Tìm hiểu về một số cách nhận biết email lừa đảo

Email lừa đảo là một dạng tấn công kỹ thuật xã hội (social engineering), thường được sử dụng để đánh cắp thông tin cá nhân như mật khẩu và số thẻ tín dụng hoặc ép buộc nạn nhân thực hiện hành động có lợi cho kẻ tấn công. Những email này có vẻ như đến từ một công ty hoặc người gửi đáng tin cậy, nhưng chúng thực sự bắt nguồn từ tội phạm mạng.

Trong phần lớn trường hợp thì các email lừa đảo sẽ tóm vào 3 dạng:

  1. Cài đặt hoặc tải một phần mềm gì đó để tạo một backdoor hoặc keylogger trên máy tính;
  2. Dẫn bạn đến một website giả mạo nào đó để lấy thông tin cá nhân;
  3. Dẫn dắt bạn vào một câu chuyện giả mạo để tấn công phi kỹ thuật.

Dù bạn bị dính vào trường hợp nào thì hậu quả cũng sẽ diễn ra ngay tức thì. Do đó bạn nên cẩn thận với các dạng email lừa đảo và có một điểm bạn cần biết trước khi bấm mở một email nào đó..

Địa chỉ người gửi ​

Những kẻ tạo email lừa đảo thường cố mạo danh các thương hiệu hợp pháp bằng các công cụ hỗ trợ để tạo các email đáng tin cậy. Mặc dù các chúng có thể đánh cắp logo và thậm chí sao chép email thật khá dễ dàng, nhưng việc tạo một địa chỉ người gửi có vẻ hợp pháp lại khó khăn hơn. Những kẻ tấn công sử dụng các kỹ thuật giả mạo để tạo địa chỉ người gửi giả, có vẻ hợp pháp.

Email spoofing: Kẻ gian tạo các địa chỉ email giả trông giống với địa chỉ email của thương hiệu hợp pháp. Chúng khai thác thực tế là tên người gửi hiển thị trong khi địa chỉ email thường bị ẩn, đặc biệt là trên các ứng dụng di động. Ví dụ: bí danh hiển thị có thể là “HDBank” trong khi email ẩn là “no-reply@hbbank.com”.

Cousin domain: Kẻ tấn công làm cho địa chỉ email lừa đảo trông giống với địa chỉ email của thương hiệu hợp pháp nhưng thực chất khi quan sát kỹ chúng là khác nhau. Ví dụ: “no-reply@hbbank.com.vn” thay vì “no-reply@hdbank.com.vn”.

#fun_fact Nhiều người nghĩ rằng tên miền .vn sẽ ít bị dùng để lừa đảo và sự thật rằng các nhà cung cấp dịch vụ domain không quan tâm về việc người dùng sẽ dùng nó cho công việc gì nhé.

Dòng tiêu đề​ và nội dung

Email lừa đảo giống như email tiếp thị ở chỗ cả hai đều cố gắng thúc giục người dùng hành động. Mục tiêu của email lừa đảo là lừa người dùng mở email rồi nhấp vào liên kết độc hại hoặc tệp đính kèm tải xuống phần mềm độc hại hoặc nhấp vào liên kết hướng dẫn người dùng nhập thông tin nhạy cảm hoặc trả lời email bằng thông tin tài chính.

Một email lừa đảo lưu trữ mục tiêu của nó bằng cách mạo danh các thương hiệu hợp pháp và các tổ chức như ngân hàng. Dòng chủ đề của email thường bao gồm một dòng chủ đề khơi gợi sự quan tâm của người dùng hoặc đưa ra cảnh báo. Nó được tạo ra để khiến người dùng nghĩ rằng việc không mở email có thể làm gián đoạn hoạt động công việc.

Dưới đây là những dòng chủ đề phổ biến:
Đã phát hiện hoạt động đáng ngờ trên tài khoản của bạn;
Toàn khoản của bạn đã bị khóa;
Vui lòng cập nhật thông tin của bạn ngay v.v…

Thường xuyên nhận và đọc các email lừa đảo, thì mình phân làm 2 loại: ngu học và có câu chuyện rõ ràng. Về loại ngu học thì đơn giản là đầy lỗi chính tả, ngữ phá và lỗi font. Nhìn mộ văn bản mà font chữ không tương đồng, lỗi font, chữ to nhỏ loạn xạ như bài viết của học sinh cấp 1 đang tập tành viết teencode, rất bực mình và tất nhiên nó như một đám rác vậy.

Loại 2 thì phức tạp hơn khi thường sẽ là một câu chuyện rất rất rất dài từ: cần bạn tham gia hoạt động rửa tiền hoặc cần một người nhận chuyển giao đến bạn trúng thưởng iPhone, xe máy… Đủ loại cả. Các câu chuyện này khi bạn hồi đáp sẽ bị dẫn dắt để làm một trong 3 loại lừa đảo trên. Do kinh nghiệm nên nếu email quá dài và giọng văn đều không phân biệt nam nữ thì 90% đều là lừa đảo cả, 10% còn lại thì là quảng cáo.

Tệp đính kèm ​

Email lừa đảo thường bao gồm các tệp đính kèm độc hại, dấu hiệu dễ nhận diện là các tệp đính kèm có dạng file nén như .zip .rar được đặt mật khẩu và email có gửi kèm mật khẩu của file nén. Một dấu hiệu nữa là tệp tài liệu gửi kèm là file .doc/docx/.xls/xlsx lại được gửi dạng .doc.exe /.docx.exe /.xls.exe /xlsx.exe đặt trong file nén.

Liên kết ​

Các email lừa đảo thường chứa các liên kết hướng người dùng đến một trang web mạo danh một thương hiệu thực sự. URL thường được ẩn đằng sau văn bản liên kết bao gồm lời kêu gọi hành động, chẳng hạn như “Xem tại đây”, “Đăng nhập”, “Nhấp vào đây”, “Cập nhật cài đặt tài khoản”. Người dùng có thể di chuột qua văn bản liên kết để hiển thị URL lừa đảo. Để tránh bị phát hiện, những kẻ tấn công thường làm rối (obfuscate) nhằm tránh phát hiện các URL lừa đảo bằng các kỹ thuật sau:

Công cụ rút gọn URL: bằng cách tạo các phiên bản rút gọn để rút ngắn liên kết. Những kẻ đe dọa thường sử dụng các công cụ phổ biến như Bit.ly và TinyURL, thường được các nhà tiếp thị sử dụng, để lừa người dùng tìm kiếm các URL đáng ngờ và các bộ lọc email tìm kiếm các chữ ký đã biết.

Chuyển hướng URL: một kỹ thuật cho phép kẻ tấn công sử dụng các URL hợp pháp trong email và tạo chuyển hướng đến các trang web lừa đảo sau khi email đã vượt qua máy quét và được gửi thành công.

Trên đây là một số thứ bạn cần suy xét khi mở một email dù là email từ người quen vì bạn không chắc được rằng máy tính của người quen có bị nhiễm mã độc không nhé.

DSHvietnam