên bố phát hiện hoạt động đáng ngờ, hoặc đưa ra thời hạn phản hồi ngắn. Nếu email hoặc tin nhắn gây áp lực buộc bạn phải hành động ngay lập tức, hãy cảnh giác.
4. Địa chỉ email hoặc số điện thoại lạ
Kiểm tra kỹ địa chỉ email của người gửi. Các địa chỉ lừa đảo thường có sự khác biệt nhỏ so với địa chỉ chính thức, như thêm hoặc thay đổi một vài ký tự (ví dụ: [email protected] thay vì [email protected]). Với tin nhắn SMS, số điện thoại lạ hoặc số có định dạng không phổ biến cũng là dấu hiệu đáng ngờ.
5. Liên kết đáng ngờ
Trước khi nhấp vào bất kỳ liên kết nào trong email, hãy di chuột qua liên kết (không nhấp vào) để xem URL thực sự. Nếu địa chỉ hiển thị khác với URL xuất hiện khi di chuột qua, đó có thể là dấu hiệu của lừa đảo. Các liên kết lừa đảo thường có tên miền khác với tổ chức mà chúng giả mạo.
Cách kiểm tra tính xác thực của website
Khi bạn nhấp vào một liên kết hoặc truy cập một trang web, việc kiểm tra tính xác thực của trang web đó là bước quan trọng để bảo vệ thông tin cá nhân. Dưới đây là một số phương pháp kiểm tra hiệu quả:
1. Kiểm tra URL của trang web
Hãy luôn kiểm tra thanh địa chỉ của trình duyệt. Các trang web lừa đảo thường sử dụng URL giống với trang web chính thức nhưng có sự thay đổi nhỏ như thêm hoặc thay đổi một vài ký tự. Ví dụ, thay vì “www.nganhang.com.vn“, trang lừa đảo có thể là “www.ngan-hang.com” hoặc “www.nganhang-secure.com“.
2. Tìm biểu tượng khóa và https
Các trang web an toàn thường có giao thức HTTPS (thay vì HTTP) và hiển thị biểu tượng khóa bên cạnh URL. Điều này cho biết trang web đã được mã hóa và thông tin bạn gửi được bảo vệ. Tuy nhiên, cần lưu ý rằng một số trang web lừa đảo tinh vi cũng có thể sử dụng HTTPS, vì vậy đây chỉ là một trong nhiều dấu hiệu cần kiểm tra.
3. Tìm hiểu về trang web trước khi cung cấp thông tin
Trước khi cung cấp bất kỳ thông tin cá nhân nào, hãy tìm hiểu về trang web đó. Bạn có thể:
- Tìm kiếm trên Google về tên trang web kèm từ khóa “lừa đảo” hoặc “review”
- Kiểm tra thông tin liên hệ của trang web (địa chỉ, số điện thoại, email)
- Tìm kiếm đánh giá hoặc nhận xét từ người dùng khác
4. Kiểm tra lỗi chính tả và thiết kế
Các trang web lừa đảo thường có thiết kế kém chất lượng, đầy lỗi chính tả, hoặc sử dụng hình ảnh có độ phân giải thấp. Nếu một trang web của một tổ chức lớn có vẻ không chuyên nghiệp, đó có thể là dấu hiệu của lừa đảo.
10 biện pháp phòng tránh lừa đảo phishing hiệu quả
Để bảo vệ bản thân khỏi các cuộc tấn công phishing ngày càng tinh vi, bạn nên áp dụng các biện pháp phòng tránh sau:
1. Nhận diện được đặc điểm của Phishing
Cập nhật kiến thức về các thủ đoạn lừa đảo phishing mới và những dấu hiệu đặc trưng. Các nguồn thông tin như trang web của Cục An toàn thông tin, các blog bảo mật, hoặc các chương trình đào tạo nhận thức an ninh sẽ giúp bạn nắm bắt xu hướng lừa đảo mới nhất.
2. Sử dụng tiện ích chống Phishing
Hầu hết các trình duyệt hiện đại như Chrome, Firefox, hoặc Edge đều cung cấp các tiện ích bổ sung miễn phí có thể phát hiện dấu hiệu của các trang web độc hại hoặc thông báo cho bạn về các trang web phishing đã biết. Các tiện ích này cập nhật liên tục cơ sở dữ liệu về các trang lừa đảo đã được phát hiện.
3. Thận trọng khi mở email và liên kết
Luôn cảnh giác với các email từ người gửi không quen biết. Không vội vàng nhấp vào liên kết hoặc tải xuống tệp đính kèm. Nếu một email yêu cầu bạn truy cập vào một trang web, thay vì nhấp vào liên kết trong email, hãy truy cập trực tiếp trang web đó bằng cách nhập URL vào trình duyệt.
4. Sử dụng mật khẩu mạnh và xác thực 2 yếu tố
Tạo mật khẩu mạnh và độc đáo cho mỗi tài khoản trực tuyến. Một mật khẩu mạnh nên có ít nhất 12 ký tự, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt. Kích hoạt xác thực hai yếu tố (2FA) khi có thể, điều này thêm một lớp bảo vệ bằng cách yêu cầu một mã bổ sung (thường được gửi đến điện thoại của bạn) khi đăng nhập.
5. Không chia sẻ thông tin trên các trang web không an toàn
Chỉ chia sẻ thông tin cá nhân và tài chính trên các trang web mà bạn hoàn toàn tin tưởng và đã xác minh tính an toàn. Luôn kiểm tra URL có “https” và biểu tượng khóa trước khi nhập bất kỳ thông tin nhạy cảm nào.
