Phising attack – P2: Các kiểu tấn công lừa đảo (tiếp theo)

5. Smishing

Smishing nghe có vẻ lạ, nhưng đây là từ ghép nối của từ “SMS” và “Phishing” – đây là một dạng Phishing trực tuyến xảy ra qua tin nhắn văn bản.

Trong một cuộc tấn công điển hình, bạn có thể nhận được một tin nhắn khó hiểu từ bạn bè hoặc thành viên gia đình, yêu cầu bạn chuyển tiền cho một hóa đơn chưa thanh toán. Tin tặc cũng có thể cố lấy thông tin cá nhân khác như chi tiết ngân hàng, số thẻ, địa chỉ email của bạn, v.v. Trong nhiều trường hợp, tin tặc chỉ đơn giản là cố gắng ăn cắp tiền, nhưng chúng cũng có thể đang cố gắng đánh cắp danh tính.

Nổ lực Smishing có thể có tác động sâu rộng. Vào năm 2020, một chiến dịch Phishing qua SMS đã nhắm mục tiêu vào các ứng dụng ngân hàng di động ở Bắc Mỹ. Tin nhắn đã được gửi đến một số lượng lớn người. Khi theo liên kết đi kèm, nạn nhân đã được dẫn đến một trang đăng nhập sai cho tài khoản ngân hàng trực tuyến của họ. Chiến dịch đặc biệt này đã thu hút 4.000 nạn nhân.

Ví dụ về Smishing:

  • Smishing ngân hàng. Trò Phishing này cố gắng khiến bạn hành động bằng cách nói rằng tài khoản ngân hàng của bạn đã bị tấn công, trong khi trên thực tế, đây chính là âm mưu hack.
  • Smishing phần mềm độc hại. Với trò Phishing này, bạn có thể nhận được một tin nhắn văn bản khuyến khích bạn tải thứ gì đó xuống điện thoại của mình, chẳng hạn như một ứng dụng. Ứng dụng này có thể trông giống như từ một nguồn đáng tin cậy, nhưng nó có thể được sử dụng để truy cập dữ liệu nhạy cảm từ điện thoại thông minh của bạn thông qua một cửa hậu.
  • Smishing tiền. Những nỗ lực này có thể giống như một lời cầu xin tiền từ một người mà bạn biết. Họ đang cố gắng “điều khiển xã hội” để bạn đưa ra một quyết định tồi, tức là họ muốn làm cho bạn cảm thấy hoảng sợ hoặc tội lỗi, vì vậy bạn sẽ bị cám dỗ để gửi tiền nhanh chóng.

6. Angler Phishing

Thủ đoạn phishing tương đối mới này sử dụng phương tiện truyền thông xã hội để thu hút mọi người chia sẻ thông tin nhạy cảm. Những kẻ lừa đảo theo dõi những người đăng về ngân hàng và các dịch vụ khác trên phương tiện truyền thông xã hội. Sau đó, họ giả làm đại diện dịch vụ khách hàng của công ty đó.

Giả sử bạn đăng bài than phiền về việc tiền gửi vào tài khoản bị trì hoãn hoặc một số dịch vụ ngân hàng không tốt và nhắc đến tên ngân hàng của bạn. Tội phạm mạng sẽ sử dụng thông tin này để giả vờ rằng chúng đến từ ngân hàng và liên hệ với bạn.

Sau đó, bạn sẽ được yêu cầu nhấp vào một liên kết để nói chuyện với đại diện dịch vụ khách hàng và sẽ được yêu cầu cung cấp thông tin để xác minh danh tính của bạn.

Khi bạn nhận được thông báo như thế này, tốt nhất bạn nên liên hệ với bộ phận dịch vụ khách hàng thông qua các kênh an toàn như kênh Facebook chính thức – nó thường sẽ có một dấu hiệu tài khoản đã được xác minh.

7. CEO Phishing

Hình thức phishing này gần giống như whaling. Nó nhắm mục tiêu vào các CEO và quản lý nhưng thậm chí còn ngấm ngầm hơn vì mục tiêu không chỉ là lấy thông tin từ CEO mà là mạo danh người đó. Kẻ tấn công, giả danh Giám đốc điều hành hoặc các chức danh tương tự sau đó sẽ gửi email cho đồng nghiệp yêu cầu chuyển tiền thông qua chuyển khoản ngân hàng hoặc yêu cầu họ gửi thông tin bí mật ngay lập tức.

Cuộc tấn công này thường nhằm vào một người nào đó trong công ty được ủy quyền thực hiện chuyển khoản ngân hàng, chẳng hạn như thủ quỹ, người từ bộ phận tài chính hoặc những người nắm giữ thông tin nhạy cảm. Thông báo thường có âm thanh rất khẩn cấp nhằm khiến nạn nhân không có thời gian để suy nghĩ.

8. Phishing qua Công cụ Tìm kiếm (Search Engine Phishing)

Đây là một trong những kiểu tấn công phishing mới nhất sử dụng các công cụ tìm kiếm hợp pháp. Những kẻ lừa đảo sẽ tạo ra một trang web không có thật cung cấp các giao dịch, các mặt hàng miễn phí và giảm giá cho các sản phẩm, và thậm chí cả những lời mời làm việc giả mạo. Sau đó, chúng sẽ sử dụng các kỹ thuật SEO (tối ưu hóa công cụ tìm kiếm) để các trang web của chúng được lập chỉ mục (index*) bởi các trang web hợp pháp.

Vì vậy, khi bạn tìm kiếm một thứ gì đó, công cụ tìm kiếm sẽ hiển thị cho bạn kết quả bao gồm các trang web giả mạo này. Bạn sẽ bị lừa để đăng nhập hoặc cung cấp thông tin nhạy cảm.

Một số kẻ lừa đảo đang trở nên thành thạo trong việc sử dụng các kỹ thuật tiên tiến để thao túng các công cụ tìm kiếm nhằm thu hút lưu lượng truy cập vào trang web của chúng.

Lời kết

Thực tế, bạn không cần biết tên của từng loại hình phishing, mà điều quan trọng là phải biết cách các thông điệp lừa đảo được tạo ra như thế nào và những kẻ tấn công sử dụng kênh nào để tiếp cận bạn. Nhận thức về sự tồn tại của các mối đe dọa như vậy là bước đầu tiên để ngăn máy tính của bạn bị kẻ tấn công xâm nhập. Bạn cũng cần hiểu rằng những kẻ tấn công đôi khi lợi dụng sự hoảng sợ của người dùng để khiến họ làm theo ý của chúng. Vì vậy, khi đối mặt với một mối đe dọa, điều quan trọng là phải bình tĩnh suy nghĩ trước khi hành động.