Lừa đảo là gì và Làm thế nào để Bạn Tránh Nó? – Kiểm tra lại

Sự gia tăng trong công việc từ xa, mua sắm trực tuyến và sự lãnh đạo FCC không đủ năng lực tạo ra một cơn bão hoàn hảo cho những kẻ lừa đảo. Các cuộc tấn công lừa đảo phổ biến hơn bao giờ hết và chúng thường dẫn đến gian lận, đánh cắp danh tính và vi phạm dữ liệu công ty. Nhưng lừa đảo là gì và bạn có thể tránh nó như thế nào?

Lừa đảo là gì?

“Lừa đảo” là một thuật ngữ chung để chỉ nhiều loại tội phạm mạng. Nhưng ở dạng cơ bản nhất, lừa đảo (phát âm là “câu cá”) là một trò lừa đảo trong đó nạn nhân bị lừa chia sẻ thông tin nhạy cảm hoặc tải xuống phần mềm tống tiền.

Phần lớn các âm mưu lừa đảo xảy ra qua email hoặc tin nhắn văn bản SMS. Và họ có xu hướng làm theo một công thức đơn giản; những kẻ lừa đảo sẽ mạo danh ai đó đáng tin cậy, chẳng hạn như Amazon, sở cảnh sát hoặc nhà tuyển dụng và cho bạn biết về một vấn đề cần được chú ý ngay lập tức. Thông thường, “vấn đề” này chỉ có thể được “giải quyết” bằng cách chia sẻ chi tiết thẻ tín dụng, mở một tệp độc hại hoặc nhập dữ liệu đăng nhập của bạn vào một trang web giả mạo.

Hầu hết các cuộc tấn công lừa đảo đều dễ dàng phát hiện. Chúng xoay quanh các chủ đề lừa đảo (như bảo hành ô tô) và không mạo danh người có thẩm quyền. Nếu bạn nhận được email từ “Amazon” có lỗi chính tả hoặc đến từ địa chỉ Yahoo, có thể bạn sẽ nhận thấy rằng có điều gì đó không ổn. (Tuy nhiên, mọi người rơi vào những cuộc tấn công lừa đảo “rõ ràng” này hàng ngày, đó là lý do tại sao chúng rất phổ biến.)

Nhưng các âm mưu lừa đảo có thể rất tinh vi. Những kẻ lừa đảo có thể tìm hiểu thông tin chi tiết về việc làm, đăng ký, gia đình hoặc vị trí của bạn trước khi thực hiện một cuộc tấn công lừa đảo. Ví dụ: nếu bạn đặt mua giày từ một trang web đã bị tấn công, kẻ lừa đảo có thể gửi cho bạn một email yêu cầu xác minh giao dịch mua bằng các chi tiết đăng nhập của bạn. Và nếu bạn đến tuổi nghỉ hưu, kẻ lừa đảo có thể mạo danh một thành viên trẻ trong gia đình để xin tiền tại ngoại.

Để rõ ràng, các âm mưu lừa đảo không chỉ nhắm vào các cá nhân. Theo một báo cáo gần đây của Proofpoint, hơn 55% doanh nghiệp đã trở thành nạn nhân của một cuộc tấn công lừa đảo vào năm 2020. Hơn một nửa số công ty này đã kết thúc với ransomware trên hệ thống của họ. Và thật không may, một số cuộc tấn công lừa đảo này đã dẫn đến một vụ vi phạm dữ liệu, có thể làm lộ thông tin khách hàng cho tin tặc.

Các chính phủ cũng là một mục tiêu lớn cho các âm mưu lừa đảo. CSIS duy trì một danh sách dài các cuộc tấn công mạng thành công chống lại các tổ chức chính phủ và nhiều cuộc tấn công trong số này được kích hoạt bởi lừa đảo.

Những người bình thường là tuyến phòng thủ đầu tiên và duy nhất trong cuộc tấn công lừa đảo. Nhưng dữ liệu của Proofpoint cho thấy hơn một nửa số nhân viên toàn thời gian không biết gì về lừa đảo. Rõ ràng, các doanh nghiệp và chính phủ không giáo dục mọi người về chủ đề này, đó là lý do tại sao việc ngồi xuống và tự tìm hiểu về chủ đề này là rất quan trọng.

Các hình thức lừa đảo phổ biến nhất

Một trong những điều khó chịu nhất về lừa đảo, ít nhất là theo quan điểm của chúng tôi, là nó có rất nhiều hình dạng và kích thước khác nhau. Tội phạm mạng không chỉ lặp lại cùng một trò lừa đảo mỗi ngày. Họ liên tục phát triển những cách mới để đánh lừa nạn nhân của họ.

