Trong bối cảnh số hóa ngày càng sâu rộng, lừa đảo trực tuyến đã trở thành một mối đe dọa thường trực, gây ra những thiệt hại không nhỏ về tài sản và thông tin cá nhân cho người dùng internet. Năm 2025 chứng kiến sự gia tăng về số lượng và độ tinh vi của các hình thức lừa đảo, đòi hỏi mỗi người cần nâng cao cảnh giác và trang bị kiến thức để tự bảo vệ mình trên không gian mạng. Bài viết này sẽ phân tích các thủ đoạn lừa đảo trực tuyến phổ biến hiện nay, đặc biệt dựa trên những báo cáo mới nhất từ Trung tâm Giám sát An toàn Không gian mạng Quốc gia (NCSC), đồng thời cung cấp những công cụ và kỹ năng cần thiết để nhận diện và phòng tránh hiệu quả.
Tình hình lừa đảo trực tuyến đáng báo động năm 2025 theo báo cáo mới nhất của NCSC
Sự phức tạp và đa dạng của các chiêu thức lừa đảo trực tuyến đang đặt ra những thách thức không nhỏ cho cộng đồng mạng. Theo các báo cáo gần đây từ Trung tâm Giám sát An toàn Không gian mạng Quốc gia (NCSC), tình hình lừa đảo trực tuyến trong năm 2025 vẫn diễn biến hết sức phức tạp và đáng lo ngại. Chỉ tính riêng tháng 12 năm 2024, NCSC đã ghi nhận con số kỷ lục với 125.568 địa chỉ website giả mạo các cơ quan, tổ chức và 76 website giả mạo thương hiệu 1. Số lượng khổng lồ này cho thấy các đối tượng lừa đảo đang không ngừng nỗ lực tạo ra các trang web giống hệt các địa chỉ uy tín nhằm mục đích đánh lừa người dùng. Việc các trang web giả mạo xuất hiện với số lượng lớn và liên tục cho thấy một quy trình có thể đã được tự động hóa hoặc được thực hiện bởi các tổ chức tội phạm mạng quy mô lớn. Điều này đồng nghĩa với việc người dùng internet luôn phải đối mặt với nguy cơ tiềm ẩn khi truy cập vào các trang web.
Xu hướng này tiếp tục kéo dài sang đầu năm 2025, khi chỉ trong tháng 1, NCSC lại phát hiện thêm 72 website giả mạo khác, nâng tổng số địa chỉ website giả mạo được ghi nhận trong cơ sở dữ liệu quốc gia lên gần 125.600 2. Sự gia tăng không ngừng của các trang web lừa đảo cho thấy đây không chỉ là một vấn đề nhất thời mà là một xu hướng kéo dài, đòi hỏi sự cảnh giác thường xuyên từ phía người dùng. Thậm chí, báo cáo từ tháng 7 năm 2024 của NCSC cũng đã chỉ ra con số tương tự với hơn 125.000 địa chỉ website giả mạo, cho thấy đây là một vấn nạn dai dẳng trong suốt năm qua và tiếp tục gây nhức nhối trong năm 2025 3. Sự ổn định ở mức cao của số lượng website giả mạo qua các tháng cho thấy các phương pháp lừa đảo này vẫn đang mang lại hiệu quả cho kẻ xấu, khiến chúng tiếp tục triển khai các chiến dịch giả mạo trang web trên diện rộng.
Các thủ đoạn lừa đảo ngân hàng và tài chính trực tuyến tinh vi năm 2025: Phân tích từ báo cáo NCSC
Bên cạnh việc giả mạo trang web của các cơ quan, tổ chức, các đối tượng lừa đảo còn đặc biệt chú trọng vào lĩnh vực ngân hàng và tài chính trực tuyến. Báo cáo của NCSC đã chỉ ra hàng trăm tên miền giả mạo các tổ chức tài chính và ngân hàng được phát hiện với mục tiêu đánh cắp thông tin người dùng và tài khoản 3. Mục đích chính của các trang web giả mạo này là thu thập thông tin đăng nhập, số thẻ tín dụng, mã OTP và các dữ liệu cá nhân nhạy cảm khác, từ đó chiếm đoạt tài sản của nạn nhân. Trong tháng 1 năm 2025, đáng chú ý là có đến 11 trong số 72 website giả mạo mới được phát hiện nhắm vào các ngân hàng và tổ chức tài chính 4. Việc các tổ chức tài chính trở thành mục tiêu hàng đầu cho thấy kẻ lừa đảo nhận thức rõ giá trị của thông tin và tài sản mà chúng có thể chiếm đoạt được từ lĩnh vực này.
