Phishing vẫn là một vấn đề bảo mật nghiêm trọng. Theo một số báo cáo, cứ 101 email thì có một email độc hại và hầu hết chúng đều sử dụng một số hình thức Phishing làm chiến thuật lừa đảo chính. Hầu hết mọi người nhận thức được về Phishing, nhưng chỉ xem xét các mối đe dọa khi kiểm tra email mà thôi.
Những tên tội phạm lại đang đi trước một bước. Theo các chuyên gia bảo mật, Phishing đã bắt đầu chuyển hướng sang việc nhắn tin và nó còn mang đến nhiều nguy hiểm tiềm tàng hơn cả việc tấn công qua email.
Smishing, một hình thức Phishing, là khi ai đó cố lừa bạn cung cấp cho họ thông tin riêng tư thông qua tin nhắn văn bản hoặc tin nhắn SMS. Smishing đang trở thành một mối đe dọa mới và ngày càng trở nên nguy hiểm trong thế giới trực tuyến. Hãy đọc bài viết sau để tìm hiểu Smishing là gì và làm thế nào mọi người có thể tự bảo vệ mình trước nó.
Tìm hiểu về Smishing
- Smishing là gì?
- Khám phá những bí mật về cách tội phạm mạng khai thác Smishing
- Có thể làm gì để chống lại Smishing?
Smishing là gì?
Nói một cách đơn giản, Smishing là bất kỳ loại lừa đảo nào liên quan đến tin nhắn văn bản. Thông thường, hình thức lừa đảo này liên quan đến tin nhắn văn bản SMS hoặc số điện thoại. Smishing đặc biệt đáng sợ vì phần lớn mọi người có xu hướng tin tưởng vào một tin nhắn văn bản hơn là một email. Hầu hết mọi người nhận thức được các rủi ro bảo mật liên quan đến việc nhấp vào một liên kết đáng ngờ trong email. Nhưng điều này không hoàn toàn đúng khi nói đến tin nhắn văn bản.
Smishing sử dụng các kỹ thuật lừa đảo (social engineering) để buộc bạn chia sẻ thông tin cá nhân của mình. Chiến thuật này thúc đẩy niềm tin của nạn nhân nhằm có được thông tin của người đó. Thông tin mà kẻ lừa đảo đang tìm kiếm có thể là bất cứ thứ gì, từ mật khẩu trực tuyến đến số an sinh xã hội hay thông tin thẻ tín dụng. Một khi kẻ lừa đảo có được những thông tin đó, chúng có thể đăng ký tín dụng mới dưới tên của nạn nhân. Đó chính là lúc nạn nhân thực sự gặp vấn đề.
Một tùy chọn khác mà những kẻ lừa đảo cũng hay áp dụng là nói rằng nếu bạn không nhấp vào một liên kết và nhập thông tin cá nhân, bạn sẽ phải trả phí mỗi ngày để sử dụng dịch vụ. Nếu bạn chưa đăng ký dịch vụ, hãy bỏ qua tin nhắn. Nếu bạn thấy bất kỳ khoản phí bất thường nào trong tài khoản thẻ tín dụng hoặc sao kê thẻ ghi nợ của mình, hãy liên hệ với ngân hàng. Họ sẽ có trách nhiệm bảo vệ khách hàng của mình.
Khám phá những bí mật về cách tội phạm mạng khai thác Smishing
Người dùng đang thực hiện rất nhiều nỗ lực để bảo vệ điện thoại thông minh của mình, ví dụ như mật mã, thiết bị scan dấu vân tay hay thậm chí là tính năng nhận dạng khuôn mặt. Giống như hệ thống an ninh của một chiếc xe hơi, người dùng cho rằng các biện pháp này giúp ngăn chặn kẻ xấu và giúp dữ liệu cá nhân trở nên an toàn. Nhưng khi ai đó trở thành nạn nhân của Smishing, họ sẵn sàng trao cho những kẻ lừa đảo bất cứ thứ gì và không nhận thức được điều đó.
