TL;DR

  • Lừa đảo trực tuyến là một hành vi nguy hiểm trong đó kẻ tấn công cải trang thành những thực thể đáng tin cậy để lừa các cá nhân tiết lộ thông tin nhạy cảm.

  • Hãy cảnh giác trước hành vi lừa đảo bằng cách nhận biết các dấu hiệu phổ biến như URL đáng ngờ và các yêu cầu khẩn cấp về thông tin cá nhân.

  • Hiểu các kỹ thuật lừa đảo đa dạng, từ lừa đảo qua email thông thường đến lừa đảo tinh vi, để tăng cường phòng thủ an ninh mạng.

Giới thiệu

Lừa đảo là một chiến thuật có hại, trong đó những kẻ xấu giả vờ là nguồn đáng tin cậy để lừa mọi người chia sẻ dữ liệu nhạy cảm. Trong bài viết này, chúng tôi sẽ làm sáng tỏ lừa đảo là gì, nó hoạt động như thế nào và bạn có thể làm gì để tránh trở thành nạn nhân của những trò lừa đảo như vậy.

Lừa đảo hoạt động như thế nào

Lừa đảo chủ yếu dựa vào kỹ thuật xã hội, một phương pháp trong đó kẻ tấn công thao túng các cá nhân để tiết lộ thông tin bí mật. Những kẻ tấn công thu thập thông tin cá nhân từ các nguồn công cộng (như mạng xã hội) để tạo ra các email có vẻ xác thực. Nạn nhân thường nhận được những tin nhắn độc hại có vẻ như đến từ những người quen quen hoặc các tổ chức có uy tín.

Hình thức lừa đảo phổ biến nhất xảy ra thông qua các email có chứa các liên kết hoặc tệp đính kèm độc hại. Việc nhấp vào các liên kết này có thể cài đặt phần mềm độc hại trên thiết bị của người dùng hoặc dẫn họ đến các trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và tài chính.

Mặc dù việc phát hiện các email lừa đảo được viết kém dễ dàng hơn nhưng tội phạm mạng đang sử dụng các công cụ nâng cao như chatbot và trình tạo giọng nói AI để nâng cao tính xác thực của các cuộc tấn công của chúng. Điều này khiến người dùng gặp khó khăn trong việc phân biệt giữa thông tin liên lạc thực sự và gian lận.

Nhận biết các nỗ lực lừa đảo

Việc xác định email lừa đảo có thể khó khăn nhưng có một số dấu hiệu bạn có thể chú ý.

Dấu hiệu chung

Hãy thận trọng nếu thư chứa các URL đáng ngờ, sử dụng địa chỉ email công cộng, gây sợ hãi hoặc khẩn cấp, yêu cầu thông tin cá nhân hoặc có lỗi chính tả và ngữ pháp. Trong hầu hết các trường hợp, bạn có thể di chuột qua các liên kết để kiểm tra URL mà không cần thực sự nhấp vào chúng.

Lừa đảo dựa trên thanh toán kỹ thuật số

Những kẻ lừa đảo thường mạo danh các dịch vụ thanh toán trực tuyến đáng tin cậy như PayPal, Venmo hoặc Wise. Người dùng nhận được email lừa đảo yêu cầu họ xác minh chi tiết đăng nhập. Điều quan trọng là phải duy trì cảnh giác và báo cáo hoạt động đáng ngờ.

Các cuộc tấn công lừa đảo dựa trên tài chính

Những kẻ lừa đảo đóng giả ngân hàng hoặc tổ chức tài chính, tuyên bố vi phạm an ninh để lấy thông tin cá nhân. Các chiến thuật phổ biến bao gồm các email lừa đảo về chuyển tiền hoặc lừa đảo gửi tiền trực tiếp nhắm vào nhân viên mới. Họ cũng có thể tuyên bố rằng có bản cập nhật bảo mật khẩn cấp.

