Thiết kế Website

Cách nhận biết và tránh các website lừa đảo phishing một cách hiệu quả

Đã đăng trên bởi semtek
website lừa đảo phishing
31
Th8

Website lừa đảo phishing là một trong những hình thức tấn công phổ biến nhất trên mạng. Trong các cuộc tấn công này, kẻ tấn công sử dụng các trang web giả mạo để đánh lừa người dùng để nhập thông tin cá nhân và tài khoản ngân hàng của họ. Trong bài viết này, chúng ta sẽ tìm hiểu về các dấu hiệu để phát hiện và tránh các website lừa đảo phishing.

Cách nhận biết và tránh các website lừa đảo phishing một cách hiệu quả

Các dấu hiệu để phát hiện các website lừa đảo phishing bao gồm:

1. Sai chính tả và lỗi ngữ pháp: Các website lừa đảo phishing thường có nhiều lỗi chính tả và lỗi ngữ pháp. Điều này có thể cho thấy rằng website không được thiết kế bởi một tổ chức chính thống.

2. Yêu cầu nhập thông tin cá nhân: Các website lừa đảo phishing thường yêu cầu người dùng nhập thông tin cá nhân như tên đăng nhập, mật khẩu, số thẻ tín dụng và thông tin tài khoản ngân hàng.

website lừa đảo phishing
website lừa đảo phishing

3. URL không chính thức: Các website lừa đảo phishing thường có URL không chính thức hoặc giống với URL của một trang web chính thống nhưng với một chút khác biệt nhỏ.

4. Thiếu thông tin liên hệ: Các website lừa đảo phishing thường thiếu thông tin liên hệ như địa chỉ email hoặc số điện thoại.

5. Các thông báo khẩn cấp: Các website lừa đảo phishing thường sử dụng các thông báo khẩn cấp để đánh lừa người dùng nhập thông tin cá nhân của mình.

Để tránh các website lừa đảo phishing, bạn nên:

1. Kiểm tra URL trước khi nhập thông tin cá nhân: Bạn nên kiểm tra URL của trang web trước khi nhập thông tin cá nhân của mình. Nếu URL không chính thức hoặc có sự khác biệt nhỏ so với URL của trang web chính thống, bạn nên cẩn thận.

2. Không truy cập các liên kết không được xác thực: Bạn nên tránh truy cập các liên kết không được xác thực hoặc được gửi đến bạn từ các email không xác đáng tin cậy.

3. Sử dụng phần mềm chống virus và bảo mật: Bạn nên sử dụng phần mềm chống virus và bảo mật để bảo vệ máy tính của mình khỏi các phần mềm độc hại và các cuộc tấn công trên mạng.

website lừa đảo phishing
website lừa đảo phishing

4. Cẩn thận khi nhập thông tin cá nhân: Bạn nên cẩn thận khi nhập thông tin cá nhân của mình trên mạng. Nếu có bất kỳ điều gì không đúng hoặc nghi ngờ, bạn nên tìm kiếm thông tin khác hoặc liên hệ với nhà cung cấp dịch vụ để biết thêm thông tin.

5. Cập nhật các phần mềm và ứng dụng: Bạn nên cập nhật các phần mềm và ứng dụng trên máy tính của mình để đảm bảo rằng chúng luôn được bảo mật và không có lỗ hổng bảo mật.

Kết luận, các website lừa đảo phishing là một trong những nguy cơ bảo mật trên mạng. Bạn cần phải cẩn thận và chú ý để phát hiện và tránh các website lừa đảo này. Nếu bạn có bất kỳ nghi ngờ nào về một trang web, bạn nên tìm kiếm thông tin khác hoặc liên hệ với nhà cung cấp dịch vụ để biết thêm thông tin.

Các phương thức tấn công Phishing

Có nhiều kỹ thuật mà tin tặc sử dụng để thực hiện một vụ tấn công Phishing.

Giả mạo email

Một trong những kỹ thuật cơ bản trong tấn công Phishing là giả mạo email. Tin tặc sẽ gửi email cho người dùng dưới danh nghĩa một đơn vị/tổ chức uy tín, dụ người dùng click vào đường link dẫn tới một website giả mạo và “mắc câu”.

Những email giả mạo thường rất giống với email chính chủ, chỉ khác một vài chi tiết nhỏ, khiến cho nhiều người dùng nhầm lẫn và trở thành nạn nhân của cuộc tấn công.