Công ty NordVPN gần đây đã xuất bản một báo cáo nhằm cố gắng nâng cao nhận thức cho mọi người, về việc vấn đề vi phạm bảo mật đã trở nên nghiêm trọng như thế nào. Báo cáo gọi đó là smishing hoặc SMS phishing. Giám đốc truyền thông của NordVPN, bà Ruby Gonzalez cho biết: “Một vài kỹ thuật Phishing cũ được áp dụng cho tin nhắn văn bản trên điện thoại di động thay vì email. Trong khi điện thoại thông minh đang ngày càng trở nên phổ biến, thì việc sử dụng email cá nhân đang có xu hướng giảm đi. Điều này không chỉ đề cập đến các tin nhắn văn bản, mà còn cả tin nhắn Facebook, v.v… Mọi người đã quen với việc nhận được những lời đề nghị được gửi qua tin nhắn, bao gồm cả các liên kết. Nhưng đó cũng là một con đường mới và rộng mở hơn cho bọn tội phạm và chúng đang cố gắng khai thác tối đa lợi thế này”.
Bà Gonzalez nói rằng, giống như cách thu thập hàng loạt tài khoản email, tội phạm mạng lấy số điện thoại từ cơ sở dữ liệu trên các trang web đen và sau đó cố gắng dụ nạn nhân chia sẻ dữ liệu cá nhân.
Hình thức phổ biến nhất của kiểu lừa đảo này là một tin nhắn văn bản có chứa liên kết tự động tải phần mềm độc hại, sau đó phần mềm độc hại có thể đánh cắp tất cả các loại dữ liệu khác nhau. Điện thoại thông minh tiết lộ thông tin về người dùng nhiều hơn PC, do đó, một phần mềm độc hại được cài đặt có thể đánh cắp các số điện thoại trong danh sách liên lạc của nạn nhân và lây lan virus với hy vọng số lượng mục tiêu có thể nhân lên theo cấp số nhân. Ngay cả các dữ liệu cá nhân quan trọng, như thông tin ngân hàng hoặc vị trí của người dùng, cũng có thể gặp rủi ro.
Một chiến thuật khác là giả mạo một tổ chức hợp pháp và nổi tiếng (một phương pháp khá cổ điển). Trong một số trường hợp, những kẻ lừa đảo giả mạo là cơ quan thuế. Việc này đang trở thành một vấn đề ngày càng đáng lo ngại ở Anh và Canada. Bà Gonzalez lưu ý, trong những giai đoạn việc thu thuế diễn ra theo quy định, những kiểu tấn công này trở nên cực kỳ phổ biến. Thực tế là một tin nhắn văn bản thường mang lại cảm giác an toàn, vì nhiều người không biết tin nhắn văn bản có thể là một mối đe dọa bảo mật nghiêm trọng.
Bà Gonzalez nói: “Những kẻ lừa đảo nói với nạn nhân rằng đã đến hạn phải hoàn thuế hoặc cần cung cấp thêm một số thông tin cho cơ quan thuế. Về cơ bản, chúng cố gắng lấy những thông tin tài chính từ nạn nhân, và dùng thông tin này để đánh cắp tiền trong tài khoản của nạn nhân.”
Tin nhắn văn bản tự động đang phổ biến hơn bao giờ hết. Và người dùng cũng đang dần quen với các tin nhắn tự động. Điều này vô tình mở ra cơ hội rất lớn cho những kẻ lừa đảo.
Việc trả lời các tin nhắn lừa đảo sẽ khiến bạn gặp nguy hiểm. Ở Mỹ, Gonzalez đã đề cập đến các shortcode như một chiến thuật thường được khai thác. Chúng thường được sử dụng bởi các tổ chức như tổ chức từ thiện, để gửi văn bản trực tiếp đến những người ủng hộ và cho phép họ quyên góp tiền chỉ bằng một câu trả lời ngắn gọn. Những kẻ lừa đảo đã sử dụng chính hệ thống đó để đánh cắp tiền khỏi tài khoản ngân hàng của nạn nhân ngay lập tức.
