Phishing email và cách bảo vệ

Những ngày gần đây, một loạt các ngân hàng lớn tại Việt Nam gửi cảnh báo cho khách hàng về các phishing email lừa người dùng cung cấp thông tin tài khoản hoặc thẻ tín dụng. Nếu người dùng không lưu ý, có thể bị rút hết tiền ngay. Vậy làm thế nào để nhận biết và bảo vệ khỏi các email lừa đảo này.

Phishing email là gì

Định nghĩa đơn giản, phishing email là email lừa đảo. Có thể thực hiện phishing ở nhiều hình thức như email, tin nhắn SMS, quảng cáo trực tuyến. Hình thức có thể khác nhau, nhưng thông thường, nội dung sẽ có đính kèm một hoặc vài đường links, dụ người đọc bấm vào và cung cấp các thông tin cá nhân. Từ đó tuỳ thuộc vào mục đích phishing mà thông tin có thể bị bán cho các bên khác, hoặc trực tiếp là mất tiền qua tài khoản hoặc thẻ tín dụng.

Có nhiều thống kê khác nhau, nhưng đều thống nhất: hình thức phishing chủ yếu là qua email, chiếm tới hơn 90% các tấn công lừa đảo này.

Cách thức hoạt động của email lừa đảo

Người dùng nhận được một email, thường từ các nhãn hàng lớn, hay các tổ chức tín dụng thông báo về việc tài khoản cá nhân của người dùng đó đang gặp vấn đề, đề nghị cung cấp mật khẩu để xác thực lại tài khoản, hoặc đơn giản là mời chào sử dụng một dịch vụ nào đó.

form yêu cầu thông tin thẻ và chủ thẻ, giả mạo ngân hàng VPBank
form yêu cầu thông tin thẻ và chủ thẻ, giả mạo ngân hàng VPBank
form yêu cầu thông tin thẻ và chủ thẻ, giả mạo ngân hàng VPBank
form yêu cầu thông tin thẻ và chủ thẻ, giả mạo ngân hàng VPBank

Khi người dùng bấm vào link được đính kèm trong nội dung thư, họ sẽ được dẫn tới một trang web có hình thức giống như các tổ chức tín dụng thực. Trong trang web đó, người dùng được yêu cầu cung cấp thông tin cá nhân như họ tên, địa chỉ, số chứng minh thư nhân dân hay căn cước công dân, số tài khoản ngân hàng kèm theo tên truy cập và mật khẩu vào ngân hàng trực tuyến, hay thông tin số thẻ tín dụng. Nếu người dùng cung cấp các thông tin này, rất nhanh, tiền trong ngân hàng của họ sẽ bị rút sạch.

Dấu hiệu nhận dạng phishing email

Khi người dùng nhận được một email nghi ngờ, họ có thể tự kiểm tra với các dấu hiệu sau, trước khi nhờ đến các chuyên gia.

Tên gửi đến

Nhiều phishing email được gửi đến có tên tương tự như tên miền mà doanh nghiệp đang sử dụng, hoặc tương tự tên miền mà các tổ chức tín dụng lớn đang dùng.

Ví dụ, doanh nghiệp bạn đang dùng tên miền tenmien-cuaban.vn, thì bạn có thể nhận được một email có tên người gửi làtenmien-cuaban.vn. Một dạng hay gặp nữa là tên người gửi cũng chính là tên người nhận luôn (!!!).

Hoặc nếu bạn nhận được một thư có tên của người quen trong danh sách liên hệ của bạn, nhưng bạn biết chắc chắn rằng, người đó không làm trong lĩnh vực liên quan đến nội dung thư. Điều đó có thể cảnh báo rằng email của người quen của bạn có thể gặp vấn đề, nên tìm hiểu trước khi phản hồi.

Địa chỉ email lạ

Nếu bạn nhận được thư từ một địa chỉ lạ, chưa giao tiếp bao giờ, đặc biệt là từ các địa chỉ miễn phí từ các tên miền như gmail.com, yahoo.com, live.com, hotmail.com… bạn nên nâng cao cảnh giác. Hay kết hợp với tên người gửi, bạn có thể nhận biết địa chỉ mail có đúng không. Ví dụ, tên người gửi được đặt chung chung là Techcombank, nhưng địa chỉ gửi lại là từ xxxx@techcombank1.com, thay vì gửi từ tên miền techcombank.com.vn.