6. Cập nhật phần mềm thường xuyên
Giữ hệ điều hành, trình duyệt, và phần mềm chống vi-rút luôn được cập nhật với phiên bản mới nhất. Các bản cập nhật thường bao gồm các bản vá bảo mật giúp khắc phục các lỗ hổng mà kẻ tấn công có thể lợi dụng.
7. Thận trọng với các cửa sổ pop-up
Hầu hết các cửa sổ pop-up đều đáng ngờ và có thể chứa phần mềm độc hại. Sử dụng trình chặn quảng cáo để ngăn chặn chúng. Nếu một cửa sổ pop-up xuất hiện, tránh nhấp vào bất cứ thứ gì bên trong nó, ngay cả nút “Đóng” hoặc “Hủy”. Thay vào đó, hãy đóng cửa sổ bằng cách nhấn Alt+F4 (Windows) hoặc Command+W (Mac).
8. Thay đổi mật khẩu thường xuyên
Tạo thói quen thay đổi mật khẩu cho các tài khoản quan trọng ít nhất 3 tháng một lần. Điều này giúp giảm thiểu thiệt hại nếu thông tin đăng nhập của bạn bị đánh cắp mà bạn không biết.
9. Thận trọng trên mạng xã hội
Cảnh giác với các tin nhắn hoặc yêu cầu kết bạn từ các tài khoản không quen thuộc, ngay cả khi chúng có vẻ đến từ người bạn quen. Xác minh danh tính của họ trước khi nhấp vào liên kết hoặc chia sẻ thông tin. Kẻ lừa đảo thường tạo tài khoản giả mạo người quen của bạn để lừa bạn chia sẻ thông tin hoặc tiền bạc.
10. Sử dụng mạng Wi-Fi công cộng một cách thận trọng
Khi sử dụng Wi-Fi công cộng, tránh truy cập vào các trang web nhạy cảm như ngân hàng trực tuyến hoặc mua sắm online. Nếu cần thiết, hãy sử dụng VPN (Mạng riêng ảo) để mã hóa kết nối của bạn và bảo vệ dữ liệu.
Danh sách kiểm tra khi nghi ngờ phishing
Khi nhận được một email, tin nhắn hoặc cuộc gọi đáng ngờ, hãy sử dụng danh sách kiểm tra sau để xác định xem đó có phải là lừa đảo hay không:
1. Kiểm tra nguồn gốc
- Địa chỉ email có chính xác không?
- Tên miền có phù hợp với tổ chức gửi không?
- Số điện thoại có khớp với số đã biết của tổ chức không?
2. Phân tích nội dung
- Có lỗi chính tả hoặc ngữ pháp không?
- Nội dung có tạo cảm giác khẩn cấp không?
- Yêu cầu có bất thường không?
3. Không vội vàng hành động
- Tạm dừng và suy nghĩ trước khi phản ứng
- Không nhấp vào liên kết hoặc tải xuống tệp đính kèm đáng ngờ
- Không cung cấp thông tin cá nhân khi được yêu cầu
4. Xác minh độc lập
- Liên hệ trực tiếp với tổ chức qua số điện thoại chính thức
- Truy cập trang web chính thức bằng cách nhập URL vào trình duyệt
- Tìm kiếm thông tin về kiểu lừa đảo tương tự
5. Báo cáo nếu nghi ngờ
- Báo cáo email đáng ngờ cho nhà cung cấp dịch vụ email
- Thông báo cho tổ chức bị giả mạo
- Báo cáo cho Cục An toàn thông tin nếu cần thiết
Kết luận: Cảnh giác là vũ khí tốt nhất chống phishing
Lừa đảo phishing ngày càng tinh vi và khó phát hiện hơn. Các kẻ tấn công liên tục phát triển phương pháp mới để vượt qua các biện pháp bảo mật và lừa đảo người dùng. Tuy nhiên, với kiến thức đúng đắn và thói quen bảo mật tốt, bạn có thể giảm đáng kể nguy cơ trở thành nạn nhân.
Hãy nhớ rằng không tổ chức hợp pháp nào sẽ yêu cầu thông tin cá nhân nhạy cảm qua email, tin nhắn hoặc cuộc gọi điện thoại. Luôn kiểm tra tính xác thực của người gửi trước khi phản hồi hoặc thực hiện bất kỳ hành động nào.
Như chuyên gia an ninh mạng Nguyễn Thanh Bình từng nhấn mạnh, “phishing chủ động khi được sử dụng thường xuyên với tần suất 6 tháng hoặc 1 năm lần sẽ ‘vá’ được tâm lý chủ quan của người dân trong bảo vệ dữ liệu cá nhân thông qua tăng khả năng nhận thức các trường hợp lừa đảo.”
Việc đào tạo và nâng cao nhận thức là chìa khóa để bảo vệ bản thân và tổ chức của bạn. Hãy chia sẻ kiến thức này với gia đình, bạn bè và đồng nghiệp để cùng nhau xây dựng một cộng đồng mạng an toàn hơn.
Nhớ rằng: “Cảnh giác là vũ khí tốt nhất chống phishing” – một phút thận trọng có thể giúp bạn tránh khỏi những rắc rối kéo dài nhiều tháng để khắc phục hậu quả của lừa đảo.
