Tips of The Week: Cách nhận biết email lừa đảo (phishing)

Vì sao email phishing vẫn là mối đe dọa an ninh mạng hàng đầu?

Trong thời đại số hóa mạnh mẽ ngày nay, email vẫn là một công cụ giao tiếp thiết yếu không thể thiếu và cũng là một trong những công cụ bị tội phạm mạng khai thác nhiều nhất. Mặc dù nhận thức về vấn đề này ngày càng tăng, các cuộc tấn công phishing qua email vẫn tiếp tục phát triển, trở nên tinh vi hơn, nhắm mục tiêu cụ thể hơn và gây thiệt hại nghiêm trọng hơn.

Từ hóa đơn giả mạo, tệp đính kèm độc hại đến việc giả danh lãnh đạo cấp cao và yêu cầu thanh toán gian lận, phishing không còn chỉ là một phiền toái mà là cánh cửa dẫn đến rò rỉ dữ liệu, mất mát tài chính và tổn hại danh tiếng.

Hãy cùng ITM tìm hiểu cách các cuộc tấn công phishing hoạt động, các hình thức khác nhau của chúng nhé. Vì khi phishing ngày càng tinh vi, các biện pháp bảo vệ và mô hình đào tạo an ninh mạng cũng phải phát triển tương ứng.

Tin tốt là rủi ro lừa đảo có thể được giảm thiểu đáng kể khi các thành viên tổ chức của bạn được đào tạo nâng cao nhận thức. Dù bạn là chuyên gia CNTT, lãnh đạo doanh nghiệp hay người dùng thông thường, hiểu biết về lừa đảo là bước đầu tiên để ngăn chặn nó.

Vì vậy, nếu bạn đã từng là nạn nhân của một cuộc tấn công mạng kiểu này, hẳn bạn hiểu rõ cảm giác bất an và phiền toái mà nó mang lại. Còn nếu bạn chưa từng gặp phải, thì rất có thể chỉ là vấn đề thời gian trước khi bạn trở thành mục tiêu tiếp theo của một email phishing.

Email Phishing là gì?

Bạn có bao giờ nhận được một email trông có vẻ đáng tin từ ngân hàng, công ty giao hàng hay một dịch vụ quen thuộc nhưng lại cảm thấy rất kỳ lạ chưa? Rất có thể đó là một cuộc tấn công email phishing. Email phishing là một hình thức tội phạm mạng, trong đó kẻ tấn công giả danh các tổ chức đáng tin cậy để đánh cắp thông tin nhạy cảm như mật khẩu, thông tin thẻ tín dụng hoặc tài khoản đăng nhập.

Thủ đoạn thường thấy là gửi email có chứa liên kết độc hại, tệp đính kèm bị nhiễm mã độc, hoặc các biểu mẫu giả mạo yêu cầu bạn cung cấp thông tin. Người dùng nếu không cảnh giác có thể dễ dàng “cắn câu”. Tên gọi “phishing” cũng bắt nguồn từ hình ảnh này tương tự như việc thả mồi câu cá, kẻ gian phát tán hàng loạt email giả, chờ đợi người dùng vô tình phản hồi.

Cách hoạt động và các loại tấn công phishing qua email

Các cuộc tấn công phishing được thiết kế để đánh lừa người dùng tiết lộ thông tin cá nhân hoặc bí mật như mật khẩu, số thẻ tín dụng hoặc thông tin đăng nhập. Tội phạm mạng sử dụng email như công cụ chính, áp dụng các chiến lược tinh vi để khai thác lòng tin và thao túng nạn nhân. Khi có được thông tin, chúng sẽ sử dụng vào các hoạt động như đánh cắp danh tính, gian lận tài chính hoặc xâm nhập hệ thống.