Một diễn biến đáng chú ý trong năm 2025 là việc Ngân hàng Nhà nước Việt Nam đã chính thức yêu cầu xác thực sinh trắc học đối với các giao dịch ngân hàng trực tuyến vượt quá một số hạn mức nhất định, bắt đầu từ ngày 1 tháng 1 năm 2025 5. Quy định này được kỳ vọng sẽ tăng cường bảo mật và hạn chế tình trạng lừa đảo ngân hàng. Tuy nhiên, các đối tượng lừa đảo cũng nhanh chóng tìm cách đối phó bằng cách thu thập dữ liệu sinh trắc học trái phép thông qua các chiêu trò tinh vi, chẳng hạn như thuê người mở tài khoản và quay video khuôn mặt để xác thực 5. Việc kẻ gian tìm cách lách luật cho thấy chúng luôn tìm kiếm những kẽ hở mới trong hệ thống bảo mật và không ngừng thay đổi phương thức hoạt động.
Ngoài ra, các hình thức lừa đảo ngân hàng và tài chính trực tuyến ngày càng trở nên tinh vi hơn với sự xuất hiện của các chiêu trò như mời gọi đầu tư siêu lợi nhuận vào các sàn giao dịch ảo, giả mạo nhân viên ngân hàng gọi điện thoại yêu cầu cung cấp thông tin cá nhân, sử dụng công nghệ AI deepfake để tạo ra các video và giọng nói giả mạo nhằm tăng độ tin cậy, hay cài đặt phần mềm gián điệp để đánh cắp thông tin tài khoản 6. Sự đa dạng và phức tạp của các phương thức tấn công đòi hỏi người dùng không chỉ cần nắm vững những kiến thức cơ bản mà còn phải liên tục cập nhật về các thủ đoạn mới nhất của tội phạm mạng.
Công cụ và kỹ năng thiết yếu để nhận diện lừa đảo trực tuyến, bao gồm cả giả mạo trang web và phishing
Để tự bảo vệ mình khỏi các mối nguy cơ lừa đảo trực tuyến, mỗi người cần trang bị cho mình những công cụ và kỹ năng cơ bản để nhận diện các dấu hiệu đáng ngờ, đặc biệt là trong việc xác minh tính xác thực của trang web và nhận biết các hành vi phishing.
Xác minh tính xác thực của trang web: Bí quyết tránh bẫy giả mạo trang web
Một trong những kỹ năng quan trọng nhất để tránh rơi vào bẫy của các trang web giả mạo là kiểm tra kỹ địa chỉ URL. Các trang web lừa đảo thường sử dụng các địa chỉ rất giống với trang web thật nhưng có những thay đổi nhỏ về ký tự, cách viết hoặc phần đuôi tên miền. Ví dụ, trong tháng 12 năm 2024, NCSC đã phát hiện nhiều trang web giả mạo các sàn thương mại điện tử lớn như Amazon với các tên miền như amazoui[.]top hay amazoni1[.]com 1. Sự khác biệt nhỏ này có thể dễ dàng bị bỏ qua nếu người dùng không chú ý. Tương tự, các trang web giả mạo cổng dịch vụ công có thể sử dụng các tên miền như dichvucong[.]xqrgov[.]com thay vì dichvucong.gov.vn. Việc so sánh cẩn thận từng ký tự của địa chỉ URL với địa chỉ chính thức là một bước không thể bỏ qua.
