Với vai trò là một chuyên gia đã có gần một thập kỷ làm việc từ xa, tôi tự hào chưa bao giờ trở thành nạn nhân của bất kỳ cuộc lừa đảo phishing nào – và tôi quyết tâm duy trì điều đó. Mặc dù các chiêu trò lừa đảo ngày càng trở nên tinh vi hơn bao giờ hết, bạn vẫn hoàn toàn có thể tự bảo vệ bản thân và công việc của mình bằng cách tuân thủ một số nguyên tắc cơ bản về cảnh giác và an toàn thông tin. Bài viết này của thuthuatmobile.net sẽ cung cấp cho bạn những kiến thức và mẹo hữu ích nhất để nhận diện và phòng tránh lừa đảo phishing, giúp bạn an tâm hơn trong môi trường số.
1. Luôn Cập Nhật Thông Tin Về Các Chiêu Trò Phishing Mới
Trong cuộc chiến chống lại tội phạm mạng, kiến thức thực sự là sức mạnh. Nếu bạn biết mình cần tìm kiếm điều gì, chỉ cần một cái nhìn lướt qua một email đáng ngờ hoặc tin nhắn SMS bất thường cũng đủ để chuông báo động trong đầu bạn vang lên.
Các chiêu lừa đảo qua email cổ điển, nơi kẻ gian giả mạo ngân hàng của bạn để đánh cắp dữ liệu, tương đối dễ phát hiện. Hầu hết chúng ta đều đã từng là mục tiêu của những cuộc tấn công “rải thảm” như vậy.
Tuy nhiên, với tư cách là người làm việc từ xa, bạn còn phải trở thành chuyên gia trong việc nhận diện spear phishing (lừa đảo có chủ đích). Hình thức này tinh vi hơn nhiều vì thường chứa thông tin cụ thể về bạn hoặc công ty của bạn. Nói cách khác, tin tặc đã dành thời gian nghiên cứu và do đó có thể xuất hiện đáng tin cậy hơn.
Cùng với spear phishing, bạn cũng có thể gặp phải clone phishing (lừa đảo sao chép), nơi bạn sẽ nhận được bản sao của các thông tin liên lạc hợp pháp, nhưng được thêm vào các tệp đính kèm hoặc liên kết nguy hiểm.
Đáng báo động hơn, trí tuệ nhân tạo (AI) đã khiến mọi thứ trở nên đáng sợ hơn, bao gồm cả voice phishing (vishing) – lừa đảo qua giọng nói. Trước đây, kẻ lừa đảo sẽ gọi điện và giả mạo là người hợp pháp. Giờ đây, chúng có thể sao chép giọng nói (và cả hình ảnh thông qua video deepfake) của bất kỳ ai trong tổ chức của bạn.
Việc nắm rõ tất cả các kỹ thuật này là cực kỳ quan trọng, giúp bạn suy nghĩ kỹ hơn trước khi nhấp vào một liên kết trong một email tưởng chừng an toàn từ đồng nghiệp.
2. Kỹ Năng Nhận Diện Phishing: Những Dấu Hiệu Quan Trọng
Việc học cách nhận biết phishing khá đơn giản. Điều đầu tiên bạn nên kiểm tra là địa chỉ email của người gửi. Trong hầu hết các trường hợp, bạn sẽ nhận thấy rằng dù địa chỉ này trông rất giống với một tổ chức chính thức (hoặc thành viên trong nhóm), nhưng một số chữ cái có thể bị thay thế bằng ký hiệu tương tự, hoặc một chữ cái nào đó bị bỏ sót.
Đối với tôi, dấu hiệu rõ ràng nhất của phishing thường là ngôn ngữ tạo ra cảm giác khẩn cấp. Tội phạm mạng thường lợi dụng những người không có kinh nghiệm để nhận ra các chiêu lừa đảo, và do đó, chúng tạo ra các kịch bản yêu cầu bạn phải hành động nhanh chóng mà không cần suy nghĩ.
