Trong bối cảnh làm việc từ xa (remote work) trở thành xu hướng chủ đạo, việc đảm bảo an ninh mạng cá nhân và doanh nghiệp trở nên cấp thiết hơn bao giờ hết. Phishing, hay lừa đảo qua mạng, vẫn là một trong những mối đe dọa dai dẳng và ngày càng tinh vi, đặc biệt khi kẻ xấu lợi dụng thông tin cá nhân hoặc các kênh liên lạc công việc để tấn công. Với kinh nghiệm gần một thập kỷ làm việc từ xa, tôi luôn đặt sự cảnh giác lên hàng đầu để không trở thành nạn nhân của các chiêu trò lừa đảo phishing. Bài viết này sẽ cung cấp những kiến thức và mẹo thực tiễn để bạn tự bảo vệ mình và dữ liệu quan trọng khỏi các cuộc tấn công tinh vi này.
I. Luôn Cập Nhật Về Các Chiêu Trò Lừa Đảo Phishing Mới Nhất
Kiến thức chính là chìa khóa để bảo vệ bản thân và tổ chức khỏi tội phạm mạng. Nếu bạn nắm rõ các hình thức lừa đảo, chỉ một cái nhìn thoáng qua email hay tin nhắn đáng ngờ cũng đủ để chuông báo động nội bộ của bạn reo lên. Các chiêu lừa đảo email cổ điển, nơi kẻ tấn công giả mạo ngân hàng để lấy cắp dữ liệu, tương đối dễ nhận diện.
Tuy nhiên, với tư cách là người làm việc từ xa, bạn cần phải trở thành bậc thầy trong việc nhận biết spear phishing (tấn công lừa đảo có mục tiêu). Kiểu tấn công này tinh vi hơn rất nhiều, thường chứa thông tin cụ thể về bạn hoặc công ty của bạn, cho thấy tin tặc đã tìm hiểu kỹ lưỡng và do đó có thể trông thuyết phục hơn.
Cùng với spear phishing, bạn cũng có thể gặp clone phishing (lừa đảo sao chép), nơi bạn nhận được bản sao của các thông báo hợp pháp nhưng đã được thêm “gia vị” là các tệp đính kèm hoặc liên kết độc hại. Đáng lo ngại hơn, trí tuệ nhân tạo (AI) đã khiến mọi thứ trở nên đáng sợ hơn, bao gồm cả voice phishing (vishing), tức lừa đảo bằng giọng nói. Trước đây, kẻ lừa đảo chỉ cần gọi điện và giả danh người hợp pháp, nhưng giờ đây, chúng có thể nhân bản giọng nói (và hình ảnh thông qua video deepfake) của bất kỳ ai trong tổ chức của bạn. Nắm rõ các kỹ thuật này sẽ giúp bạn suy nghĩ kỹ trước khi nhấp vào một liên kết trong email có vẻ an toàn từ đồng nghiệp.
II. Học Cách Nhận Diện Dấu Hiệu Phishing Cơ Bản
Việc nhận biết lừa đảo phishing tương đối đơn giản nếu bạn biết những gì cần tìm kiếm.
1. Kiểm Tra Địa Chỉ Email Người Gửi
Điều đầu tiên bạn nên xem xét là địa chỉ email của người gửi. Trong hầu hết các trường hợp, bạn sẽ nhận thấy rằng mặc dù địa chỉ này trông rất giống một tổ chức chính thức (hoặc một thành viên trong nhóm), nhưng một số ký tự có thể bị thay thế bằng ký hiệu tương tự, hoặc một trong các chữ cái có thể bị bỏ qua hoàn toàn. Ví dụ: [email protected] thay vì [email protected].
2. Cảnh Giác Với Ngôn Ngữ Gấp Gáp Và Áp Lực
Đối với tôi, dấu hiệu lớn nhất của phishing thường là ngôn ngữ tạo ra cảm giác khẩn cấp. Kẻ lừa đảo đang cố gắng lợi dụng những người không có kinh nghiệm nhận diện lừa đảo và do đó tạo ra các kịch bản yêu cầu bạn hành động nhanh chóng mà không suy nghĩ. Chúng muốn bạn hoảng loạn và bỏ qua các dấu hiệu đáng ngờ.
