Phishing: Nhận biết và phòng tránh

Bank thực sự ghi "Xin chào Nguyễn Văn A" (dùng tên thật bạn), không phải "Xin chào khách hàng thân mến". Nhưng nếu lập trình viên phishing lười, họ có thể scrape được tên từ Facebook hay LinkedIn, để cho cảm giác quen thuộc hơn—và nó lại hiệu quả.

3. URL thực sự nằm ở đâu

Kỹ thuật lâu đời nhất: hover chuột lên link (đừng click) để xem URL thật. Nếu bạn thấy link text nói "https://vietcombank.com.vn" nhưng URL thật lại là "hxxps://vietcomb@nk-confirm.tk", đó là phishing. Tôi thấy rất ít người làm điều này. Họ cho rằng "nếu link nhìn đúng thì nó đúng"—sai lầm nguy hiểm.

4. Yêu cầu cấp bậc chưa bao giờ cấp

Ngân hàng thực sự sẽ không bao giờ yêu cầu bạn nhập mật khẩu hoặc OTP qua email hoặc link. Chúng tôi biết điều này, nhưng tại sao con số người bị lừa vẫn tăng? Vì email phishing nói: "Click ngay nếu không muốn bị khóa trong 24 giờ". Sợ hãi che mắt.

Insight mà ít người nói

Phishing không chỉ nhắm vào cá nhân. Phishing nhắm vào nhân viên để vào công ty. Tôi từng nhìn thấy một campaign phishing đặc biệt tài tình ở Hà Nội: gửi email cho nhân viên HR của các startup, giả làm job applicant, kèm file CV là malware. HR click, mở file, toàn bộ hệ thống công ty bị xâm phạm.

Điều khác? Phishing không phải lúc nào cũng phải đẹp hoặc chuyên nghiệp. Một số phishing tệ quá—sai chính tả, logo lệch, thiết kế dơ bẩn—nhưng vẫn thành công. Bởi vì những người dễ bị lừa không có tiêu chuẩn cao. Họ chỉ muốn "xử lý vấn đề đó đi".

Cách phòng tránh thực tế

Nếu một email yêu cầu bạn hành động khẩn cấp với tài khoản hoặc mật khẩu, điều đó là phishing. Hãy gọi trực tiếp cho tổ chức đó qua số điện thoại bạn biết để xác nhận.

Ngoài ra:

• Dùng password manager (Bitwarden, 1Password) để không bao giờ phải copy-paste mật khẩu vào trang lạ. Nó sẽ từ chối tự động nếu domain không khớp.
• Bật 2FA ở mọi nơi—nếu kẻ tấn công có mật khẩu, họ vẫn không vào được nếu không có điện thoại của bạn.
• Lắng nghe bản năng của bạn. Nếu cái gì đó cảm thấy lạ, nó thường là lạ.
• Với công ty: dạy nhân viên không bằng poster, mà bằng mô phỏng phishing định kỳ. Kiểm tra xem có bao nhiêu người bị lừa, rồi đào tạo họ. Đó là cách duy nhất.

Phishing tồn tại bởi vì nó hoạt động. Nó sẽ không biến mất. Nhưng nếu bạn dừng lại nửa giây để kiểm tra—chỉ nửa giây—bạn đã loại bỏ 90% rủi ro.

Đó cũng là lý do tại sao các tổ chức như Idflow Technology tập trung vào việc xây dựng các công cụ quản lý danh tính và bảo mật, bởi vì trong thế giới kết nối này, phòng chống phishing không thể chỉ là trách nhiệm của cá nhân.