Với vai trò là một chuyên gia đã làm việc từ xa gần một thập kỷ, tôi tự hào khẳng định mình chưa từng là nạn nhân của bất kỳ chiêu trò lừa đảo phishing nào – và tôi quyết tâm duy trì điều đó. Mặc dù các hình thức lừa đảo phishing ngày càng tinh vi hơn bao giờ hết, bạn vẫn có thể tự bảo vệ bản thân và công việc của mình bằng cách thực hiện sự cẩn trọng cần thiết.
Luôn Cập Nhật Các Chiêu Trò Phishing Mới Nhất
Kiến thức chính là sức mạnh thực sự khi bạn muốn bảo vệ doanh nghiệp của mình khỏi tội phạm mạng. Nếu bạn biết mình đang tìm kiếm điều gì, một cái nhìn thoáng qua vào email hay tin nhắn SMS đáng ngờ cũng đủ để chuông báo động nội bộ của bạn vang lên.
Các chiêu lừa đảo email cổ điển, nơi kẻ gian giả mạo ngân hàng của bạn để đánh cắp dữ liệu, tương đối dễ nhận diện. Tôi dám cá là bạn đã từng bị nhắm mục tiêu nhiều lần một cách ngẫu nhiên qua các phương pháp tấn công diện rộng.
Tuy nhiên, với tư cách là người làm việc từ xa, bạn cũng cần trở thành bậc thầy trong việc nhận diện spear phishing (tấn công lừa đảo có chủ đích). Hình thức này tinh vi hơn rất nhiều vì nó thường bao gồm thông tin cụ thể về bạn hoặc công ty của bạn. Nói cách khác, tin tặc đã nghiên cứu kỹ lưỡng và do đó có thể xuất hiện thuyết phục hơn.
Hình ảnh minh họa công nghệ AI sao chép giọng nói trên điện thoại thông minh, một chiêu trò lừa đảo vishing phổ biến
Cùng với spear phishing, bạn cũng có thể gặp phải clone phishing, khi bạn nhận được bản sao của các thông tin liên lạc hợp pháp nhưng được thêm vào các tệp đính kèm hoặc liên kết nguy hiểm.
Đáng tiếc, AI đã khiến mọi thứ trở nên đáng sợ hơn, bao gồm cả lừa đảo qua giọng nói (vishing). Trước đây, kẻ lừa đảo sẽ gọi điện cho bạn và giả vờ là người hợp pháp. Giờ đây, chúng thực sự có thể sao chép giọng nói (và cả hình ảnh qua video deepfake) của một người nào đó trong tổ chức của bạn.
Bạn nên làm quen với tất cả các kỹ thuật này, vì chúng có thể giúp bạn suy nghĩ kỹ hơn trước khi nhấp vào một liên kết trong email có vẻ an toàn từ đồng nghiệp của mình.
Kỹ Năng Nhận Diện Phishing Căn Bản
Học cách phát hiện các cuộc tấn công phishing tương đối đơn giản. Điều đầu tiên bạn nên xem xét là địa chỉ email của người gửi. Trong hầu hết các trường hợp, bạn sẽ nhận thấy rằng mặc dù địa chỉ này rất giống với địa chỉ của một tổ chức chính thức (hoặc một thành viên nhóm), một số chữ cái có thể bị thay thế bằng ký hiệu tương tự, hoặc một chữ cái có thể bị bỏ qua hoàn toàn.
Hình ảnh màn hình điện thoại cho thấy cuộc gọi video bị làm giả bởi AI, minh họa các chiêu lừa đảo deepfake ngày càng tinh vi
Đối với tôi, dấu hiệu lớn nhất của phishing thường là ngôn ngữ tạo cảm giác khẩn cấp. Tội phạm mạng đang cố gắng lợi dụng những người có thể không có kinh nghiệm nhận diện lừa đảo và do đó tạo ra các kịch bản yêu cầu bạn phải hành động nhanh chóng mà không suy nghĩ.