Trước đây, email phishing thường chứa đầy lỗi ngữ pháp và lỗi chính tả. Ngày nay, tội phạm mạng thường sử dụng các mô hình ngôn ngữ AI để tạo ra văn bản tinh tế hơn, đủ tốt để đánh lừa hầu hết những người thiếu cảnh giác. Từ khóa ở đây là “đủ tốt”.
Bạn có thể nhận ra các cuộc tấn công phishing được hỗ trợ bởi AI qua luồng câu văn không tự nhiên. Cũng thường thấy văn bản trong email quá trang trọng hoặc quá hoàn hảo, thiếu đi bất kỳ sự chạm nhẹ của con người nào, điều mà hầu hết các giao tiếp liên quan đến công việc đều có.
Đây là một ví dụ về email tôi đã tạo bằng Google Gemini:
Ví dụ về email phishing do AI tạo ra từ một đồng nghiệp giả mạo
Nhìn bề ngoài nó có vẻ ổn, nhưng sẽ lộ rõ khi kiểm tra kỹ lưỡng. Nếu bạn từng nhận được một email tương tự, hãy liên hệ trực tiếp với người được cho là đã gửi nó để làm rõ mọi nhầm lẫn thay vì chấp nhận bất kỳ rủi ro nào.
Với công nghệ sao chép giọng nói và deepfake, việc nhận diện sẽ khó khăn hơn một chút. Tin tốt là hầu hết tội phạm mạng chỉ muốn kiếm tiền nhanh chóng, nên việc sao chép giọng nói và hình ảnh của quản lý của bạn có thể đòi hỏi quá nhiều nỗ lực. Do đó, hầu hết chúng ta sẽ không bao giờ phải đối phó với loại phishing này. Tuy nhiên, dù cơ hội thấp nhưng không bao giờ là bằng không, vì vậy bạn chắc chắn nên nắm vững các kiến thức cơ bản.
Ví dụ, sao chép giọng nói nghe có vẻ thuyết phục, nhưng hiện tại, vẫn có thể nhận thấy các lỗi kỹ thuật số khiến người nói nghe có vẻ như robot. Nhịp điệu và những biến đổi nhỏ trong giọng nói sẽ bị sai lệch mặc dù âm sắc có thể trùng khớp.
Điều tương tự cũng áp dụng cho việc phát hiện deepfake, nơi bạn có thể nhận thấy những điểm không hoàn hảo như chuyển động giật cục hoặc khớp môi bị lỗi. Dù bằng cách nào, bạn cũng đủ quen thuộc với đồng nghiệp để nhận biết các kiểu hành vi của họ, vì vậy bất kỳ điều gì có vẻ bất thường đều nên là một dấu hiệu cảnh báo lớn.
3. Luôn Suy Nghĩ Kỹ Trước Khi Nhấp Hoặc Tải Về
Bạn có thể gọi tôi là người hay lo lắng, nhưng bất cứ khi nào tôi nhận được một liên kết trong email (ngay cả từ một địa chỉ quen thuộc), tôi luôn kiểm tra nó bằng cách di chuột qua. Bạn cũng nên làm điều tương tự — nhưng bạn nên tìm kiếm điều gì?
Đầu tiên, hãy kiểm tra tên miền (hay còn gọi là phần đầu tiên của liên kết). Tương tự như cách kẻ lừa đảo cố gắng làm cho địa chỉ email trông hợp pháp, chúng cũng làm điều tương tự với tên miền trong các liên kết mà chúng gửi cho bạn. Hãy tìm kiếm lỗi chính tả, dấu gạch nối, và các chữ cái bị thiếu hoặc thừa. Mục đích của phishing là đánh cắp thông tin đăng nhập của bạn hoặc khiến bạn tải xuống phần mềm độc hại, vì vậy liên kết sẽ cố gắng bắt chước một dịch vụ hợp pháp.
