Mùa lễ hội cuối năm, thời điểm của niềm vui, mua sắm và tụ họp, cũng đồng thời là giai đoạn mà các mối đe dọa an ninh mạng bùng phát mạnh mẽ nhất. Tội phạm mạng không hề nghỉ ngơi, ngược lại, chúng tận dụng sự mất cảnh giác và nhịp sống vội vã của mọi người để thực hiện các hành vi lừa đảo trực tuyến tinh vi, đặc biệt là trong bối cảnh mua sắm và giao dịch số tăng cao.
Tại Sao Mùa Lễ Hội Lại Là “Thời Điểm Vàng” Cho Tội Phạm Mạng?
Sự gia tăng đáng kể trong các giao dịch trực tuyến chính là nguyên nhân hàng đầu khiến mùa lễ hội trở thành mục tiêu hấp dẫn cho tội phạm mạng. Chỉ riêng năm 2023, doanh số bán hàng trực tuyến trong mùa lễ hội tại Mỹ đã chạm mốc 222,1 tỷ USD. Lượng giao dịch khổng lồ này thu hút những kẻ tấn công muốn trục lợi từ sự nhộn nhịp của thị trường. Theo báo cáo từ SIRP, các cuộc tấn công ransomware đã tăng 30% và tấn công lừa đảo (phishing) tăng 35% trong mùa lễ hội 2023.
Sự bùng nổ của các giao dịch kỹ thuật số cùng với tâm lý vội vàng, “chạy đua” hoàn thành danh sách công việc trước kỳ nghỉ tạo ra một “cơn bão hoàn hảo” cho các cuộc tấn công mạng. Khi người dùng tất bật mua sắm, chuẩn bị cho ngày lễ, họ thường ít để ý đến những chi tiết nhỏ như địa chỉ email bị sai chính tả hay các ký tự lạ trong đường dẫn URL. Bên cạnh đó, lòng tốt và sự hào phóng của mọi người trong mùa này cũng bị kẻ xấu lợi dụng thông qua các chiến dịch từ thiện giả mạo.
Tội phạm mạng cũng nắm rõ rằng hầu hết các văn phòng sẽ hoạt động với số lượng nhân sự tối thiểu trong kỳ nghỉ lễ, đặc biệt là vào dịp Giáng sinh và Năm mới. Điều này khiến các đội ngũ IT trở nên căng thẳng, chuyên gia bảo mật có thể vắng mặt, làm chậm trễ thời gian phản hồi và xử lý các sự cố an ninh.
4 Kiểu Tấn Công Mạng Phổ Biến Nhất Mùa Lễ Hội
Dưới đây là những mối đe dọa mạng phổ biến nhất và thường tăng đột biến trong mùa lễ hội:
Lừa Đảo Phishing Mùa Lễ Hội (Holiday Phishing)
Trong mùa lễ hội, email về các chương trình khuyến mãi giả mạo hoặc tin tức về “quà tặng đặc biệt” nhái theo các thương hiệu nổi tiếng xuất hiện tràn lan. Những email này thường chứa các đường dẫn dẫn đến các trang web giả mạo nhằm thu thập thông tin nhận dạng cá nhân (PII) của bạn.
Email lừa đảo phishing giả mạo quà tặng miễn phí
Kẻ tấn công còn có thể gửi email xác nhận đơn hàng cho những món đồ bạn không hề mua và yêu cầu bạn nhấp vào liên kết để xem chi tiết. Ngoài ra, hãy cảnh giác với những email đính kèm hóa đơn cuối năm sử dụng định dạng tệp tin bất thường hoặc các chiêu trò lừa đảo qua thư điện tử khác liên quan đến mùa lễ hội. Mục đích của chúng là lừa bạn tải về tệp độc hại hoặc chuyển tiền vào một tài khoản ngân hàng giả mạo.
Giả Mạo Tên Miền (Typosquatting/URL Hijacking)
Kiểu tấn công này, còn được gọi là chiếm đoạt URL, xảy ra khi tội phạm mạng đăng ký một tên miền có lỗi chính tả phổ biến của một doanh nghiệp hợp pháp. Nó trở nên hiệu quả hơn trong mùa lễ hội khi mọi người dễ bị phân tâm và vội vã hoàn thành việc mua sắm, do đó có thể gõ sai URL hoặc không kiểm tra kỹ đường dẫn của các trang web mà họ truy cập. Những trang web giả mạo này sẽ đánh cắp thông tin thanh toán và các thông tin PII khác của bạn.