Trước đây, email phishing thường chứa đầy lỗi ngữ pháp và lỗi chính tả. Ngày nay, tội phạm mạng thường sử dụng các mô hình ngôn ngữ AI để tạo ra văn bản trau chuốt hơn, đủ tốt để đánh lừa hầu hết những cá nhân thiếu cảnh giác. Tuy nhiên, từ khóa ở đây là “đủ tốt”.
Bạn có thể nhận diện các cuộc tấn công phishing được hỗ trợ bởi AI qua lưu lượng câu văn không tự nhiên. Cũng phổ biến khi văn bản trong email quá trang trọng hoặc quá hoàn hảo và thiếu đi sự “chạm” của con người, vốn là dấu hiệu của hầu hết các giao tiếp liên quan đến công việc.
Dưới đây là một ví dụ về email tôi đã tạo bằng Google Gemini:
Ảnh chụp màn hình ví dụ email lừa đảo được tạo bởi AI Gemini, với nội dung khẩn cấp và văn phong "quá hoàn hảo"
Nhìn bề ngoài nó có vẻ ổn, nhưng sẽ “vỡ vụn” sau khi kiểm tra kỹ lưỡng. Nếu bạn nhận được một email tương tự, hãy liên hệ trực tiếp với người được cho là đã gửi nó để làm rõ mọi thắc mắc thay vì chấp nhận bất kỳ rủi ro nào.
Với việc sao chép giọng nói và deepfake, mọi thứ phức tạp hơn một chút. Tin tốt là hầu hết tội phạm mạng đều muốn kiếm tiền nhanh chóng, nên việc sao chép giọng nói và hình ảnh của quản lý bạn có thể đòi hỏi quá nhiều nỗ lực. Do đó, hầu hết chúng ta sẽ không bao giờ phải đối phó với loại phishing này. Tuy nhiên, dù cơ hội là mong manh, chúng không bao giờ bằng không, vì vậy bạn chắc chắn nên nắm vững các kiến thức cơ bản.
Ví dụ, việc sao chép giọng nói nghe có vẻ thuyết phục, nhưng hiện tại, vẫn có thể nhận thấy các “hiện vật kỹ thuật số” khiến người nói nghe như rô bốt. Nhịp điệu của lời nói và những biến đổi nhỏ trong giọng nói sẽ bị lệch lạc mặc dù âm sắc có thể rất giống.
Điều tương tự cũng áp dụng cho việc phát hiện deepfake, nơi bạn có thể nhận thấy những điểm không hoàn hảo như chuyển động giật cục hoặc khớp môi bị lỗi. Dù bằng cách nào, bạn cũng đủ quen thuộc với đồng nghiệp để nắm bắt được các kiểu hành vi của họ, vì vậy bất cứ điều gì có vẻ bất thường nên là một dấu hiệu đỏ lớn đối với bạn.
Luôn Suy Nghĩ Kỹ Trước Khi Nhấp Chuột
Bạn có thể gọi tôi là người hay lo lắng, nhưng bất cứ khi nào tôi nhận được một liên kết trong email (ngay cả từ một địa chỉ quen thuộc), tôi luôn kiểm tra nó bằng cách di chuột qua đó. Bạn cũng nên làm như vậy – nhưng bạn nên tìm kiếm điều gì?
Đầu tiên, hãy kiểm tra tên miền (hay còn gọi là phần đầu tiên của liên kết). Tương tự như cách kẻ lừa đảo cố gắng làm cho địa chỉ email có vẻ hợp pháp, chúng cũng làm điều tương tự với tên miền trong các liên kết mà chúng gửi cho bạn. Hãy tìm kiếm các lỗi chính tả, dấu gạch ngang, và các chữ cái bị thiếu hoặc thừa.
Mục đích của phishing là đánh cắp thông tin đăng nhập của bạn hoặc khiến bạn tải xuống phần mềm độc hại, vì vậy liên kết sẽ cố gắng bắt chước một dịch vụ hợp pháp.