Tương tự, bạn nên cảnh giác với bất kỳ tệp đính kèm nào. Điều này bao gồm các tệp thực thi (.exe) và tệp nén (.zip, .rar) mà tội phạm mạng yêu thích vì dễ dàng ẩn phần mềm độc hại, cũng như các tài liệu Microsoft Office mà giờ đây cho phép tin tặc thiết lập các script và macro hoạt động tương tự như tệp .exe.
4. Cảnh Giác Cao Độ Khi Sử Dụng Wi-Fi Công Cộng
Điều tuyệt vời nhất khi làm việc từ xa là bạn có thể làm việc ở bất cứ đâu. Mặc dù điều này rất tốt cho sức khỏe tinh thần, nhưng nó có thể nguy hiểm về mặt an ninh mạng, chủ yếu là do Wi-Fi phishing hoặc Wi-Fi spoofing (giả mạo Wi-Fi).
Trong kịch bản này (thường được gọi là tấn công Man-in-the-Middle), tin tặc tạo ra một mạng lưới song song với điểm truy cập Wi-Fi thực tế trong không gian công cộng. Sau đó, chúng chỉ cần đợi nạn nhân thiết lập kết nối để xem mọi thứ họ làm trực tuyến, bao gồm cả thông tin đăng nhập.
Có rất nhiều điều bạn nên sắp xếp nếu bạn định làm việc tại các quán cà phê và những nơi công cộng khác như thư viện, chủ yếu là về mặt an ninh mạng. Để tránh trở thành nạn nhân của Wi-Fi spoofing, tốt nhất là nên tránh hoàn toàn Wi-Fi công cộng, đặc biệt nếu bạn đang xử lý dữ liệu nhạy cảm của công ty. Chẳng hạn, tôi luôn mang theo điểm phát sóng di động hoặc sử dụng tethering để giảm thiểu rủi ro và tránh tắc nghẽn lưu lượng.
Nếu bạn hoàn toàn kiên quyết sử dụng mạng công cộng, bạn nên cài đặt VPN trước tiên để đảm bảo an toàn.
5. Tận Dụng Phần Mềm Hỗ Trợ Phòng Chống Phishing
Tại sao phải chống lại một mình khi luôn có phần mềm có thể giúp đỡ bạn? Ví dụ, một phiên bản cao cấp của Malwarebytes có thể nâng cao đáng kể bảo mật trực tuyến của bạn và bảo vệ bạn không chỉ khỏi phần mềm độc hại mà còn khỏi phishing.
Với tính năng quét thời gian thực, Malwarebytes phân tích các email đến và tự động chặn chúng nếu nhận diện bất kỳ dấu hiệu đáng ngờ nào. Nó cũng phân tích các liên kết trong email để kiểm tra xem chúng có an toàn không, cùng với việc xem xét nội dung của chính tin nhắn. Malwarebytes cũng có thể xác minh xem người gửi email có xác thực không bằng cách đối chiếu thông tin của họ với dữ liệu có sẵn. Do đó, nó cũng là một công cụ mạnh mẽ chống lại email spoofing (giả mạo email).
Giao diện phần mềm Malwarebytes đang hoạt động quét hệ thống
Mặc dù đây là một bước tùy chọn, nhưng nó sẽ thêm một lớp bảo vệ nữa chống lại số lượng các cuộc lừa đảo phishing ngày càng tăng và cũng giảm bớt gánh nặng “đánh bại phishing” của bạn.
Bằng cách thực hành cảnh giác trong công việc và kiểm tra kỹ lưỡng các liên kết và tệp đính kèm trong email, bạn sẽ tránh trở thành con mồi của một cuộc lừa đảo phishing. Mặc dù AI được thêm vào cuộc chơi không giúp ích gì, nhưng các quy tắc cơ bản vẫn được áp dụng – hãy luôn cảnh giác, đừng rơi vào bẫy áp lực cao, nghi vấn mọi thứ, và AI sẽ không thể làm gì được bạn!
Bạn có kinh nghiệm hay mẹo nào khác để phòng chống lừa đảo phishing không? Hãy chia sẻ ý kiến của bạn trong phần bình luận bên dưới để cùng xây dựng một cộng đồng trực tuyến an toàn hơn!