Bên cạnh đó, người dùng nên chú ý đến giao thức bảo mật của trang web. Một trang web an toàn thường có tiền tố “https://” và biểu tượng ổ khóa màu xanh lá cây hoặc màu xám ở thanh địa chỉ trình duyệt. Biểu tượng này cho biết kết nối giữa trình duyệt của bạn và máy chủ của trang web đã được mã hóa, giúp bảo vệ thông tin cá nhân. Tuy nhiên, cần lưu ý rằng ngay cả các trang web giả mạo cũng có thể sử dụng giao thức HTTPS, vì vậy đây không phải là dấu hiệu đảm bảo duy nhất về tính an toàn. Một thao tác hữu ích khác là di chuột qua các liên kết trước khi nhấp vào. Hành động này sẽ hiển thị địa chỉ URL thực tế mà liên kết đó dẫn đến, giúp bạn phát hiện ra những trang web đáng ngờ có thể ẩn sau một đoạn văn bản hoặc hình ảnh trông có vẻ an toàn. Trong trường hợp bạn không chắc chắn về độ tin cậy của một trang web, đặc biệt là khi được yêu cầu nhập thông tin cá nhân hoặc tài chính, bạn có thể sử dụng các công cụ kiểm tra độ uy tín của trang web trực tuyến để có thêm thông tin đánh giá.
Nhận biết email và tin nhắn lừa đảo (phishing): Cảnh giác với những chiêu trò phishing tinh vi
Phishing là một hình thức tấn công mạng phổ biến, trong đó kẻ lừa đảo cố gắng dụ dỗ người dùng tiết lộ thông tin nhạy cảm như mật khẩu, thông tin tài khoản ngân hàng hoặc số thẻ tín dụng thông qua các email hoặc tin nhắn giả mạo. Các email và tin nhắn phishing thường tạo ra cảm giác cấp bách, lo sợ hoặc hứa hẹn những lợi ích lớn để thúc đẩy người nhận hành động mà không suy nghĩ kỹ. Ví dụ, chúng có thể thông báo rằng tài khoản của bạn đang gặp nguy hiểm và yêu cầu bạn nhấp vào một liên kết để xác minh ngay lập tức, hoặc thông báo bạn đã trúng thưởng một khoản tiền lớn nhưng cần phải trả một khoản phí nhỏ để nhận giải.
Khi nhận được một email hoặc tin nhắn đáng ngờ, bạn cần kiểm tra kỹ địa chỉ email hoặc số điện thoại của người gửi. Các email phishing thường đến từ các địa chỉ có tên miền gần giống với tên miền chính thức của tổ chức nhưng có thêm các ký tự lạ hoặc sai sót nhỏ. Tuyệt đối không nhấp vào bất kỳ liên kết nào hoặc tải xuống tệp đính kèm từ các email hoặc tin nhắn đáng ngờ. Các tổ chức uy tín, đặc biệt là ngân hàng, sẽ không bao giờ yêu cầu bạn cung cấp thông tin nhạy cảm như mật khẩu hoặc mã OTP qua email hoặc tin nhắn SMS. Hình thức lừa đảo qua tin nhắn SMS (smishing) cũng ngày càng phổ biến, vì vậy bạn cần phải cảnh giác tương tự với các tin nhắn văn bản lạ.
Các công cụ và kỹ năng hỗ trợ kiểm tra an toàn trực tuyến
Ngoài việc tự trang bị kiến thức và kỹ năng, người dùng cũng có thể tận dụng một số công cụ để tăng cường khả năng phòng chống lừa đảo trực tuyến. Một số công ty an ninh mạng hoặc cơ quan chính phủ có thể cung cấp các công cụ trực tuyến để kiểm tra xem một liên kết hoặc trang web cụ thể có nằm trong danh sách đen các trang web lừa đảo hay không. Việc sử dụng các công cụ này có thể giúp bạn có thêm một lớp bảo vệ trước khi vô tình truy cập vào các trang web độc hại.