Tương tự, bạn nên cảnh giác với bất kỳ tệp đính kèm nào. Điều này bao gồm các tệp thực thi (.exe) và các tệp nén (.zip, .rar) mà tội phạm mạng rất ưa thích vì dễ dàng ẩn mã độc, cũng như các tài liệu Microsoft Office mà giờ đây cho phép tin tặc thiết lập các tập lệnh và macro hoạt động tương tự như các tệp .exe.
Cảnh Giác Đặc Biệt Với Wi-Fi Công Cộng
Điều tuyệt vời nhất khi làm việc từ xa là bạn có thể mang công việc của mình đi bất cứ đâu. Mặc dù điều này rất tốt cho tinh thần của bạn, nhưng nó có thể nguy hiểm về mặt an ninh mạng, chủ yếu là do lừa đảo Wi-Fi hoặc giả mạo Wi-Fi (Wi-Fi spoofing).
Trong kịch bản này (thường được gọi là tấn công Man-in-the-middle), tin tặc tạo ra một mạng lưới song sinh của một điểm truy cập Wi-Fi thực tế ở một nơi công cộng. Sau đó, chúng chỉ cần chờ nạn nhân thiết lập kết nối để xem mọi thứ họ làm trực tuyến, bao gồm cả bất kỳ thông tin đăng nhập nào.
Có rất nhiều điều bạn nên chuẩn bị nếu bạn định làm việc từ quán cà phê và những nơi công cộng khác như thư viện, chủ yếu là về mặt an ninh mạng. Để tránh trở thành nạn nhân của Wi-Fi spoofing, tốt nhất là tránh hoàn toàn Wi-Fi công cộng, đặc biệt nếu bạn đang xử lý dữ liệu nhạy cảm của công ty. Ví dụ, tôi luôn mang theo một điểm phát sóng di động (mobile hotspot) hoặc sử dụng tính năng chia sẻ kết nối (tethering) để giảm thiểu rủi ro và tránh tắc nghẽn lưu lượng.
Nếu bạn hoàn toàn kiên quyết sử dụng mạng công cộng, bạn nên cài đặt VPN trước để đảm bảo an toàn.
Tận Dụng Phần Mềm Hỗ Trợ Chống Phishing
Tại sao phải tự mình đối phó khi luôn có phần mềm có thể hỗ trợ bạn? Ví dụ, một phiên bản cao cấp của Malwarebytes có thể nâng cao đáng kể bảo mật trực tuyến của bạn và bảo vệ bạn không chỉ khỏi phần mềm độc hại mà còn khỏi lừa đảo phishing.
Với tính năng quét thời gian thực, Malwarebytes phân tích các email đến và tự động chặn chúng nếu nó nhận diện bất kỳ điều gì đáng ngờ. Nó cũng phân tích các liên kết trong email để kiểm tra xem chúng có an toàn không, cùng với việc xem xét kỹ lưỡng nội dung của chính các tin nhắn. Malwarebytes cũng có thể xác minh xem người gửi email có phải là chính xác bằng cách đối chiếu thông tin chi tiết của họ với các thông tin có sẵn. Do đó, nó cũng là một công cụ mạnh mẽ chống lại giả mạo email (email spoofing).
Giao diện phần mềm Malwarebytes trên hệ điều hành Windows, minh họa khả năng bảo vệ máy tính khỏi các mối đe dọa trực tuyến và lừa đảo phishing
Mặc dù đây là một bước tùy chọn, nhưng nó sẽ bổ sung một lớp phòng thủ khác chống lại số lượng lừa đảo phishing ngày càng tăng và cũng giảm bớt khối lượng công việc “phòng chống lừa đảo” của bạn.
Bằng cách thực hành sự thận trọng trong công việc và kiểm tra kỹ lưỡng các liên kết, tệp đính kèm trong email, bạn sẽ tránh trở thành con mồi của một vụ lừa đảo phishing. Thừa nhận rằng, việc AI được thêm vào cuộc chiến này không giúp ích gì, nhưng các quy tắc tương tự vẫn áp dụng – hãy luôn cảnh giác, đừng rơi vào các chiến thuật gây áp lực cao, hãy đặt câu hỏi về mọi thứ, và AI sẽ không thể làm gì được bạn!