Để làm cho nội dung email giống thật nhất có thể, kẻ tấn công luôn cố gắng “ngụy trang” bằng nhiều yếu tố:

  • Địa chỉ người gửi (VD: địa chỉ đúng là sales.congtyA@gmail.com thì địa chỉ giả mạo có thể là sale.congtyA@gmail.com)
  • Chèn Logo chính thức của tổ chức để tăng độ tin cậy
  • Thiết kế các cửa sổ pop-up giống y hệt bản gốc (cả về màu sắc, font chữ,…)
  • Sử dụng kĩ thuật giả mạo đường dẫn (link) để lừa người dùng (VD: text là vietcombank.com.vnnhưng khi click vào lại điều hướng tới vietconbank.com.vn)
  • Sử dụng hình ảnh thương hiệu của các tổ chức trong email giả mạo để tăng độ tin cậy.
website lừa đảo phishing

Giả mạo Website

Thực chất, việc giả mạo website trong tấn công Phishing chỉ là làm giả một Landing page chứ không phải toàn bộ website. Trang được làm giả thường là trang đăng nhập để cướp thông tin của nạn nhân. Kỹ thuật làm giả website có một số đặc điểm sau:

  • Thiết kế giống tới 99% so với website gốc
  • Đường link (url) chỉ khác 1 ký tự duy nhất. VD: reddit.com (thật) vs redit.com (giả); google.com vs gugle.commicrosoft.com vs mircosoft.com hoặc verify-microsoft.com.
  • Luôn có những thông điệp khuyến khích người dùng nhập thông tin cá nhân vào website (call-to-action).

Vượt qua các bộ lọc Phishing

Hiện nay, các nhà cung cấp dịch vụ email như Google hay Microsoft đều có những bộ lọc email spam/phishing để bảo vệ người dùng. Tuy nhiên những bộ lọc này hoạt động dựa trên việc kiểm tra văn bản (text) trong email để phát hiện xem email đó có phải phishing hay không. Hiểu được điều này, những kẻ tấn công đã cải tiến các chiến dịch tấn công Phishing lên một tầm cao mới. Chúng thường sử dụng ảnh hoặc video để truyền tải thông điệp lừa đảo thay vì dùng text như trước đây. Người dùng cần tuyệt đối cảnh giác với những nội dung này.

Cách xác định một Email lừa đảo

website lừa đảo phishing
Thoạt nhìn, email giả mạo trông không khác gì “chính chủ”

Đây là một số cụm từ thường gặp nếu bạn nhận được một email hay tin nhắn là lừa đảo

“Xác thực tài khoản của bạn” / “Verify your account” – Các website hợp pháp sẽ không bao giớ bắt bạn gửi password, tên tài khoản hay bất cứ thông tin cá nhân nào của bạn qua email.

“Nếu bạn không phản hồi trong vòng 48h, tài khoản của bạn sẽ bị ngừng hoạt động” / “If you don’t respond within 48 hours, your account will be closed.” – Đây là một tin nhắn truyền tải một thông điệp cấp bách để bạn trả lời ngay mà không cần suy nghĩ

“Dear Valued Customer.” / “Kinh thưa quí khách hàng” – Những tin nhắn từ các email lừa đảo thường xuyên gửi đi với số lượng lớn và thường sẽ không chứa first name và last name của bạn.

“Nhấp chuột vào link bên dưới để truy cập đến tài khoản của bạn” / “Click the link below to gain access to your account.” –Các thông điệp HTML có thể chứa các liên kết hay các form nhập liệu mà bạn có thể điền các thông tin vào giống như khi các form trên một website. Những đường dẫn đó có thể chứa tất cả hoặc một phần thông tin của các công ty thực sự và thường “đeo mặt nạ”, có nghĩa là các đường dẫn mà bạn thấy không đưa bạn đến website mà bạn nghĩ, ngược lại nó sẽ đưa bạn đến những website lừa đảo.

Các công cụ hữu ích giúp phòng chống Phishing:

  • SpoofGuard: là một plugin trình duyệt tương thích với Microsoft Internet Explorer. SpoofGuard đặt một “cảnh báo” trên thanh công cụ của trình duyệt. Nó sẽ chuyển từ màu xanh sang màu đỏ nếu bạn vô tình vào trang web giả mạo Phishing. Nếu bạn cố nhập các thông tin nhạy cảm vào một mẫu từ trang giả mạo, SpoofGuard sẽ lưu dữ liệu của bạn và cảnh báo bạn.
  • Anti-phishing Domain Advisor: bản chất là một toolbar (thanh công cụ) giúp cảnh báo những trang web lừa đảo, dựa theo dữ liệu của công ty Panda Security.
  • Netcraft Anti-phishing Extension: Netcraft là một đơn vị uy tín cung cấp các dịch vụ bảo mật bao gồm nhiều dịch vụ. Trong số đó, tiện ích mở rộng chống Phishing của Netcraft được đánh giá khá cao với nhiều tính năng cảnh báo thông minh.

Từ khóa:

  • Cách kiểm tra website lừa đảo
  • Kiểm tra website lừa đảo
  • Cách kiểm tra link lừa đảo
  • Phishing Email là gì
  • Phishing la gì
  • Cách hiểu nào sau đây về website lừa đảo phishing là dụng nhất
  • Đâu là bộ công cụ phòng chống Phishing hiệu quả
  • Kỹ thuật phishing

Nội dung liên quan: