Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi, tội phạm mạng sử dụng nhiều chiêu thức cùng với các kỹ thuật AI, Deepfake để tạo ra các video, âm thanh, hình ảnh giả mạo một cách siêu thực để đánh lừa nạn nhân tự nguyện cung cấp thông tin hoặc thực hiện các hành động được dẫn dắt bởi kẻ lừa đảo.
Một số các kỹ thuật lừa đảo phổ biến qua Social Engineering (tấn công phi kỹ thuật):1. Vishing – Lừa đảo qua cuộc gọi
Vishing (Voice Phishing) là hình thức lừa đảo thông qua các cuộc gọi điện thoại.
Kẻ gian thường:
- Giả danh ngân hàng, công an, cơ quan thuế hoặc đơn vị cung cấp dịch vụ.
- Sử dụng số điện thoại giả mạo hoặc số lạ.
- Tạo áp lực bằng các tình huống khẩn cấp như khóa tài khoản, vi phạm pháp luật hoặc giao dịch bất thường.
- Yêu cầu người dùng cung cấp thông tin cá nhân, mật khẩu, mã OTP hoặc chuyển tiền.
Một số kịch bản phổ biến gồm:
- Thông báo hủy đơn hàng.
- Thông báo trúng thưởng.
- Hỗ trợ kỹ thuật từ xa.
- Yêu cầu xác thực thông tin tài khoản.
2. Phishing – Lừa đảo qua email
Phishing (Email Phishing) là hình thức gửi email giả mạo nhằm đánh cắp thông tin hoặc phát tán mã độc.
Các dấu hiệu nhận biết:
- Địa chỉ email người gửi không chính thống.
- Chứa liên kết hoặc tệp đính kèm đáng ngờ.
- Nội dung tạo cảm giác cấp bách hoặc đe dọa.
- Lỗi chính tả, ngôn ngữ bất thường.
- Yêu cầu đăng nhập hoặc cung cấp thông tin cá nhân.
Các kịch bản thường gặp:
- Thông báo từ bộ phận IT yêu cầu xác thực tài khoản.
- Yêu cầu đổi hoặc đặt lại mật khẩu.
- Gửi tệp hóa đơn, hợp đồng hoặc chứng từ giả mạo.
- Dẫn người dùng tới website đăng nhập giả.
3. Tại sao Social Engineering nguy hiểm?
Khác với các hình thức tấn công kỹ thuật, Social Engineering không cần khai thác lỗ hổng phần mềm. Thay vào đó, kẻ tấn công lợi dụng sự tin tưởng, tâm lý lo lắng, tò mò hoặc sợ hãi của con người để đạt được mục đích.
Chỉ cần một cú nhấp chuột vào đường link độc hại hoặc một lần tiết lộ mã OTP, người dùng có thể:
- Mất quyền kiểm soát tài khoản.
- Rò rỉ dữ liệu cá nhân hoặc dữ liệu doanh nghiệp.
- Bị chiếm đoạt tài sản.
- Tạo điều kiện cho các cuộc tấn công sâu hơn vào hệ thống.
4. Khuyến nghị phòng tránh
Để bảo vệ bản thân và tổ chức trước các hình thức lừa đảo, người dùng cần:
- Luôn xác minh danh tính của người gọi hoặc người gửi email.
- Không chia sẻ mật khẩu, mã OTP hoặc thông tin nhạy cảm dưới bất kỳ hình thức nào.
- Không nhấp vào các đường link hoặc tệp đính kèm không rõ nguồn gốc.
- Kiểm tra kỹ địa chỉ email, tên miền website trước khi đăng nhập.
Hãy nâng cao nhận thức an ninh thông tin để bảo vệ thông tin, tài sản của chính mình và tổ chức.
Trân trọng./.
ABBank – Cùng bạn kiến tạo hạnh phúc