Lừa đảo lừa đảo liên quan đến công việc

Những trò lừa đảo được cá nhân hóa này liên quan đến những kẻ tấn công đóng giả là giám đốc điều hành, CEO hoặc CFO, yêu cầu chuyển khoản ngân hàng hoặc mua hàng giả. Lừa đảo bằng giọng nói bằng cách sử dụng trình tạo giọng nói AI qua điện thoại là một phương pháp khác được những kẻ lừa đảo sử dụng.

Cách ngăn chặn các cuộc tấn công lừa đảo

Để ngăn chặn các cuộc tấn công lừa đảo, điều quan trọng là phải sử dụng nhiều biện pháp bảo mật. Tránh nhấp trực tiếp vào bất kỳ liên kết nào. Thay vào đó, hãy truy cập trang web chính thức hoặc các kênh liên lạc của công ty để kiểm tra xem thông tin bạn nhận được có hợp pháp hay không. Hãy cân nhắc sử dụng các công cụ bảo mật như phần mềm chống vi-rút, tường lửa và bộ lọc thư rác.

Ngoài ra, các tổ chức nên sử dụng các tiêu chuẩn xác thực email để xác minh email gửi đến. Các ví dụ phổ biến về phương pháp xác thực email bao gồm DKIM (Thư được xác định bằng khóa miền) và DMARC (Xác thực, báo cáo và tuân thủ thư dựa trên miền).

Đối với các cá nhân, điều quan trọng là phải thông báo cho gia đình và bạn bè của họ về những rủi ro của lừa đảo. Đối với các công ty, điều quan trọng là giáo dục nhân viên về các kỹ thuật lừa đảo và cung cấp đào tạo nâng cao nhận thức định kỳ để giảm thiểu rủi ro.

Nếu bạn cần hỗ trợ và thông tin thêm, hãy tìm kiếm các sáng kiến ​​của chính phủ như OnGuardOnline.gov và các tổ chức như Anti-Phishing Working Group Inc. Họ cung cấp các tài nguyên và hướng dẫn chi tiết hơn về cách phát hiện, tránh và báo cáo các cuộc tấn công lừa đảo.

Các loại lừa đảo

Các kỹ thuật lừa đảo đang phát triển, tội phạm mạng sử dụng nhiều phương pháp khác nhau. Các loại lừa đảo khác nhau thường được phân loại theo mục tiêu và vectơ tấn công. Chúng ta hãy xem xét kỹ hơn.

Lừa đảo nhân bản

Kẻ tấn công sẽ sử dụng một email hợp pháp đã gửi trước đó và sao chép nội dung của nó vào một email tương tự có chứa liên kết đến một trang web độc hại. Kẻ tấn công cũng có thể cho rằng đây là một liên kết mới hoặc đã cập nhật, nói rằng liên kết trước đó không chính xác hoặc đã hết hạn.

Lừa đảo trực tuyến

Kiểu tấn công này tập trung vào một người hoặc tổ chức. Một cuộc tấn công bằng giáo phức tạp hơn các loại lừa đảo khác vì nó được định hình rõ ràng. Điều này có nghĩa là trước tiên kẻ tấn công sẽ thu thập thông tin về nạn nhân (ví dụ: tên của bạn bè hoặc thành viên gia đình) và sử dụng dữ liệu này để dụ nạn nhân đến một tệp trang web độc hại.

Dược phẩm

Kẻ tấn công sẽ đầu độc bản ghi DNS, trên thực tế, bản ghi này sẽ chuyển hướng khách truy cập của một trang web hợp pháp đến một trang web lừa đảo mà kẻ tấn công đã thực hiện trước đó. Đây là cuộc tấn công nguy hiểm nhất vì các bản ghi DNS không nằm trong tầm kiểm soát của người dùng, do đó khiến người dùng bất lực trong việc chống lại.

Đánh bắt cá voi

Một hình thức lừa đảo trực tiếp nhắm vào những người giàu có và quan trọng, chẳng hạn như các CEO và quan chức chính phủ.