Vấn nạn này đang phổ biến hơn nhiều so với những gì mọi người tưởng tượng. Theo Gonzalez, ở Anh, cứ 3 người thì có 1 người trở thành nạn nhân của Phishing trong 6 tháng qua. Thống kê cũng cho biết cứ khoảng 5 người thì có 2 người từng báo cáo về một vụ lừa đảo, có nghĩa là con số thực thậm chí còn tồi tệ hơn.
Có thể làm gì để chống lại Smishing?
Vấn đề lớn nhất với Phishing hiện nay là nó rất khó phát hiện. Trong khi hầu hết mọi người nghĩ rằng mình sẽ không bao giờ trở thành nạn nhân của Phishing, thì nhiều người đã rơi vào trường hợp này và thậm chí không nhận ra điều gì cho đến khi mọi việc đã quá muộn. Như đã nói ở trên, những kẻ lừa đảo nhắm mục tiêu vào nỗi sợ của mọi người về an ninh hoặc tài chính và có một số điều thiết thực bạn có thể làm để ngăn chặn những kẻ lừa đảo.
Thứ nhất, không bao giờ nhấp vào một liên kết hoặc trả lời một tin nhắn bất thường. Dù chỉ hơi nghi ngờ điều gì đó, thì việc đề cao cảnh giác cũng không bao giờ thừa cả. Điều đó bao gồm cả lời kêu gọi hành động hãy soạn tin theo cú pháp “abc” nếu bạn muốn ngừng nhận những tin nhắn này. Hãy thử tìm kiếm trên Google nội dung của tin nhắn nếu nó có vẻ hơi đáng nghi.
Đôi khi bọn tội phạm có một cơ sở dữ liệu số điện thoại khổng lồ và nếu nhận được phản hồi, chúng sẽ biết được số điện thoại này đang hoạt động. Vì vậy, việc nhắn tin phản hồi với mong muốn không phải nhận những tin nhắn tương tự thực sự có thể phản tác dụng. Nếu tin nhắn đến từ một công ty và yêu cầu những thứ kỳ lạ như mật khẩu hoặc có chứa một liên kết, hãy tìm số điện thoại chính xác của công ty đó trên internet, gọi và xác minh xem tin nhắn có thực sự được công ty đó gửi đến không. Không nhấp vào bất kỳ liên kết nào cũng là một việc cần lưu ý, trừ khi bạn chắc chắn rằng nó đến từ một nguồn hợp pháp.
Việc cài đặt phần mềm chống malware trên điện thoại cũng là một việc nên làm. Một số người tin rằng điện thoại thông minh không bị nhiễm phần mềm độc hại như máy tính, nhưng bà Gonzalez cho biết sự thật không phải như vậy.
“Có rất nhiều phần mềm độc hại chủ yếu nhắm mục tiêu vào những chiếc điện thoại, đặc biệt là điện thoại Android, vì Android là một hệ thống mở. Trong vài năm qua, đã có những vụ bê bối với các ứng dụng bị nhiễm phần mềm độc hại, ngay cả trong Google Play Store. Việc có một phần mềm chống malware cho điện thoại cũng quan trọng như việc trang bị phần mềm diệt virus trên máy tính xách tay hoặc máy tính để bàn vậy.”
Một số công ty VPN cũng cung cấp hỗ trợ bổ sung trong lĩnh vực này. NordVPN có một tính năng riêng trong các ứng dụng bảo mật của mình được gọi là CyberSec, hoạt động như một trình chặn nội dung, áp dụng cho toàn bộ hệ điều hành của người dùng. Nó kiểm tra các địa chỉ dựa trên cơ sở dữ liệu khổng lồ từ danh sách chặn của công ty này.
Cuối cùng, nếu bạn thấy mình có nguy cơ bị đe dọa bởi một số phần mềm độc hại, hãy làm mọi cách có thể để bảo vệ dữ liệu của mình, như thay đổi tất cả mật khẩu hoặc sử dụng trình quản lý mật khẩu được mã hóa để bảo mật tối đa cho các thông tin quan trọng.
Xem thêm:
