Blog, Kiến Thức

Phishing là gì? Cách nhận biết và phòng chống hiệu quả 2025

Posted on by WAF CSP

1. Tấn công Phishing là gì?

Phishing là một hình thức tấn công mạng đánh lừa người dùng nhằm chiếm đoạt thông tin cá nhân nhạy cảm như tài khoản ngân hàng, mật khẩu, mã OTP, số thẻ tín dụng… Kẻ tấn công sẽ giả danh tổ chức uy tín (như ngân hàng, dịch vụ thanh toán, mạng xã hội…) để lừa người dùng truy cập vào một website hoặc ứng dụng giả mạo.

Phishing là gì?
Phishing là gì?

Phishing thường được thực hiện thông qua email, tin nhắn SMS, mạng xã hội hoặc quảng cáo giả mạo. Chỉ cần một cú nhấp chuột vào liên kết độc hại, người dùng có thể trở thành nạn nhân.

Thuật ngữ “phishing” ra đời vào cuối những năm 1980. Từ này là sự kết hợp giữa “fishing” (câu cá) và “phreaking” (một hình thức hack điện thoại), nhằm mô tả hành vi “câu thông tin” từ nạn nhân một cách tinh vi.

2. Các phương thức tấn công phishing phổ biến

2.1. Giả mạo email

Đây là kỹ thuật phổ biến nhất trong phishing. Tin tặc gửi email giả danh một tổ chức uy tín như ngân hàng, sàn thương mại điện tử, cơ quan nhà nước… với nội dung đánh vào tâm lý người dùng: cảnh báo bảo mật, hoàn tiền, khóa tài khoản…

Đặc điểm của các email giả mạo:

  • Địa chỉ email gần giống thật: ví dụ support@viettcombank.com thay vì support@vietcombank.com.

  • Giao diện giống hệt email thật, chèn logo và hình ảnh thương hiệu.

  • Chứa liên kết dẫn đến trang đăng nhập giả mạo, yêu cầu nhập thông tin nhạy cảm.

  • Gây áp lực thời gian (ví dụ: “Phản hồi trong 24h nếu không tài khoản sẽ bị khóa”).

2.2. Website giả mạo (Fake website/landing page)

Kẻ tấn công tạo ra một website giả mạo có giao diện gần giống hoàn toàn với website chính thức. Khi người dùng đăng nhập, mọi thông tin sẽ được gửi đến máy chủ của tin tặc.

Website giả mạo
Website giả mạo

Một số đặc điểm dễ nhận biết:

  • URL giả mạo chỉ khác một ký tự so với trang chính thức: google.com vs g00gle.com, vietcombank.com.vn vs vietconbank.com.vn

  • Giao diện copy y nguyên, từ font chữ, màu sắc, biểu tượng cho đến bố cục.

  • Có các biểu mẫu yêu cầu nhập thông tin tài khoản, thẻ tín dụng, OTP.

2.3. Lừa qua mạng xã hội & tin nhắn SMS

Ngoài email, kẻ gian còn khai thác các nền tảng khác như Facebook, Instagram, Zalo hoặc SMS để gửi liên kết lừa đảo. Các tin nhắn dạng này thường có nội dung:

  • Nhận phần thưởng, trúng thưởng, phiếu giảm giá…

  • Tặng quà sinh nhật, khuyến mãi độc quyền.

  • Cảnh báo tài khoản có hành vi bất thường và yêu cầu đăng nhập kiểm tra.

2.4. Tấn công nâng cao – Bypass bộ lọc

Để vượt qua các bộ lọc chống spam/phishing của Google, Microsoft, tin tặc ngày nay thường gửi ảnh thay vì văn bản, hoặc chèn link vào các tệp đính kèm. Điều này khiến các hệ thống AI/phân tích văn bản khó phát hiện nội dung lừa đảo.

3. Cách nhận biết một email hoặc website phishing

Bạn có thể phát hiện email lừa đảo bằng một số dấu hiệu sau:

  • Không cá nhân hóa: Email gửi dạng chung chung “Dear valued customer…” thay vì tên cụ thể.

  • Lỗi chính tả/ngữ pháp: Nhiều email lừa đảo được dịch máy hoặc viết vội, dễ có lỗi.

  • Gây áp lực thời gian: “Tài khoản của bạn sẽ bị khóa sau 48h nếu không xác thực”.

  • Liên kết không khớp tên miền thật: Khi rê chuột vào link, kiểm tra kỹ URL đích.

  • Yêu cầu thông tin nhạy cảm: Không một tổ chức uy tín nào yêu cầu bạn gửi mật khẩu hoặc mã OTP qua email.

4. Cách phòng chống phishing hiệu quả

4.1 Đối với cá nhân

  • Không nhấp vào các liên kết trong email lạ: Đặc biệt nếu bạn không có giao dịch gần đây với tổ chức đó.

  • Không chia sẻ thông tin cá nhân qua email: Mật khẩu, số tài khoản, OTP tuyệt đối không gửi.

  • Cài phần mềm bảo mật: Sử dụng antivirus có tính năng bảo vệ chống phishing và cập nhật thường xuyên.

  • Sử dụng trình quản lý mật khẩu: Một số phần mềm sẽ cảnh báo khi bạn nhập mật khẩu vào trang web không khớp với bản gốc.

  • Báo cáo email đáng ngờ: Gửi tới các tổ chức như reportphishing@apwg.org hoặc spam@uce.gov.

  • Kiểm tra chính tả URL: Dành vài giây để đọc kỹ tên miền khi truy cập một đường dẫn.

4.2 Đối với doanh nghiệp/tổ chức

  • Tổ chức đào tạo an toàn thông tin định kỳ: Nhân viên là mắt xích dễ bị khai thác nhất.

  • Triển khai bộ lọc email thông minh (spam/phishing filter).

  • Sử dụng domain bảo mật và xác thực DKIM/SPF/DMARC để giảm rủi ro bị giả mạo.

  • Cài đặt HTTPS & SSL đúng cách cho website nội bộ và ứng dụng.

  • Xây dựng cơ chế phản ứng sự cố: Đảm bảo khi xảy ra sự cố phishing, dữ liệu được bảo vệ và tổn thất được giảm thiểu.

5. Các công cụ hỗ trợ ngăn chặn phishing

Dưới đây là một số công cụ hữu ích:

  • SpoofGuard: Plugin cho trình duyệt phát hiện và cảnh báo khi truy cập trang web nghi ngờ.

  • Netcraft Anti-Phishing Extension: Tiện ích mở rộng cho Chrome, Firefox giúp cảnh báo các trang web giả mạo đã được ghi nhận.

  • Google Safe Browsing: Tích hợp sẵn trong Chrome, giúp cảnh báo người dùng trước khi truy cập các URL nguy hiểm.

  • VirusTotal: Dùng để kiểm tra liên kết hoặc tệp đính kèm email xem có chứa mã độc/phishing không.

Kết luận

Tấn công phishing ngày càng tinh vi và nguy hiểm, không chỉ nhắm đến cá nhân mà cả tổ chức, doanh nghiệp. Việc nâng cao nhận thức, trang bị kỹ năng nhận diện và phòng tránh là điều bắt buộc trong thời đại số. Hãy luôn kiểm tra kỹ mọi email, đường link và website trước khi chia sẻ bất kỳ thông tin nhạy cảm nào. ngoài ra mọi người có nhu cầu về pentest hệ thống, bảo mật hệ thống có thể tham khảo các dịch vụ của chúng tôi tại: https://csptech.vn/

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *