Phishing là gì và làm thế nào để không bị “Cắn Câu”

Tội phạm mạng đã gia tăng một cách nhanh chóng trong suốt năm năm qua, chủ yếu là trong các trường hợp gian lận trực tuyến do phishing. Bạn đã bao giờ nhận ra lý do tại sao mỗi ngày bạn nhận được càng nhiều thư rác hoặc email giả? Những email này đang giả dạng là hợp pháp khi chúng được làm cho giống như là đang được gửi đến từ các tổ chức có uy tín của chính phủ, các công ty doanh nghiệp, và các tổ chức nổi tiếng, trong khi thực tế thì không phải như vậy.

Phishing

Điều này được gọi là Phishing trong đó thông tin của người dùng như ID người dùng, mật khẩu, thông tin thẻ tín dụng được yêu cầu trong thời gian giao tiếp điện tử, có nghĩa là, nếu như bạn cung cấp cho nó cho họ. Phishing email chứa liên kết đến các trang web được đánh giá bị nhiễm phần mềm độc hại, với ý định đưa người dùng đến các website và lấy trộm các chi tiết bí mật từ họ.

1. Kế hoạch tấn công

Email giả mạo và tin nhắn tức thời là một vài loại phishing gian lận mà thường yêu cầu người dùng tiết lộ thông tin của họ trên một website giả mạo. Các trang web giả mạo thường trông giống như các trang web hợp pháp, do đó nếu bạn không chú ý, bạn dễ dàng trở thành nạn nhân của vụ phishing. Có ba kỹ thuật phishing:

a. Spear Phishing

Mục tiêu Spear Phishing là chọn nhóm những người từ cùng một công ty hoặc tổ chức thay vì gửi đi hàng ngàn email ngẫu nhiên. Họ nhắm tới các mục tiêu cấp độ cao hơn. Trong Spear Phishing, nguồn của các e-mail có khả năng là từ một người nằm trong tổ chức của người nhận và nói chung, một người mà nắm giữ quyền lực.

b. Clone Phishing

Trong kỹ thuật này, một hacker sử dụng các nội dung và địa chỉ người nhận từ một trang web hợp pháp, gửi trước mail đó cho một người nhận, ngoại trừ thời gian mà nội dung đã được thay thế bằng một liên kết phishing, và một thư trả lời giả mạo được gửi lại địa chỉ đó.

c. Whaling

Whaling là kỹ thuật mà một trang web hoặc email giả mạo một trang web hoặc email hợp pháp. Mục tiêu của họ là các nhà quản lý cấp cao trong các công ty tư nhân giữ vị trí có thể tiết lộ những thông tin bí mật của công ty. Email tấn công Whaling bao gồm các mệnh lệnh triệu tập hợp pháp, khiếu nại của người tiêu dùng, hoặc các vấn đề quản lý đòi hỏi phải có câu trả lời khẩn cấp từ người nhận.

2. Tấn công Phishing làm hại việc kinh doanh của bạn như thế nào

Phishing là một tội ác nghiêm trọng trong thế giới mạng. Phishing có thể gây ra:

  • Tổn thất tài chính
  • Mất dữ liệu
  • Danh sách đen của các tổ chức
  • Lan truyền các phần mềm độc hại và virus vào máy tính hoặc một hệ thống máy tính
  • Sử dụng trái phép thông tin chi tiết của người dùng
  • Lạm dụng số an sinh xã hội của bạn vv

Các phisher cũng có thể lấy chi tiết tài khoản của người dùng và mở một tài khoản mới bằng chính tên của người dùng vì mục đích lợi ích tài chính. Phishing thậm chí có thể được sử dụng để hủy hoại cuộc sống của một ai đó bởi biển thủ và lạm dụng thông tin cá nhân của họ.

Các cuộc tấn công phishing trong năm 2012

Theo Anti-Phishing Working Group (APWG), các hoạt động phishing đã gia tăng và hầu hết các trang web phishing đều được tổ chức ở Mỹ. Trong ba tháng cuối năm 2012, trung bình hơn 25.000 báo cáo email phishing khác thường đã được báo cáo với APWG. Thêm vào đó, số lượng các trang web phishing khác thường được phát hiện vượt quá con số 45.000 mỗi tháng. Để xem báo cáo chi tiết hơn trước quý cuối cùng của năm 2012, bấm vào đây.

Các dịch vụ tài chính và các dịch vụ thanh toán là mục tiêu chung của gian lận phishing, gia tăng 12% trong báo cáo phishing trong các trò chơi trực tuyến. Thông tin game đang bị đánh cắp bởi các hacker và các trò chơi, được bán ở thị trường chợ đen để lấy tiền mặt. Các game thủ cũng bị ảnh hưởng.

3. Bảo vệ chống lại tấn công Phishing

Việc chúng ta để mắt đến việc công khai chống lại phishing luôn được khuyến khích. Dưới đây là một số bước hữu ích có thể ngăn cản việc bạn trở thành một nạn nhân của phising.

4. Xác thực hai lần (Two-Factor Authentication)

Gmail, Facebook, Dropbox, Microsoft, iCloud của Apple và Twitter (sẽ có sớm) là ứng dụng sử dụng xác thực hai yếu tố. Trong quá trình này, bạn đăng nhập bằng mật khẩu và mã bí mật mà bạn sẽ được gửi đến điện thoại di động của bạn, như vậy trừ khi các hacker đã truy cập vào điện thoại di động của bạn, nếu chỉ có email và mật khẩu thì không đủ để đột nhập vào tài khoản của bạn đâu.

