PHISHING LÀ GÌ ? 6 DẠNG TẤN CÔNG PHISHING PHỔ BIẾN
Tấn công phishing là một trong những mối đe dọa an ninh mạng phổ biến nhất hiện nay, gây ra nhiều thiệt hại cho cá nhân, tố chức và doanh nghiệp. Trong bài viết này, Athena sẽ giúp bạn hiểu hơn về hình thức tấn công phishing này.
Bài viết tôi sẽ chia ra làm các phần:
- Phishing là gì?
- Phishing hoạt động như thế nào?
- Nguy cơ của tấn công phishing là gì?
- Làm thế nào để công ty của bạn có thể nâng cao nhận thức về phishing ?
- Mẹo để ngăn chặn các cuộc tấn công phishing
- Bạn nên làm gì nếu nhận được email phishing?
- Các dạng tấn công phishing phổ biến
1. TẤN CÔNG PHISHING LÀ GÌ ?
Phishing hay còn được gọi là tấn công lừa đảo là dạng tấn công gửi các thông tin từ những nguồn có uy tín, thông thường sẽ được gửi qua email nhằm mục đích là đánh cắp dữ liệu nhạy cảm như thẻ tín dụng ngân hàng, thông tin đăng nhập hoặc cài đặt phần mềm độc hại vào máy của nạn nhân.
Các cuộc tấn công phishing có thể tạo điều kiện cho việc hacker truy cập vào tài khoản và dữ liệu cá nhân của bạn, có được quyền sửa đổi và xâm nhập các hệ thống được kết nối – chẳng hạn như thiết bị đầu cuối của điểm bán hàng và hệ thống xử lý đơn đặt hàng – và trong một số trường hợp hacker sẽ điều khiển hệ thống máy tính doanh nghiệp của bạn cho đến khi tiền chuộc được giao.
Trong các trường hợp khác, email phishing được gửi để lấy thông tin đăng nhập của nhân viên hoặc các thông tin khác để sử dụng trong các cuộc tấn công độc hại hơn nhắm vào một số cá nhân hoặc một công ty cụ thể. Phishing là một loại tấn công mạng mà mọi người nên tìm hiểu để tự bảo vệ mình và đảm bảo an toàn trong toàn tổ chức.
2. PHISHING HOẠT ĐỘNG NHƯ THẾ NÀO ?
Tấn công phishing thông thường sẽ bắt đầu bằng một email lừa đảo hoặc những dạng thông tin khác được thiết kế để thu hút nạn nhân. Thông tin được tạo ra để trông như thể nó đến từ một người gửi đáng tin cậy. Nếu đánh lừa được nạn nhân, họ sẽ bị lợi dụng để cung cấp thông tin bí mật – thường là trên một trang web lừa đảo. Đôi khi các phần mềm độc hại cũng được tải xuống máy tính của mục tiêu.
Hacker bắt đầu bằng cách xác định một nhóm cá nhân mà chúng muốn nhắm mục tiêu. Sau đó, chúng tạo email và tin nhắn văn bản có vẻ hợp pháp nhưng thực sự chứa các liên kết, tệp đính kèm hoặc lợi dụng mục tiêu của họ thực hiện một hành động nguy hiểm, không xác định. Tóm lại:
- Những hacker thường đánh vào tâm lý tò mò, sợ hãi của mục tiêu để buộc người nhận mở tệp đính kèm hoặc nhấp vào liên kết độc hại.
- Các cuộc tấn công phishing được các hacker giả mạo để mục tiêu cảm thấy dường như thông tin đến từ các công ty và cá nhân hợp pháp.
- Hacker liên tục đổi mới và ngày càng trở nên tinh vi hơn.
- Chỉ cần một cuộc tấn công phishing thành công là có thể xâm nhập hệ thống và lấy cắp dữ liệu của bạn, đó là lý do tại sao việc suy nghĩ trước khi nhấp vào luôn quan trọng .