Loại Phishing	Cách hoạt động	Chiêu trò	Mục tiêu
Email Phishing	Gửi hàng loạt email giả danh tổ chức uy tín để thu thập dữ liệu qua trang đăng nhập giả.	Tin nhắn khẩn cấp, tên miền giả (ví dụ: support@amaz0n.com).	Thu thập dữ liệu để gian lận tài chính hoặc đánh cắp danh tính.
Malware Phishing	Email chứa tệp đính kèm hoặc liên kết độc hại cài phần mềm độc hại.	Hóa đơn giả, cập nhật phần mềm giả, tệp giả mạo (ví dụ: “Invoice_2025.pdf”).	Truy cập trái phép, đánh cắp dữ liệu hoặc đòi tiền chuộc.
Spear Phishing	Tấn công có mục tiêu, sử dụng dữ liệu cá nhân từ mạng xã hội hoặc rò rỉ.	Email cá nhân hóa (ví dụ: “Hi Jane, theo cuộc họp của chúng ta…”).	Đánh cắp dữ liệu giá trị cao hoặc xâm nhập hệ thống.
Smishing	Phishing qua tin nhắn SMS, giả danh ngân hàng hoặc dịch vụ.	Tin nhắn ngắn, khẩn cấp (ví dụ: “Gói hàng bị trì hoãn, nhấn để đặt lại”).	Đánh cắp dữ liệu cá nhân hoặc cài phần mềm độc hại.
Search Engine Phishing	Website giả mạo xếp hạng cao trên công cụ tìm kiếm để thu thập dữ liệu.	SEO hoặc quảng cáo độc hại dẫn đến trang đăng nhập giả.	Thu thập thông tin đăng nhập hoặc chi tiết thanh toán.
Vishing	Cuộc gọi giả danh đội hỗ trợ hoặc cơ quan để lấy thông tin.	ID người gọi giả, kịch bản khẩn cấp (ví dụ: “Tài khoản bạn đang gặp rủi ro!”).	Lấy dữ liệu để gian lận hoặc đánh cắp danh tính.
Clone Phishing	Sao chép email hợp pháp, thay thế liên kết/tệp bằng phiên bản độc hại.	Định dạng email quen thuộc, thúc giục nhấp vào “liên kết bảo mật”.	Đánh cắp thông tin hoặc cài phần mềm độc hại.
Business Email Compromise (BEC)	Giả danh người trong công ty để yêu cầu hành động tài chính khẩn cấp.	Email giả từ CEO hoặc quản lý, có thông tin nội bộ chi tiết.	Lừa nhân viên chuyển tiền hoặc chia sẻ dữ liệu.
Malvertising	Quảng cáo chứa mã độc trên trang web hợp pháp.	Quảng cáo giả mạo khuyến mãi hoặc cảnh báo.	Đánh cắp dữ liệu hoặc dẫn người dùng đến trang phishing.

Cách nhận biết email phishing

Ngay cả email được thiết kế tinh vi cũng có thể là giả mạo. Dù nhiều người nghĩ rằng họ có thể nhận ra email lừa đảo, nghiên cứu cho thấy hơn 81% tổ chức đã từng bị tấn công khiến đây trở thành rủi ro an ninh mạng lớn nhất.

- Tên miền người gửi đáng ngờ
  - Ví dụ: @paypa1.com thay vì @paypal.com.
  - Mẹo: Kiểm tra kỹ chính tả hoặc ký tự lạ trong tên miền.

- Tên miền công cộng
  - Email từ @gmail.com hoặc @yahoo.com giả danh ngân hàng.
  - Mẹo: Công ty uy tín dùng tên miền riêng (ví dụ: @yourbank.com).

- Lỗi chính tả hoặc ngữ pháp
  - Email chuyên nghiệp hiếm khi có lỗi này.
  - Mẹo: Nếu nội dung nghe kỳ lạ, hãy cẩn trọng.

- Tệp đính kèm đáng ngờ
  - Ví dụ: file .exe hoặc PDF lạ.
  - Mẹo: Không nhấp vào liên kết hoặc tải tệp nếu chưa chắc chắn.