3. Nhận Diện Dấu Hiệu Lời Văn Do AI Tạo Ra
Trong quá khứ, các email lừa đảo thường đầy rẫy lỗi ngữ pháp và chính tả. Ngày nay, tội phạm mạng thường sử dụng các mô hình ngôn ngữ AI để tạo ra văn bản trau chuốt hơn, đủ tốt để đánh lừa hầu hết những người không cảnh giác. Tuy nhiên, điểm mấu chốt ở đây là “đủ tốt” chứ không phải hoàn hảo.
Bạn có thể nhận ra các cuộc tấn công phishing được thúc đẩy bởi AI qua luồng câu văn không tự nhiên. Cũng phổ biến khi văn bản trong email quá trang trọng hoặc quá hoàn hảo, thiếu đi sự “chạm” của con người, vốn là đặc điểm của hầu hết các giao tiếp liên quan đến công việc.
Đây là một ví dụ về email được tạo ra bằng AI của Google Gemini:
Ví dụ email lừa đảo phishing giả mạo do AI tạo ra với nội dung khẩn cấp
Nhìn qua thì có vẻ ổn, nhưng sẽ lộ rõ khi kiểm tra kỹ. Nếu bạn nhận được email tương tự, hãy liên hệ trực tiếp với người được cho là đã gửi để làm rõ mọi thắc mắc thay vì chấp nhận rủi ro.
4. Phân Biệt Giọng Nói Clone Và Deepfake Video
Với công nghệ nhân bản giọng nói và deepfake, mọi thứ phức tạp hơn một chút. Tin tốt là hầu hết tội phạm mạng chỉ muốn kiếm tiền nhanh chóng, nên việc nhân bản giọng nói và hình ảnh của quản lý bạn có thể đòi hỏi quá nhiều công sức. Do đó, hầu hết chúng ta sẽ không bao giờ phải đối phó với loại phishing này. Tuy nhiên, dù cơ hội thấp nhưng không phải là không có, vì vậy bạn vẫn nên nắm vững những kiến thức cơ bản.
Ví dụ, giọng nói được nhân bản nghe rất thuyết phục, nhưng hiện tại, vẫn có thể nhận thấy các “hiện vật số” khiến người nói nghe có vẻ máy móc. Nhịp điệu và ngữ điệu nhỏ của giọng nói sẽ bị lệch dù âm sắc rất giống. Điều tương tự cũng áp dụng khi phát hiện deepfake video, nơi bạn có thể nhận thấy các điểm không hoàn hảo như chuyển động giật cục hoặc khẩu hình môi bị lỗi. Dù bằng cách nào, bạn đủ quen thuộc với đồng nghiệp để nhận biết các mẫu hình giao tiếp của họ, vì vậy bất cứ điều gì có vẻ bất thường đều là một dấu hiệu cảnh báo lớn.
III. Luôn Suy Nghĩ Kỹ Trước Khi Nhấp Vào Bất Kỳ Liên Kết Hay Tệp Đính Kèm Nào
Mỗi khi tôi nhận được một liên kết trong email (ngay cả từ một địa chỉ quen thuộc), tôi luôn kiểm tra bằng cách di chuyển con trỏ chuột qua đó mà không nhấp. Bạn cũng nên làm như vậy, nhưng bạn cần tìm kiếm điều gì?
Đầu tiên, hãy kiểm tra tên miền (hay còn gọi là phần đầu tiên của liên kết). Tương tự như cách kẻ lừa đảo cố gắng làm cho địa chỉ email trông hợp pháp, chúng cũng làm điều tương tự với tên miền trong các liên kết mà chúng gửi. Hãy tìm lỗi chính tả, dấu gạch nối, và các chữ cái bị thiếu hoặc thừa. Mục đích của phishing là đánh cắp thông tin đăng nhập của bạn hoặc khiến bạn tải xuống phần mềm độc hại, vì vậy liên kết sẽ cố gắng bắt chước một dịch vụ hợp pháp.