3. NGUY CƠ CỦA TẤN CÔNG PHISHING LÀ GÌ ?
Sau khi hacker tấn công vào hệ thống, vào doanh nghiệp của bạn thì đã nắm quyền kiểm soát hệ thống của cá nhân hay doanh nghiệp.
Về cá nhân:
- Tiền bị đánh cắp từ tài khoản ngân hàng của bạn
- Bạn sẽ quyền truy cập vào ảnh, video và tệp
- Các bài đăng trên mạng xã hội giả, spam tin giả được tạo trong tài khoản của bạn
- Hakcer mạo danh bạn với bạn bè hoặc thành viên gia đình, khiến họ gặp rủi ro
Về doanh nghiệp:
- Mất tiền công ty
- Bị lộ thông tin cá nhân của khách hàng và đồng nghiệp
- Dữ liệu bị khóa và không thể truy cập được
- Thiệt hại cho danh tiếng của công ty bạn
4. LÀM THẾ NÀO ĐỂ CÔNG TY CỦA BẠN CÓ THỂ NÂNG CAO NHẬN THỨC VỀ PHISHING ?
Không có giải pháp an ninh mạng nào có thể ngăn chặn tất cả các cuộc tấn công phishing. Công ty của bạn nên xem xét cách tiếp cận bảo mật theo cấp độ để giảm số lượng các cuộc tấn công lừa đảo và giảm tác động khi các cuộc tấn công xảy ra. Cách tiếp cận nhiều lớp này bao gồm đào tạo nâng cao nhận thức của nhân viên. Khi một cuộc tấn công phishing xâm nhập vào hệ thống bảo mật của bạn, nhân viên thường là tuyến phòng thủ cuối cùng.
Tìm hiểu cách giải thích các cuộc tấn công lừa đảo, cách nhận ra tấn công phishing và phải làm gì nếu bạn nhận ra rằng mình có thể đã vô tình trở thành nạn nhân một cuộc tấn công phishing.
5. MẸO ĐỂ NGĂN CHẶN CÁC CUỘC TẤN CÔNG PHISHING
Để hạn chế các cuộc tấn công phishing thì bạn hãy thực hiện các biện pháp dưới đây
- Theo dõi tài khoản online, tài khoản mạng xã hội của bạn thường xuyên
- Luôn cập nhật phần mềm, cập nhật trình duyệt của bạn
- Đừng nhấp vào các liên kết email từ các nguồn không xác định
- Không bao giờ cung cấp thông tin cá nhân qua email
- Hãy cảnh giác với những lời dụ dỗ về tình cảm, xã hội
- Theo dõi các cuộc tấn công lừa đảo mới nhất
6. BẠN NÊN LÀM GÌ NẾU NHẬN ĐƯỢC EMAIL PHISHING ?
Nếu bạn nhận được một email đáng ngờ, đầu tiên là không mở email hoặc nhấp vào các liên kết trong email. Thay vào đó, hãy báo cáo email cho công ty hoặc tổ chức của bạn vì bị nghi ngờ là lừa đảo. Các nhóm IT và bảo mật trong doanh nghiệp của bạn được cảnh báo trước về mối đe dọa tiềm ẩn càng sớm, thì công ty của bạn có thể thực hiện các hành động để ngăn chặn mối đe dọa đó tránh các rủi ro có thể xảy ra.
Nếu bạn phát hiện ra rằng bạn đã là nạn nhân của một cuộc tấn công phishing và cung cấp thông tin nội bộ của doanh nghiệp, bạn phải báo cáo sự việc xảy ra ngay lập tức. Nếu bạn không báo cáo ngay lập tức, bạn có thể khiến dữ liệu của mình và công ty của bạn gặp rủi ro.