Tuy nhiên, những kẻ lừa đảo phải chơi một hành động cân bằng khi lừa đảo. Họ có thể tạo ra một mạng lưới rộng lớn với một trò lừa đảo “rõ ràng” và hy vọng rằng người nào lấy mồi, hoặc họ có thể thực hiện công việc để đạt được một mục tiêu cụ thể.

Dưới đây là các hình thức lừa đảo phổ biến, sẽ minh họa cho quan điểm của tôi:

• Gửi email lừa đảo: Đây là hình thức lừa đảo phổ biến nhất. Kẻ lừa đảo mạo danh một trang web hoặc nhân vật nổi tiếng, như Amazon hoặc một chính trị gia, nhằm đánh cắp thông tin của bạn hoặc lừa bạn tải xuống ransomware. Họ thậm chí có thể tạo một tên miền tùy chỉnh để làm cho địa chỉ email của họ trông “chính thức”.
• Spear Phishing: Những kẻ lừa đảo muốn nhắm vào một mục tiêu cụ thể sẽ sử dụng “trò lừa đảo trực tiếp”. Họ thu thập thông tin về nạn nhân của họ trước khi mạo danh một người đáng tin cậy, doanh nghiệp hoặc tin nhắn tự động.
• Nhân bản Lừa đảo: Hầu hết các email lừa đảo được gửi đến nạn nhân một cách ngẫu nhiên. Nhưng trong một số trường hợp, kẻ lừa đảo sẽ gửi cho bạn một phiên bản trùng lặp của email thật. Ví dụ: nếu bạn nhận được xác nhận đơn đặt hàng, tin tặc có thể gửi “xác nhận đơn đặt hàng” sao chép có chứa các liên kết hoặc tệp đính kèm độc hại.
• Lừa đảo bật lên: Cửa sổ bật lên vẫn là một vector phổ biến cho các trò gian lận và phần mềm độc hại. Các cuộc tấn công lừa đảo bật lên hiện đại thường lợi dụng cài đặt thông báo của trình duyệt để gửi cho bạn “cảnh báo chống vi-rút”.
• Angler Phishing: Thế giới truyền thông xã hội cho phép những kẻ lừa đảo “lừa đảo” nạn nhân. Về cơ bản, những kẻ lừa đảo sẽ mạo danh một nhân vật hoặc công ty của công chúng trên phương tiện truyền thông xã hội. Chẳng hạn, ai đó có thể mạo danh người sáng tạo trên YouTube để chia sẻ các liên kết “rút thăm trúng thưởng” lừa đảo trong nhận xét của video.
• Cá voi: Khi một cuộc tấn công lừa đảo nhằm vào một người quan trọng, chẳng hạn như một giám đốc điều hành, nó được gọi là “săn cá voi”. Những mục tiêu này thường là những người giàu có, dễ bị tống tiền hoặc có quyền truy cập vào chương trình phụ trợ của một công ty.
• Sm Sming và Vishing: Các thuật ngữ này mô tả lừa đảo thông qua tin nhắn văn bản SMS hoặc cuộc gọi điện thoại. Hầu hết các tin nhắn rác hoặc cuộc gọi điện tự động mà bạn nhận được là các hình thức “đánh bóng” hoặc “đánh lừa”.

Một lần nữa, các cuộc tấn công lừa đảo này dao động giữa “cực kỳ cụ thể” và “rất rộng”. Các cuộc tấn công phức tạp nhất có xu hướng nhắm mục tiêu vào một người duy nhất, trong khi các cuộc tấn công cơ bản hơn là một chút ngẫu nhiên.

Làm thế nào để tránh lừa đảo lừa đảo

Do sự gia tăng của công việc từ xa, lừa đảo phổ biến hơn bao giờ hết. Và chúng tôi hy vọng nó sẽ vẫn là một vấn đề lớn đối với các cá nhân, công ty và chính phủ — các trò lừa đảo lừa đảo có thể khá tinh vi, vì vậy ngay cả khi bạn là “người biết vi tính” hay sử dụng phần mềm chống vi-rút, bạn cần phải chú ý theo dõi.

Xem xét kỹ lưỡng mọi email hoặc tin nhắn SMS đến hộp thư đến của bạn. Nếu ai đó gửi cho bạn một URL hoặc một tệp, đừng mở nó trừ khi bạn có thể xác minh nguồn. Và tôi không chỉ bảo bạn xem địa chỉ email hoặc số điện thoại của người gửi. Cố gắng liên hệ với tổ chức hoặc người được cho là đã viết email đó để xác minh tính xác thực của nó.