Một biện pháp bảo mật quan trọng khác là kích hoạt xác thực hai yếu tố (2FA) cho tất cả các tài khoản trực tuyến quan trọng của bạn, đặc biệt là tài khoản ngân hàng và email. 2FA yêu cầu bạn cung cấp thêm một mã xác thực bên cạnh mật khẩu khi đăng nhập, giúp ngăn chặn kẻ xấu truy cập vào tài khoản của bạn ngay cả khi chúng đã có được mật khẩu. Bên cạnh đó, việc duy trì phần mềm (hệ điều hành, trình duyệt, phần mềm diệt virus) luôn được cập nhật phiên bản mới nhất là rất quan trọng, vì các bản cập nhật thường bao gồm các bản vá bảo mật giúp khắc phục các lỗ hổng có thể bị khai thác bởi kẻ lừa đảo. Cuối cùng, việc sử dụng mật khẩu mạnh và khác nhau cho mỗi tài khoản trực tuyến sẽ giúp hạn chế thiệt hại trong trường hợp một trong các tài khoản của bạn bị xâm nhập.
Các bước cần thực hiện ngay khi phát hiện hoặc nghi ngờ là nạn nhân của lừa đảo trực tuyến
Trong trường hợp bạn phát hiện hoặc nghi ngờ mình đã trở thành nạn nhân của lừa đảo trực tuyến, việc hành động nhanh chóng là vô cùng quan trọng để giảm thiểu thiệt hại. Nếu bạn đã chuyển tiền hoặc cung cấp thông tin cá nhân cho kẻ lừa đảo, hãy liên hệ ngay lập tức với ngân hàng của bạn để thông báo về sự việc và yêu cầu khóa tài khoản hoặc thực hiện các biện pháp cần thiết khác.
Sau đó, bạn nên thay đổi mật khẩu cho tất cả các tài khoản trực tuyến của mình, đặc biệt là email, ngân hàng và mạng xã hội. Điều này giúp ngăn chặn kẻ xấu tiếp tục truy cập vào các tài khoản của bạn nếu chúng đã có được thông tin đăng nhập. Một bước quan trọng không kém là báo cáo vụ việc cho các cơ quan chức năng có thẩm quyền, chẳng hạn như cơ quan công an địa phương hoặc Trung tâm Giám sát An toàn Không gian mạng Quốc gia (NCSC). Trang web của NCSC (https://canhbao.ncsc.gov.vn/) cung cấp một nền tảng để người dân có thể gửi cảnh báo về các trường hợp lừa đảo trực tuyến, trang web giả mạo, và các nỗ lực phishing 7. Việc báo cáo giúp NCSC thu thập thông tin, phân tích các xu hướng lừa đảo và đưa ra các biện pháp phòng ngừa hiệu quả hơn cho cộng đồng. Bạn nên lưu giữ tất cả các thông tin liên quan đến vụ việc, bao gồm ảnh chụp màn hình các trang web, email hoặc tin nhắn lừa đảo, làm bằng chứng khi báo cáo với cơ quan chức năng.
Cảnh giác với các hình thức lừa đảo trực tuyến phổ biến: Ví dụ thực tế từ Việt Nam
Để giúp người đọc hình dung rõ hơn về các thủ đoạn lừa đảo trực tuyến đang diễn ra, dưới đây là một số ví dụ thực tế đã được ghi nhận tại Việt Nam trong thời gian gần đây.
Ví dụ 1: Lừa đảo ngân hàng qua tin nhắn SMS và cuộc gọi giả mạo
Một hình thức lừa đảo phổ biến là gửi tin nhắn SMS giả mạo thông báo tài khoản ngân hàng của bạn đang gặp vấn đề hoặc có giao dịch bất thường, yêu cầu bạn nhấp vào một liên kết hoặc gọi đến một số điện thoại để giải quyết. Liên kết này thường dẫn đến một trang web giả mạo trang web của ngân hàng, nơi bạn được yêu cầu nhập thông tin đăng nhập và mã OTP. Hoặc, khi bạn gọi đến số điện thoại được cung cấp, bạn sẽ kết nối với những kẻ lừa đảo giả danh nhân viên ngân hàng, cố gắng khai thác thông tin cá nhân hoặc thuyết phục bạn chuyển tiền vào một tài khoản “an toàn” do chúng chỉ định 8. Các ngân hàng liên tục đưa ra cảnh báo về các chiêu trò này thông qua nhiều kênh khác nhau như email, website, tin nhắn SMS và ứng dụng ngân hàng di động 8.