Two-Factor Authentication

5. HTTPS thay vì HTTP

HTTPS là một giao thức an toàn hơn HTTP vì nó mã hóa trình duyệt của bạn và tất cả các thông tin mà bạn gửi hoặc nhận. Nếu bạn đang tìm kiếm cái gì đó để thực hiện thanh toán trực tuyến, giao dịch, hãy quyết định lựa chọn một trang web HTTPS. Các trang web HTTPS đều được trang bị với SSL (secure socket layer), tạo ra một kênh an toàn cho quá trình chuyển đổi thông tin. Nếu bạn chưa biết cách làm thế nào để thêm SSL và HTTPS trong WordPress thì có thể liên hệ với chúng tôi để được trợ giúp miễn phí nhé.

Với Phishing, tin tặc có thể tạo ra một trang web tương tự với trang đăng nhập trông giống như bình thường mà người dùng nhập thông tin đăng nhập hoặc thậm chí cả chi tiết thẻ tín dụng. Do đó, trước khi đăng nhập thông tin người dùng phải kiểm tra biểu tượng ổ khóa xuất hiện trên đầu hay là cuối trang web.

Điều đó khẳng định rằng người dùng đang tương tác với trang web thật. Nhiều trang web có EV (xác nhận mở rộng) chứng thực SSL, biến thanh địa chỉ thành một thanh màu xanh lá để người dùng dễ dàng nhận ra đó là trang web thật.

6. Phần mềm Anti-Spam

Với việc sử dụng sử dụng phần mềm chống thư rác làm giảm các cuộc tấn công phishing. Người dùng có thể kiểm soát thư rác để đảm bảo mình không bị phishing. Những phần mềm cũng hỗ trợ với trình duyệt hijacking, nó thường tìm được vấn đề và đưa ra một giải pháp. Chúng tôi đã có bài viết Cách Phòng Tránh Email Rác Với WordPress Email Encoder hãy đọc nếu bạn chưa biết nhé

7. Liên kết trong Email

Đừng bao giờ click vào liên kết nhận được trong email từ một nguồn không rõ ràng hoặc chưa được xác minh. Những liên kết như thế chứa mã độc hại và bạn sẽ được yêu cầu đăng nhập chi tiết hoặc điền thông tin cá nhân khi bạn truy cập vào trang được dẫn đến từ các siêu liên kết đó.

Hãy luôn tìm kiếm tên các tổ chức từ các công cụ tìm kiếm và nhấp chuột vào từ các kết quả tìm kiếm.

8. Tường lửa (Firewall)

Với một tường lửa, người dùng sẽ ngăn chặn nhiều trình duyệt hijack. Điều quan trọng là tường lửa của cả máy tính và tường lửa của mạng lưới đều phải kiểm tra nguồn gốc của các lưu lượng truy cập, cho dù đó là một tên miền có thể chấp nhận hay là giao thức Internet. Nó cũng có hiệu quả khi chống lại các cuộc tấn công virus và phần mềm gián điệp.

Từ các cuộc thảo luận ở trên, chắc chắn rằng với một số bước phòng ngừa cần thiết người dùng có thể bảo mật thông tin của họ từ cuộc tấn công phishing. SSL cũng là một phần quan trọng của an ninh mạng để bảo vệ người dùng chống lại các cuộc tấn công này.

Về tác giả

Duy Anh

Chào các bạn,

Mình là coder, đang sống và làm việc ở Mỹ. Mình thích viết lách nên muốn dành khoảng thời gian trống để chia sẻ các thủ thuật giúp các bạn xây dựng được trang web riêng của mình. Bạn nào cần xây dựng blog, web thì cứ ới, rảnh là mình giúp, tất cả FREE nhé!

4 Bình luận

  • Mình xem trên youtube thấy hacker có thể hack website bằng cách cho một đoạn script vào phần comment như thế này liệu có cách nào chống được không?

    • Chào bạn, hiện tại WordPress đã ngăn chặn SQL Injection ở comment của người dùng nên bạn hoàn toàn yên tâm nhé. Nhưng kỹ thuật hack ngày càng phát triển nên bạn hãy share video đó cho mọi người để cùng tìm hiểu nhá. Nhưng bản thân những plugin dành cho WordPress thì không phải cái nào cũng tốt về mặt bảo mật. Hacker có thể tấn công website qua những lỗ hổng bảo mật ở những plugin đó. Ví dụ điển hình là plugin All Video Gallery (đã được fix). Nên mình bạn hãy dử dụng những plugin và theme uy tín nhá.

  • Bài viết khá tổng quan. Mình nắm được thêm vấn đề về Phising. Giờ mình muốn tìm hiểu thêm về HTTPS mà cái đoạn “Đề nghị đọc: Làm Thế Nào Thêm SSL Và HTTPS Trong WordPress” thì lại không thấy link đâu. Không biết ad để đâu rồi.
    Với cả, nếu được thì cài https giúp mình luôn. Mình hơi lười đoạn này. Chi phí hợp lý là ok, mình rất sẵn lòng.

Ý kiến cá nhân của bạn

bộ công cụ Wordpress hữu ích dành cho mọi website

Bộ công cụ hữu ích dành cho mọi website Wordpress

Bao gồm theme & plugin tốt nhất và được sử dụng nhiều nhất!

Xin vui lòng kiểm tra email để xác thực tài khoản!