Hãy kiểm tra trang web nhà cung cấp dịch vụ bạn đang sử dụng. Họ có thể liệt kê danh sách các tên miền họ quản lý và sử dụng để giao tiếp với khách hàng. Ví dụ, VietNAP liệt kê các tên miền này tại trang Chính sách bảo mật thông tin.

Cách kiểm tra địa chỉ email gửi đến

Nếu bạn muốn đi sâu hơn về kỹ thuật, có thể kiểm tra thêm các bước:

  • Xem header thư gửi đến để xác định thư được gửi từ máy chủ nào. Cách xem header email có thể tham khảo tại đây.
  • Bạn có thể nhận thấy một số thông báo failed khi máy chủ kiểm tra các bản ghi SPF hay DMARC.
  • Kiểm tra whois tên miền và địa chỉ IP gắn với máy chủ đó, có phải thuộc về nhà cung cấp dịch vụ bạn đang dùng không.
Authentication-Results: mx.google.com;
       spf=fail (google.com: domain of contact@xxxxxxx.com does not designate xx.xx.xxx.xxx as permitted sender) smtp.mailfrom=contact@xxxxxxx.com
Received-SPF: fail (google.com: domain of contact@xxxxxxx.com does not designate xx.xx.xxx.xxx as permitted sender) client-ip=xx.xx.xxx.xxx;

Nội dung thư

Các phishing email đánh vào tâm lý người dùng. Có nhiều dạng, nhưng thường như:

  • dọa người dùng bằng cách báo tài khoản cá nhân của họ đang gặp vấn đề, cần xác minh lại thông tin.
  • thông báo tài khoản mới được khởi tạo, cần tiếp tục thực hiện các bước kế tiếp. Người dùng được yêu cầu mở file đính kèm, hoặc bấm vào một đường link.
  • thông báo một dịch vụ mới được triển khai, và đề nghị người dùng điền form cung cấp thông tin cá nhân, thông tin tài khoản ngân hàng kèm theo mật khẩu, hay thông tin thẻ tín dụng.
  • thông báo người dùng trúng giải, đề nghị cung cấp thông tin tài khoản ngân hàng kèm theo mật khẩu để nhận được tiền.

Khi di chuột vào đường link (ĐỪNG BẤM!!!) trong thư, người dùng có thể nhìn thấy tên miền đính kèm đường link đó. Và thông thường sẽ là những đường link rất dài, tên miền miễn phí, hay sử dụng các dịch vụ lưu trữ miễn phí trên Internet như Google Drive.

Các ngân hàng không bao giờ hỏi số tài khoản của khách hàng. Hay đặc biệt, không bao giờ cần mật khẩu truy cập tài khoản ngân hàng để nhận tiền. Các emails như vậy chắc chắn là phishing email, hy vọng người đọc thấy lợi, mà mất cảnh giác.

Bait attack

Dạng thư này hơi đặc biệt, vì có thể thư không có nội dung gì. Hoặc một thư nhìn hoàn toàn bình thường, không có địa chỉ web để bấm, hay không đính kèm file. Dường như đây là một thư gửi nhầm địa chỉ mà thôi!

Chắc chắn, có trường hợp nhầm địa chỉ. Nhưng đây cũng có thể là một dạng tấn công dò tìm. Nếu bạn muốn “giúp đỡ” người gửi, phản hồi lại bức thư rằng họ đã gửi nhầm địa chỉ, bạn có thể sẽ nhanh chóng nhận được một thư khác, với các đặc điểm phishing nói trên. Bức thư “gửi nhầm” đầu tiên, chỉ là mồi giả, để cracker xác định xem bạn có mở thư ra không, bạn có thực sự dùng thư không. Mà đa số những người tốt bụng lại thường hay mất cảnh giác, nên khả năng bị mất thông tin cá nhân là rất cao.

Trên đây là một số cách để bạn phân biệt phishing email. Tuy nhiên, cần phải nói rằng, đây là các cách “bán chủ động” bảo vệ. Nghĩa là bạn vẫn nhận được các email lừa đảo này. Cách tốt hơn là chủ động bảo vệ email của bạn, loại bỏ các virus, spam hay phishing emails TRƯỚC KHI các email lừa đảo được gửi đến inbox của bạn. Sử dụng một bộ lọc antispam trước tên miền doanh nghiệp sẽ giúp bạn điều này.