Ví dụ 2: Giả mạo trang web thương mại điện tử để đánh cắp thông tin thẻ
Trong các dịp mua sắm trực tuyến hoặc khi có các chương trình khuyến mãi hấp dẫn, người dùng thường dễ dàng trở thành nạn nhân của các trang web giả mạo trang web thương mại điện tử. Kẻ lừa đảo tạo ra các trang web có giao diện giống hệt các trang web mua sắm nổi tiếng như Amazon, Shopee, Lazada, v.v., nhưng với mục đích đánh cắp thông tin thẻ tín dụng và thông tin cá nhân của người dùng khi họ cố gắng thực hiện giao dịch 1. NCSC đã phát hiện hàng loạt các trang web giả mạo như amazoui[.]top, shopee6708p[.]com, cho thấy đây là một mối đe dọa thường trực, đặc biệt trong các mùa mua sắm cao điểm.
Ví dụ 3: Lừa đảo đặt phòng du lịch sau Tết Nguyên Đán
Sau Tết Nguyên Đán 2025, nhu cầu du lịch tăng cao đã tạo cơ hội cho kẻ lừa đảo tung ra các chiêu trò giả mạo trang web và fanpage của các khách sạn, homestay nổi tiếng. Chúng đăng tải những hình ảnh đẹp mắt và các ưu đãi hấp dẫn nhưng không có thật, dụ dỗ khách hàng chuyển tiền đặt cọc trước và sau đó biến mất 2. Điển hình là vụ việc một du khách đã bị lừa hơn 1 tỷ đồng khi đặt phòng qua một fanpage giả mạo. Điều này cho thấy kẻ lừa đảo luôn cập nhật các xu hướng và sự kiện để tạo ra các kịch bản lừa đảo phù hợp.
Các hình thức lừa đảo trực tuyến khác cần lưu ý
Ngoài ra, còn rất nhiều hình thức lừa đảo trực tuyến khác mà người dùng cần cảnh giác, bao gồm giả mạo giấy phép lữ hành quốc tế, lừa đảo thông qua các bẫy đánh giá dịch vụ du lịch, lừa đảo việc làm giả mạo, lừa đảo tài chính và trực tuyến qua ứng dụng ngân hàng điện tử, giả mạo nhân viên thuế, giả danh công an, lừa đảo xem bói giải hạn online, lừa đảo lì xì tiền online dịp Tết, lừa bán tiền giả, giả mạo thông báo của cơ quan thuế, huy động tài chính đa cấp, và nhiều hình thức tinh vi khác 9. Sự đa dạng của các chiêu thức lừa đảo cho thấy người dùng cần phải luôn đề cao cảnh giác với bất kỳ lời mời hoặc yêu cầu nào không rõ nguồn gốc trên không gian mạng.
Để minh họa rõ hơn về sự tinh vi của các trang web giả mạo, dưới đây là một số ví dụ về tên miền giả mạo được NCSC phát hiện trong tháng 12/2024 1:
| Tên Trang web Giả mạo | Trang web hoặc Thương hiệu Bị Giả mạo | Ghi chú |
| amazoui[.]top | Amazon | Giả mạo sàn TMĐT |
| http://amazoni1[.]com | Amazon | Giả mạo sàn TMĐT |
| www[.]amzzcbe-cme[.]com | Amazon | Giả mạo sàn TMĐT |
| https://sellings-global[.]com/shop | Amazon | Giả mạo sàn TMĐT |
| applecenter[.]info[.]vn | Apple | Giả mạo Apple |
| https://www[.]digibox[.]info[.]vn/airpods3?… | Apple | Giả mạo Apple |
| https://dichvucong[.]xqrgov[.]com/ | Bộ Công An | Giả mạo cổng dịch vụ công |
| https://mofvn[.]com/ | Bộ Tài chính | Giả mạo website bộ tài chính |
| vietchinhphu[.]com | Cổng Dịch vụ công Quốc gia | Giả mạo cổng dịch vụ công |
| https://giaohangtletkiem[.]com/ | Công ty cổ phần giao hàng tiết kiệm | Giả mạo dịch vụ giao hàng |
| https://cskh-techcombank[.]com/ | Ngân hàng TMCP Kỹ Thương Việt Nam | Giả mạo ngân hàng |
| mail[.]vpbank[.]chamsockhachhang-khuyenmaithe… | Ngân hàng TMCP Việt Nam Thịnh Vượng | Giả mạo ngân hàng |
| www[.]sp66699[.]com | Shopee | Giả mạo sàn TMĐT |
| https://www[.]starbucksvn[.]com/lucky-bag?… | Starbucks | Giả mạo Starbucks |
| https://www[.]tbaovn-cms[.]top | Taobao | Giả mạo sàn TMĐT |
| evn[.]brvgov[.]com | Tập đoàn Điện lực Việt Nam (EVN) | Giả mạo website EVN |
Danh sách kiểm tra nhanh: Bạn có đang đối mặt với lừa đảo trực tuyến?