Giả mạo email

Email lừa đảo thường giả mạo thông tin liên lạc từ các công ty hoặc cá nhân hợp pháp. Email lừa đảo có thể cung cấp cho những nạn nhân không xác định các liên kết đến các trang web độc hại, nơi những kẻ tấn công thu thập thông tin đăng nhập và PII bằng cách sử dụng các trang đăng nhập được ngụy trang khéo léo. Các trang này có thể chứa trojan, keylogger và các tập lệnh độc hại khác nhằm đánh cắp thông tin cá nhân.

Chuyển hướng trang web

Chuyển hướng trang web đưa người dùng đến các URL khác với URL mà người dùng dự định truy cập. Những kẻ khai thác lỗ hổng có thể chèn chuyển hướng và cài đặt phần mềm độc hại vào máy tính của người dùng.

đánh máy

Việc đánh máy hướng lưu lượng truy cập đến các trang web giả mạo sử dụng cách viết tiếng nước ngoài, lỗi chính tả phổ biến hoặc các biến thể tinh vi trong tên miền cấp cao nhất. Những kẻ lừa đảo sử dụng tên miền để bắt chước giao diện trang web hợp pháp, lợi dụng việc người dùng nhập sai hoặc đọc sai URL.

Quảng cáo trả tiền giả

Quảng cáo trả phí là một chiến thuật khác được sử dụng để lừa đảo. Những quảng cáo (giả mạo) này sử dụng các miền mà kẻ tấn công đã đánh máy và trả tiền để đưa lên kết quả tìm kiếm. Trang web thậm chí có thể xuất hiện dưới dạng kết quả tìm kiếm hàng đầu trên Google.

Tấn công hố tưới nước

Trong cuộc tấn công Watering Hole, kẻ lừa đảo sẽ phân tích người dùng và xác định các trang web họ thường xuyên truy cập. Họ quét các lỗ hổng bảo mật trên các trang web này và cố gắng chèn các tập lệnh độc hại được thiết kế để nhắm mục tiêu vào người dùng vào lần tiếp theo họ truy cập trang web đó.

Mạo danh và quà tặng giả

Mạo danh các nhân vật có ảnh hưởng trên mạng xã hội. Những kẻ lừa đảo có thể mạo danh các nhà lãnh đạo chủ chốt của công ty và quảng cáo quà tặng hoặc tham gia vào các hoạt động lừa đảo khác. Nạn nhân của thủ đoạn lừa đảo này thậm chí có thể bị nhắm mục tiêu riêng lẻ thông qua các quy trình kỹ thuật xã hội nhằm tìm kiếm những người dùng cả tin. Kẻ tấn công có thể hack các tài khoản đã được xác minh và sửa đổi tên người dùng để mạo danh người thật trong khi vẫn duy trì trạng thái đã được xác minh.

Gần đây, những kẻ lừa đảo đã nhắm mục tiêu nhiều vào các nền tảng như Discord, X và Telegram với cùng mục đích: giả mạo các cuộc trò chuyện, mạo danh cá nhân và bắt chước các dịch vụ hợp pháp.

Ứng dụng độc hại

Những kẻ lừa đảo cũng có thể sử dụng Ứng dụng độc hại để theo dõi hành vi của bạn hoặc đánh cắp thông tin nhạy cảm. Các ứng dụng có thể đóng vai trò là công cụ theo dõi giá, ví và các công cụ liên quan đến tiền điện tử khác (có cơ sở người dùng có xu hướng giao dịch và sở hữu tiền điện tử).

Lừa đảo qua tin nhắn SMS và giọng nói

Một hình thức lừa đảo dựa trên tin nhắn văn bản, thường được thực hiện thông qua SMS hoặc tin nhắn thoại, nhằm khuyến khích người dùng chia sẻ thông tin cá nhân.

