“Phát hiện tài khoản của bạn đăng nhập khác vùng bất thường, vui lòng đăng nhập đường link để xác nhận thông tin và thay đổi mật khẩu”.

Sau khi nhận được thông tin như trên, vì quá lo lắng nên đã bấm ngay đường link và điền mọi thông tin mà không hề suy xét và kiểm tra nội dung đó có gì bất thường. Việc này dẫn đến rất nhiều người đã bị đánh cắp thông tin và chiếm đoạt tiền trong tài khoản. Đây được gọi là lừa đảo phishing. Vậy phishing thực chất là gì?

Phishing là một thủ đoạn lừa đảo tinh vi, trong đó kẻ xấu cố gắng lừa người dùng tiết lộ thông tin nhạy cảm như số thẻ tín dụng, thông tin đăng nhập tài khoản ngân hàng, số pin và các thông tin cá nhân khác. Lừa đảo (phishing) sử dụng chiến thuật hù doạ để đánh vào nỗi sợ hãi để đạt được mục đích.

Theo chương trình đào tạo thực tế về nhận thức bảo mật SkillSpar, cấu trúc của một cuộc tấn công lừa đảo được chia thành các giai đoạn sau:

1) Gửi email, tin nhắn hoặc gọi điện giả mạo và có vẻ như họ đến từ cục cảnh sát, cục thuế hay một tổ chức tài chính, hoặc công ty như ngân hàng hoặc cổng thanh toán thẻ tín dụng;

2) Đánh vào sự sợ hãi của nạn nhân và tiết lộ rằng đây là một sự việc nghiêm trọng đã xảy ra; và đòi hỏi sự chú ý ngay lập tức của nạn nhân;

3) Liên kết trong email, tin nhắn dẫn nạn nhân đến trang web “giả mạo” nơi nó trông giống hệt trang web thật, thực tế tất cả đều là giả ngoại trừ phần thông tin mà nạn nhân điền vào để gửi cho những kẻ tấn công;

4) Nạn nhân thức dậy vào ngày hôm sau với tất cả tiền của mình và danh tính đã bị đánh cắp.

Như bạn có thể thấy, phishing đòi hỏi những kẻ tấn công phải có kiến thức máy tính và có nhiều kế hoạch. Khi tất cả những kế hoạch đó được sử dụng cùng với một chiến thuật hù doạ như trên, chắc chắn rằng nhiều người sẽ tin vào nó. Phishing cực kì khó bảo vệ bởi vì nó không phải là kỹ thuật hay công nghệ vượt trội, mà chủ yếu vì nó quá thuyết phục. Tuy nhiên vẫn có những cách để phát hiện và ngăn chặn lừa đảo.

Khi gặp những tình huống như trên, hãy nhìn kỹ vào URL (đường link) mà kẻ lừa đảo gửi đến, họ sẽ cố gắng làm cho nó giống thật nhất có thể nhưng nó không bao giờ là thật. Nếu nghi ngờ, hãy tự nhập URL của trang web được yêu cầu thay vì nhấn vào URL. Không điền bất kỳ thông tin cá nhân vào bất kì yêu cầu nào được mô tả trong email, thay vào đó, hãy gọi đến số điện thoại đường dây nóng của cơ quan, ngân hàng hoặc công ty yêu cầu để làm rõ.

Thời gian gần đây, rất nhiều người dân đã nhận được những cuộc gọi, tin nhắn hoặc email  giả danh các cơ quan chính quyền, tổ chức tài chính, ngân hàng và không ít người rơi vào cái bẫy của nhóm tội phạm, có người thì lộ thông tin cá nhân, thông tin tài chính và không ít người đã mất tiền.

Đây không phải là sự phát triển nhanh chóng của công nghệ hay sự phát triển không ngừng của hacker mà nó liên quan rất nhiều đến nhận thức bảo mật của mọi người và công chúng. Bảo mật là tất cả về con người, quy trình và công nghệ. Trớ trêu thay con người vẫn là mắt xích yếu nhất, mặc dù rất dễ dàng để vá và sửa các lỗi hoặc lỗ hổng công nghệ, nhưng không có bản vá nào để sửa chữa các điểm yếu của con người. Hãy cảnh giác và nâng cao nhận thức bảo mật bởi vì không biết khi nào bản thân sẽ là người tiếp theo trong danh sách nạn nhân bị lừa.