- Bạn có nhận được email hoặc tin nhắn bất ngờ yêu cầu cung cấp thông tin cá nhân hoặc tài khoản ngân hàng không?
- Nội dung có tạo cảm giác cấp bách hoặc đe dọa nếu bạn không hành động ngay lập tức không?
- Địa chỉ email hoặc số điện thoại của người gửi có quen thuộc và chính xác không? Hãy kiểm tra kỹ các ký tự.
- Liên kết trong email hoặc tin nhắn có vẻ đáng ngờ không? Hãy di chuột qua liên kết (không nhấp vào) để xem địa chỉ thực tế.
- Trang web bạn đang truy cập có địa chỉ URL khớp với trang web chính thức không? Có lỗi chính tả hoặc ký tự lạ không?
- Bạn có thấy biểu tượng khóa (ổ khóa) và tiền tố “https://” trong thanh địa chỉ của trang web nhạy cảm (ví dụ: trang thanh toán hoặc đăng nhập ngân hàng) không?
- Bạn có được yêu cầu cài đặt phần mềm hoặc ứng dụng không rõ nguồn gốc không?
- Lời đề nghị hoặc giải thưởng có vẻ quá tốt để là sự thật không?
- Bạn có nghi ngờ về tính xác thực của một cuộc gọi điện thoại từ người tự xưng là đại diện của ngân hàng, cơ quan chính phủ hoặc công ty nào đó không?
- Bạn có được yêu cầu chuyển tiền vào một tài khoản cá nhân thay vì tài khoản công ty hoặc tổ chức không?
Kết luận: Thận trọng mỗi cú nhấp chuột – Đừng để lừa đảo trực tuyến đánh cắp tiền của bạn
Năm 2025 chứng kiến sự hoành hành mạnh mẽ của lừa đảo trực tuyến với nhiều thủ đoạn ngày càng tinh vi, đặc biệt là các hình thức giả mạo trang web và lừa đảo ngân hàng. Báo cáo từ NCSC đã chỉ ra số lượng đáng báo động của các website giả mạo và sự gia tăng của các chiêu trò lừa đảo tài chính trực tuyến. Để phòng tránh hiệu quả, mỗi người cần trang bị cho mình kiến thức và kỹ năng cần thiết để nhận diện các dấu hiệu phishing và giả mạo trang web. Hãy luôn kiểm tra kỹ địa chỉ URL, cảnh giác với các email và tin nhắn lạ, sử dụng các công cụ bảo mật và đặc biệt là hành động nhanh chóng báo cáo khi phát hiện các dấu hiệu lừa đảo. Ghi nhớ khẩu hiệu: “Thận trọng mỗi cú nhấp chuột – Đừng để lừa đảo trực tuyến đánh cắp tiền của bạn”. Hãy chia sẻ thông tin này với gia đình và bạn bè để cùng nhau nâng cao nhận thức và xây dựng một môi trường mạng an toàn hơn. Truy cập website của NCSC (https://canhbao.ncsc.gov.vn/) để biết thêm chi tiết và báo cáo các trường hợp lừa đảo.