Lừa đảo vs. Dược phẩm

Mặc dù một số người coi việc sử dụng dược phẩm là một loại tấn công lừa đảo nhưng nó dựa vào một cơ chế khác. Sự khác biệt chính giữa lừa đảo và lừa đảo là lừa đảo đòi hỏi nạn nhân phải phạm sai lầm. Ngược lại, pharming chỉ yêu cầu nạn nhân cố gắng truy cập vào một trang web hợp pháp có bản ghi DNS đã bị kẻ tấn công xâm phạm.

Lừa đảo trong không gian Blockchain và tiền điện tử

Mặc dù công nghệ blockchain cung cấp khả năng bảo mật dữ liệu mạnh mẽ do tính chất phi tập trung của nó, nhưng người dùng trong không gian blockchain nên luôn cảnh giác trước các nỗ lực lừa đảo và kỹ thuật xã hội. Tội phạm mạng thường cố gắng khai thác các lỗ hổng của con người để có quyền truy cập vào khóa riêng hoặc thông tin đăng nhập. Trong hầu hết các trường hợp, những trò gian lận đều dựa vào lỗi của con người.

Những kẻ lừa đảo cũng có thể cố gắng lừa người dùng tiết lộ cụm từ gốc của họ hoặc chuyển tiền đến địa chỉ giả mạo. Điều quan trọng là phải thận trọng và tuân theo các phương pháp bảo mật tốt nhất.

Bớt tư tưởng

Tóm lại, hiểu rõ về lừa đảo và cập nhật thông tin về các kỹ thuật đang phát triển là rất quan trọng trong việc bảo vệ thông tin cá nhân và tài chính. Bằng cách kết hợp các biện pháp bảo mật, giáo dục và nâng cao nhận thức mạnh mẽ, các cá nhân và tổ chức có thể củng cố bản thân trước mối đe dọa lừa đảo luôn hiện hữu trong thế giới kỹ thuật số được kết nối với nhau của chúng ta. Ở SAFU!

Đọc thêm

  • 5 mẹo để bảo mật việc nắm giữ tiền điện tử của bạn

  • 5 cách để cải thiện bảo mật tài khoản Binance của bạn

  • Cách giữ an toàn trong giao dịch ngang hàng (P2P)

Tuyên bố miễn trừ trách nhiệm: Nội dung này được cung cấp cho bạn trên cơ sở “nguyên trạng” chỉ nhằm mục đích thông tin chung và giáo dục mà không có đại diện hay bảo đảm dưới bất kỳ hình thức nào. Nó không nên được hiểu là lời khuyên về tài chính, pháp lý hoặc chuyên môn khác, cũng như không nhằm mục đích khuyến nghị mua bất kỳ sản phẩm hoặc dịch vụ cụ thể nào. Bạn nên tìm kiếm lời khuyên của riêng bạn từ các cố vấn chuyên môn thích hợp. Trong trường hợp bài viết được đóng góp bởi người đóng góp bên thứ ba, xin lưu ý rằng những quan điểm thể hiện đó thuộc về người đóng góp bên thứ ba và không nhất thiết phản ánh quan điểm của Binance Academy. Vui lòng đọc tuyên bố từ chối trách nhiệm đầy đủ của chúng tôi ở đây để biết thêm chi tiết. Giá tài sản kỹ thuật số có thể biến động. Giá trị khoản đầu tư của bạn có thể giảm hoặc tăng và bạn có thể không lấy lại được số tiền đã đầu tư. Bạn hoàn toàn chịu trách nhiệm về các quyết định đầu tư của mình và Binance Academy không chịu trách nhiệm về bất kỳ tổn thất nào bạn có thể phải gánh chịu. Tài liệu này không nên được hiểu là lời khuyên về tài chính, pháp lý hoặc chuyên môn khác. Để biết thêm thông tin, hãy xem Điều khoản sử dụng và Cảnh báo rủi ro của chúng tôi.