Lừa Đảo Qua Tin Nhắn (Christmas Smishing)
Tin nhắn smishing giả mạo từ dịch vụ bưu chính USPS
Một tin nhắn văn bản thông báo cập nhật vận chuyển hoặc thông báo “có vấn đề với việc giao hàng của bạn” có thể khiến bạn vội vàng mở ngay nếu gần đây có đặt hàng trực tuyến. Tuy nhiên, đó có thể là tin nhắn từ kẻ lừa đảo muốn đánh cắp thông tin của bạn. Các cơ quan chức năng đang cảnh báo về những trò lừa đảo qua tin nhắn yêu cầu khách hàng “cập nhật tùy chọn giao hàng” hoặc lên lịch “giao lại gói hàng” vì địa chỉ không chính xác, đặc biệt vào mùa vận chuyển cao điểm.
Tấn Công DDoS và Mã Độc Tống Tiền (Ransomware) Mùa Lễ Hội
Tấn công từ chối dịch vụ phân tán (DDoS) cũng rất phổ biến vào thời điểm này trong năm. Lưu lượng truy cập cao gây căng thẳng cho mạng lưới, và những kẻ tấn công lợi dụng điều này bằng cách làm ngập máy chủ bằng lượng truy cập web lớn hơn, khiến dịch vụ không khả dụng cho khách hàng.
Một số cuộc tấn công DDoS có thể do đối thủ cạnh tranh thực hiện nhằm làm gián đoạn hoạt động của doanh nghiệp khác và thu hút thêm khách hàng về phía mình. Số khác lại do tội phạm mạng cài đặt ransomware (mã độc tống tiền) lên máy chủ, về cơ bản là “bắt cóc” hoạt động kinh doanh để buộc doanh nghiệp phải trả tiền chuộc. Điều này có thể khiến doanh nghiệp thiệt hại hàng triệu USD và làm tổn hại nghiêm trọng niềm tin của khách hàng.
Trong một số trường hợp, tin tặc còn tấn công các mạng chơi game như Xbox Live vào đúng ngày Giáng sinh chỉ để phá hoại trải nghiệm của những người vừa mở hộp console mới. Đáng tiếc là khi một doanh nghiệp bị nhắm mục tiêu bằng ransomware, người dùng cá nhân thường có rất ít điều có thể làm.
Những Biện Pháp Bảo Vệ Bản Thân Khỏi Tấn Công Mạng Mùa Lễ Hội
Điều đầu tiên bạn cần làm là chậm lại và tập trung chú ý. Tội phạm mạng sẽ cố gắng làm bạn mất tập trung vì chúng biết bạn đang phải giải quyết nhiều việc cùng lúc trong giai đoạn này. Hãy kiểm tra kỹ trước khi bạn mở email, nhấp vào liên kết và truy cập các trang web.
1. Kiểm tra kỹ email và đường dẫn: Rê chuột lên các liên kết trong email sẽ giúp bạn thấy URL hiển thị ở góc dưới bên trái trình duyệt trước khi nhấp. Nếu đường dẫn trông không đúng, đừng mở. Tiếp theo, hãy kiểm tra các ký tự trong URL đó. Một tên công ty bị sai chính tả hoặc một ký tự lạ được thêm vào có thể là dấu hiệu cho thấy đây không phải là trang web hợp pháp bạn muốn giao dịch. Hãy kiểm tra cả địa chỉ email của người gửi nữa.
2. Đọc đánh giá và xác minh độ an toàn của trang web: Trước khi đặt hàng từ một doanh nghiệp trực tuyến, hãy đọc các đánh giá và kiểm tra các cuộc thảo luận trên diễn đàn, vì nhiều nạn nhân thường chia sẻ trải nghiệm của họ để cảnh báo người khác. Trước khi cung cấp thông tin thanh toán, hãy đảm bảo trang web an toàn và hợp pháp (kiểm tra HTTPS). Hơn nữa, việc nhận các bản cập nhật trạng thái đơn hàng không liên kết với một đơn hàng hoặc mã số cụ thể thường cho thấy đó là một tin nhắn smishing chung được gửi đến nhiều người.
3. Cảnh giác với lời kêu gọi hành động khẩn cấp: Cuối cùng, một lời kêu gọi hành động khẩn cấp hoặc ngôn ngữ đe dọa trong email hay tin nhắn yêu cầu bạn nhấp hoặc gọi một số điện thoại ngay lập tức được thiết kế để tạo cảm giác cấp bách, buộc bạn phải hành động trước khi kịp suy nghĩ. Hãy luôn kiểm tra lại bằng cách gọi trực tiếp đến công ty có liên quan để xác minh thông tin.