Tương tự, bạn nên cảnh giác với bất kỳ tệp đính kèm nào. Điều này bao gồm các tệp thực thi (.exe) và tệp nén (.zip, .rar) mà tội phạm mạng rất ưa thích vì dễ dàng ẩn chứa mã độc. Ngoài ra, các tài liệu Microsoft Office giờ đây cũng cho phép tin tặc thiết lập các script và macro hoạt động tương tự như tệp .exe.
IV. Tăng Cường Bảo Mật Khi Sử Dụng Wi-Fi Công Cộng
Điều tuyệt vời nhất khi làm việc từ xa là bạn có thể mang công việc của mình đi bất cứ đâu. Dù điều này rất tốt cho sức khỏe tinh thần, nhưng nó có thể nguy hiểm về mặt an ninh mạng, chủ yếu do Wi-Fi phishing hoặc Wi-Fi spoofing (giả mạo Wi-Fi).
Trong kịch bản này (thường được gọi là tấn công man-in-the-middle), tin tặc tạo ra một mạng Wi-Fi giả mạo giống hệt một điểm truy cập Wi-Fi thực tế ở nơi công cộng. Sau đó, chúng chỉ cần chờ nạn nhân thiết lập kết nối để theo dõi mọi hoạt động trực tuyến của họ, bao gồm bất kỳ thông tin đăng nhập nào.
Có rất nhiều điều bạn nên chuẩn bị nếu có ý định làm việc tại quán cà phê và những nơi công cộng khác như thư viện, đặc biệt là về mặt an ninh mạng. Để tránh trở thành nạn nhân của Wi-Fi spoofing, tốt nhất là nên tránh sử dụng Wi-Fi công cộng hoàn toàn, đặc biệt nếu bạn đang xử lý dữ liệu nhạy cảm của công ty. Cá nhân tôi luôn mang theo một điểm phát sóng di động (mobile hotspot) hoặc sử dụng tính năng chia sẻ kết nối (tethering) từ điện thoại để giảm thiểu rủi ro và tránh tắc nghẽn mạng. Nếu bạn nhất quyết phải sử dụng mạng công cộng, bạn nên cài đặt một VPN trước tiên để đảm bảo an toàn.
V. Tận Dụng Phần Mềm Chuyên Dụng Để Giảm Thiểu Rủi Ro Phishing
Tại sao phải đối phó một mình khi luôn có phần mềm có thể hỗ trợ bạn? Ví dụ, một phiên bản cao cấp của Malwarebytes có thể tăng cường đáng kể an ninh mạng của bạn và bảo vệ bạn không chỉ khỏi phần mềm độc hại mà còn khỏi phishing.
Với tính năng quét thời gian thực, Malwarebytes phân tích các email đến và tự động chặn chúng nếu nó nhận diện bất kỳ điều gì đáng ngờ. Nó cũng phân tích các liên kết trong email để kiểm tra xem chúng có an toàn không, cùng với việc kiểm tra nội dung của chính các tin nhắn. Malwarebytes còn có thể xác minh xem người gửi email có phải là thật hay không bằng cách đối chiếu thông tin của họ với dữ liệu có sẵn. Do đó, đây cũng là một công cụ mạnh mẽ chống lại email spoofing (giả mạo email).
Giao diện phần mềm Malwarebytes hiển thị tính năng bảo vệ khỏi lừa đảo phishing và mã độc
Mặc dù đây là một bước tùy chọn, nhưng nó sẽ thêm một lớp phòng thủ nữa chống lại số lượng các vụ lừa đảo phishing ngày càng tăng và cũng giảm bớt khối lượng công việc “chống phishing” của bạn.
Bằng cách thực hành cẩn trọng trong công việc và xem xét kỹ lưỡng các liên kết và tệp đính kèm trong email, bạn sẽ tránh trở thành con mồi của một vụ lừa đảo phishing. Đúng là AI được thêm vào không giúp ích gì, nhưng các quy tắc cơ bản vẫn được áp dụng: luôn cảnh giác, không rơi vào các chiến thuật gây áp lực cao, đặt câu hỏi cho mọi thứ, và AI sẽ không thể làm gì được bạn!