7. CÁC DẠNG TẤN CÔNG PHISHING PHỔ BIẾN
Phishing là hình thức tấn công mạng phổ biến với đa dạng các hình thức tấn công khác nhau. Dưới đây là các dạng tấn công phishing phổ biến.
7.1. Phishing Spear
Các cuộc tấn công lừa đảo dạng này thường được triển khai nhằm thu thập thông tin cá nhân có giá trị, chẳng hạn như thông tin chi tiết về tài khoản ngân hàng và liên hệ cá nhân của đối tượng.
7.2. LỪA ĐẢO QUA MICROSOFT 365
Các phương pháp được những kẻ tấn công sử dụng để giành quyền truy cập vào tài khoản email Microsoft 365 khá đơn giản và trở nên phổ biến nhất. Các chiến dịch lừa đảo này thường ở dạng email giả mạo từ Microsoft. Email chứa đường dẫn khi người dùng nhấp vào đường dẫn xuất hiện yêu cầu đăng nhập, cho biết người dùng cần đặt lại mật khẩu của họ, chưa đăng nhập gần đây hoặc có vấn đề với tài khoản cần họ lưu ý.
7.3. LỪA ĐẢO email doanh nghiệp (BEC)
Hacker tấn công và giả mạo email để mạo danh người giám sát, giám đốc điều hành hoặc nhà cung cấp của công ty bạn. Sau đó, chúng yêu cầu một khoản thanh toán có vẻ hợp pháp. Email có vẻ xác thực, dường như đến từ một nhân vật có thẩm quyền đã biết, vì vậy các nhân viên sẽ tuân thủ yêu cầu.
7.4. WHALING
Khi những kẻ tấn công săn đuổi một “con cá lớn” như một CEO, nó được gọi là Whaling. Trong các cuộc tấn công whale phishing, kẻ gian sẽ không ngần ngại nhắm mục tiêu trực tiếp đến những nhân vật cao cấp, đang nắm giữ vị trí quan trọng chiến lược trong tổ chức, doanh nghiệp như CEO hoặc chủ tịch công ty. Nhìn chung, nạn nhân của whale phishing sẽ là những người nắm trong tay khả năng ra quyết định, hoặc là người giữ vai trò chủ chốt trong các hoạt động ra quyết định trong tổ chức.
7.5. SOCIAL MEDIA PHISH
Những kẻ tấn công thường nghiên cứu nạn nhân của họ trên mạng xã hội như Facebook, Youtube, Twitter và các trang web khác để thu thập thông tin chi tiết, sau đó lập kế hoạch tấn công phù hợp.
7.6. Lừa đảo bằng giọng nói
Lừa đảo bằng giọng nói là một dạng Social Engineering. Đây là một cuộc gọi điện thoại lừa đảo được thiết kế để lấy thông tin nhạy cảm như thông tin đăng nhập. Ví dụ: kẻ tấn công có thể gọi giả vờ là nhân viên hỗ trợ hoặc đại diện của công ty bạn. Những nhân viên mới thường dễ bị những kiểu lừa đảo này, nhưng chúng có thể xảy ra với bất kỳ ai – và ngày càng phổ biến hơn.
tóm lại
Qua bài viết trên tôi đã tổng quan cho các bạn biết các thông tin về kỹ thuật tấn công phishing. Và cho dù như thế nào thì các bạn cũng nên tự bảo vệ mình bằng cách tìm hiểu, nâng cao kiến thức về an ninh mạng để tránh khỏi các rủi ro, nguy cơ tiền mất, tật mang. Hãy tham gia các khóa học An ninh mạng tại Athena để tìm hiểu các cách thức tấn công và cách để bảo mật thông tin của bản thân an toàn nhé.
-
CHUYÊN GIA AN NINH MẠNG AN2S 202424.000.000 ₫
-
CHUYÊN VIÊN BẢO MẬT MẠNG ACST 20249.960.000 ₫
-
BẢO MẬT MẠNG ACNS – SECURITY + 20243.600.000 ₫