- Kiểm tra liên kết bằng cách di chuột qua (không nhấp)
  - Mẹo: Kiểm tra URL thật trước khi truy cập.
  - Tránh mở tệp từ nguồn không rõ ràng

- Liên hệ trực tiếp với tổ chức nếu email có vẻ khẩn cấp
  - Mẹo: Dùng website chính thức hoặc số điện thoại thật.

- Lời chào chung chung
  - Ví dụ: “Dear Customer” thay vì tên bạn.

- Sử dụng xác thực đa yếu tố (MFA)
  - Mẹo: Ngay cả khi bị đánh cắp thông tin đăng nhập, MFA vẫn giúp bảo vệ thêm một lớp.

Ngay cả những email giả mạo được thiết kế chuyên nghiệp cũng có thể bị phát hiện nếu bạn chú ý các chi tiết nhỏ. Dưới đây là checklist nhanh giúp bạn tự bảo vệ mình và doanh nghiệp:

Danh sách kiểm tra nhanh khi nhận email nghi ngờ:

- Kiểm tra địa chỉ email người gửi có đúng tên miền chính thức không
- Di chuột qua đường link (đừng bấm!) để kiểm tra URL thật
- Lưu ý lỗi chính tả hoặc ngữ pháp bất thường trong nội dung
- Không mở tệp từ nguồn lạ hoặc không rõ ràng
- Nếu email mang tính khẩn cấp, hãy liên hệ trực tiếp tổ chức qua kênh chính thức
- Những cụm từ như “Dear Customer” thay vì tên thật của bạn có thể là dấu hiệu của một chiến dịch phishing hàng loạt.
- Sử dụng xác thực đa yếu tố (MFA)
- Ngay cả khi thông tin đăng nhập bị đánh cắp, MFA vẫn giúp bạn thêm một lớp bảo vệ quan trọng.

Kế Hoạch Hành Động Ngăn Ngừa Phishing Cho Doanh Nghiệp

Tấn công phishing không còn là vấn đề riêng của bộ phận IT mà còn là một rủi ro kinh doanh ảnh hưởng trực tiếp đến doanh thu, uy tín và cả tuân thủ pháp lý của tổ chức.

1. Xây dựng văn hóa nhận thức an ninh mạng

- Đào tạo định kỳ theo vai trò
- Tổ chức kiểm tra phishing giả lập
- Chia sẻ ví dụ thực tế để nhân viên cảnh giác

2. Triển khai giải pháp bảo mật tiên tiến

- Sử dụng công cụ bảo mật email, bảo vệ thiết bị đầu cuối và phát hiện mối đe dọa
- Chặn nội dung độc hại trước khi đến hộp thư

3. Thiết lập quy trình xác minh rõ ràng

- Ban hành chính sách xác minh rõ ràng đối với các yêu cầu nhạy cảm, đặc biệt là thanh toán, chuyển khoản, hoặc truy cập dữ liệu quan trọng.
- Khuyến khích nhân viên xác thực qua điện thoại hoặc kênh nội bộ an toàn.

4. Cập nhật hệ thống và chính sách thường xuyên

- Đảm bảo phần mềm, trình duyệt và công cụ bảo mật luôn được cập nhật
- Xem xét và tối ưu hóa kế hoạch ứng phó sự cố để luôn sẵn sàng trước các mối đe dọa mới.

Đừng chờ đến khi bị tấn công mới hành động.

Phishing ngày càng tinh vi và lan rộng. Tuy nhiên, với chiến lược đúng đắn, doanh nghiệp hoàn toàn có thể chủ động bảo vệ mình. Hãy kết hợp nhận thức – công nghệ – chính sách để bảo vệ không chỉ dữ liệu, mà cả niềm tin, hoạt động liên tục và uy tín thương hiệu.

Liên hệ với ITM để được đánh giá bảo mật miễn phí và khám phá giải pháp tăng cường phòng thủ, chống phishing cho tổ chức của bạn.