Để rõ ràng, có một số thứ bạn không bao giờ nên gửi qua email hoặc tin nhắn văn bản. Nếu ai đó yêu cầu bạn nhập số an sinh xã hội hoặc thông tin thẻ tín dụng của bạn trong email hoặc tin nhắn, hãy bỏ qua họ! Ngân hàng của bạn sẽ không yêu cầu những thứ này trên một nền tảng không an toàn như vậy và IRS cũng vậy.

Lưu ý rằng một số kẻ lừa đảo đủ táo bạo để lừa đảo thông qua các cuộc gọi điện thoại. Họ thậm chí có thể mạo danh cảnh sát, ngân hàng hoặc chủ nhân của bạn. Nếu một số không xác định gọi đến và yêu cầu cung cấp tiền hoặc thông tin nhạy cảm, hãy cúp máy. Bạn luôn có thể gọi lại bằng cách sử dụng chính thức số điện thoại từ trang web của tổ chức.

Để giảm nguy cơ bị lừa đảo, hãy thiết lập bộ lọc thư rác trong ứng dụng email của bạn. Bạn cũng có thể muốn cài đặt một phần mềm chống vi-rút và tắt thông báo trang web trong trình duyệt của mình.

Và vì các cuộc tấn công lừa đảo rất phổ biến, tôi khuyên bạn nên thực hiện một số biện pháp phòng ngừa để giảm tác động của chúng. Sử dụng trình quản lý mật khẩu để tạo mật khẩu duy nhất cho mọi tài khoản và bật 2FA trên tất cả các trang web, vì nó sẽ khóa những kẻ lừa đảo ngay cả khi chúng có mật khẩu của bạn. Bạn cũng có thể kích hoạt cảnh báo gian lận thông qua văn phòng tín dụng để ngăn các hạn mức tín dụng mới mở dưới tên của bạn.

Bạn Nên Làm gì nếu Bạn là Nạn nhân của Lừa đảo?

Theo Ủy ban Thương mại Liên bang Hoa Kỳ, bạn nên báo cáo tất cả các cuộc tấn công lừa đảo cho Báo cáo trang web gian lận. Bạn cũng có thể chuyển tiếp các email lừa đảo tới reportphishing@apwg.org và chuyển tiếp tin nhắn văn bản lừa đảo tới SPAM (7726). Nếu một cuộc tấn công lừa đảo mạo danh một cá nhân hoặc tổ chức, bạn cũng nên cảnh báo họ về cuộc tấn công (đặc biệt nếu họ là thành viên gia đình hoặc ai đó trong công ty của bạn).

Nếu bạn trở thành nạn nhân của một cuộc tấn công lừa đảo, đã đến lúc vào chế độ giảm tác hại. Thay đổi mật khẩu cho tất cả các tài khoản nhạy cảm hoặc bị ảnh hưởng và cho phép 2FA khóa những kẻ lừa đảo có mật khẩu của bạn — trình quản lý mật khẩu sẽ giúp bạn hoàn thành công việc.

Và nếu kẻ lừa đảo lấy được thông tin thẻ tín dụng hoặc chi tiết ngân hàng của bạn, hãy cho ngân hàng của bạn biết! Họ sẽ giúp bạn thay thế thẻ bị ảnh hưởng và tranh chấp các khoản phí gian lận. Bạn cũng có thể cần phải đóng băng thẻ tín dụng của mình hoặc thiết lập cảnh báo gian lận nếu kẻ lừa đảo lấy được số an sinh xã hội, địa chỉ hoặc ngày sinh của bạn. Điều này sẽ ngăn chặn các giao dịch không mong muốn và ngăn những kẻ lừa đảo mở các hạn mức tín dụng mới dưới tên của bạn.

Thật không may, các cuộc tấn công lừa đảo liên quan đến phần mềm độc hại phức tạp hơn một chút. Nếu bạn mở tệp đính kèm độc hại hoặc tải xuống phần mềm đáng ngờ, bạn nên đưa thiết bị bị ảnh hưởng vào chế độ ngoại tuyến. Chạy quét chống vi-rút hoặc khôi phục cài đặt gốc cho thiết bị để loại bỏ bất kỳ phần mềm độc hại nào.

Không thể làm sạch thiết bị của bạn khỏi phần mềm độc hại nếu ransomware khóa bạn. Trong trường hợp này, hãy chụp ảnh màn hình thiết bị của bạn (để bạn có thể xác định phần mềm tống tiền sau này) và liên hệ với cơ quan thực thi pháp luật hoặc FBI. Đừng bận tâm đến việc trả tiền chuộc — tốt hơn là bạn nên đến gặp chuyên gia sửa chữa hoặc đợi một công ty bảo mật công bố giải pháp. Những kẻ lừa đảo hiếm khi quan tâm đến việc bạn có trả tiền chuộc hay không, và nếu có, nó chỉ khuyến khích chúng phát tán nhiều ransomware hơn.