Trong bối cảnh làm việc từ xa ngày càng phổ biến, các hình thức lừa đảo trực tuyến, đặc biệt là lừa đảo phishing, cũng trở nên tinh vi và khó lường hơn bao giờ hết. Phishing không chỉ đe dọa dữ liệu cá nhân mà còn tiềm ẩn nguy cơ nghiêm trọng đối với an ninh thông tin và hoạt động kinh doanh của doanh nghiệp. Với kinh nghiệm gần một thập kỷ làm việc từ xa, tôi hiểu rõ tầm quan trọng của việc cảnh giác và chủ động bảo vệ bản thân cùng công việc khỏi những chiêu trò của tội phạm mạng. Bài viết này sẽ cung cấp cho bạn những kiến thức và chiến lược cần thiết để nhận diện, phòng tránh và đối phó hiệu quả với các cuộc tấn công lừa đảo phishing trong môi trường làm việc từ xa đầy biến động.
1. Luôn Cập Nhật Các Kiểu Lừa Đảo Phishing Mới Nhất
Kiến thức chính là sức mạnh tối thượng trong việc bảo vệ doanh nghiệp của bạn khỏi tội phạm mạng. Nếu bạn biết mình đang tìm kiếm điều gì, chỉ cần lướt qua một email đáng ngờ hoặc một tin nhắn SMS mập mờ cũng đủ để chuông báo động trong đầu bạn vang lên.
Các chiêu trò lừa đảo qua email cổ điển, nơi kẻ gian giả mạo ngân hàng của bạn để đánh cắp dữ liệu, tương đối dễ nhận diện. Chắc hẳn bạn đã không ít lần trở thành mục tiêu của những cuộc tấn công “bắn súng” ngẫu nhiên này.
Tuy nhiên, với tư cách là một người làm việc từ xa, bạn sẽ cần trở thành bậc thầy trong việc nhận diện lừa đảo có chủ đích (spear phishing). Loại hình này tinh vi hơn nhiều vì thường chứa thông tin cụ thể về bạn hoặc công ty của bạn. Nói cách khác, tin tặc đã tiến hành nghiên cứu kỹ lưỡng và do đó có thể xuất hiện thuyết phục hơn.
Ngoài spear phishing, bạn cũng có thể gặp phải lừa đảo giả mạo (clone phishing), nơi bạn nhận được bản sao của các thông tin liên lạc hợp pháp nhưng được thêm thắt các tệp đính kèm hoặc liên kết nguy hiểm.
Đáng tiếc, trí tuệ nhân tạo (AI) đã khiến mọi thứ trở nên đáng sợ hơn, bao gồm cả lừa đảo qua giọng nói (vishing). Trước đây, kẻ lừa đảo sẽ gọi điện cho bạn và giả vờ là người hợp pháp. Giờ đây, chúng thực sự có thể sao chép giọng nói (và hình ảnh qua video deepfake) của một người trong tổ chức của bạn.
Bạn nên làm quen với tất cả các kỹ thuật này, vì điều đó có thể giúp bạn suy nghĩ kỹ trước khi nhấp vào một liên kết trong một email tưởng chừng an toàn từ đồng nghiệp.
2. Học Cách Nhận Diện Lừa Đảo Phishing Chuyên Nghiệp
Việc học cách phát hiện lừa đảo phishing tương đối đơn giản. Điều đầu tiên bạn nên xem xét là địa chỉ email của người gửi. Trong hầu hết các trường hợp, bạn sẽ nhận thấy rằng mặc dù nó rất giống với địa chỉ của một tổ chức chính thức (hoặc một thành viên trong nhóm), nhưng một số chữ cái có thể bị thay thế bằng ký hiệu tương tự, hoặc một trong các chữ cái có thể bị bỏ sót hoàn toàn.
Đối với tôi, dấu hiệu lớn nhất của lừa đảo phishing thường là ngôn ngữ tạo ra cảm giác khẩn cấp. Tội phạm mạng đang cố gắng lợi dụng những người có thể thiếu kinh nghiệm trong việc nhận diện các chiêu trò lừa đảo và do đó, chúng tạo ra các kịch bản yêu cầu bạn hành động nhanh chóng mà không cần suy nghĩ.
Ngày xưa, email lừa đảo phishing thường có rất nhiều lỗi ngữ pháp và lỗi chính tả. Ngày nay, tội phạm mạng thường sử dụng các mô hình ngôn ngữ AI để tạo ra văn bản trau chuốt hơn, đủ tốt để lừa hầu hết những cá nhân không cảnh giác. Từ khóa ở đây là “đủ tốt”.
Bạn có thể nhận diện các cuộc tấn công lừa đảo do AI cung cấp bởi luồng câu văn không tự nhiên. Cũng phổ biến khi văn bản trong email quá trang trọng hoặc quá hoàn hảo và thiếu đi sự chạm đến con người, điều vốn là dấu ấn của hầu hết các thông tin liên lạc liên quan đến công việc.
Dưới đây là một ví dụ về email được tạo bằng Gemini của Google:
Ví dụ email lừa đảo phishing do AI tạo ra giả mạo đồng nghiệp
Nhìn qua thì có vẻ ổn, nhưng sẽ lộ rõ sau khi kiểm tra kỹ lưỡng. Nếu bạn nhận được một email tương tự, hãy liên hệ trực tiếp với người được cho là đã gửi nó để làm rõ mọi sự nhầm lẫn thay vì mạo hiểm bất kỳ rủi ro nào.
Với việc sao chép giọng nói và deepfake, mọi thứ phức tạp hơn một chút. Tin tốt là hầu hết tội phạm mạng đều muốn kiếm tiền nhanh chóng, nên việc sao chép giọng nói và hình ảnh của quản lý của bạn có thể đòi hỏi quá nhiều nỗ lực. Do đó, hầu hết chúng ta sẽ không bao giờ phải đối phó với loại hình lừa đảo này. Tuy nhiên, mặc dù cơ hội là rất nhỏ, nhưng không bao giờ bằng không, vì vậy bạn chắc chắn nên nắm vững các kiến thức cơ bản.
Ví dụ, việc sao chép giọng nói nghe có vẻ thuyết phục, nhưng hiện tại, vẫn có thể nhận thấy các lỗi kỹ thuật số khiến người nói nghe giống robot. Nhịp điệu của lời nói và những biến đổi nhỏ trong giọng nói sẽ bị sai lệch mặc dù âm sắc nghe rất giống.
Điều tương tự cũng áp dụng cho việc phát hiện deepfake, nơi bạn có thể nhận thấy các điểm không hoàn hảo như chuyển động giật cục hoặc khớp môi bị lỗi. Dù sao, bạn đủ hiểu đồng nghiệp của mình để quen thuộc với các kiểu giao tiếp của họ, vì vậy bất cứ điều gì có vẻ bất thường đều phải là một dấu hiệu cảnh báo lớn đối với bạn.
3. Suy Nghĩ Kỹ Trước Khi Nhấp Chuột Hoặc Tải Tệp Đính Kèm
Có thể gọi tôi là người đa nghi, nhưng bất cứ khi nào tôi nhận được một liên kết trong email (ngay cả từ một địa chỉ quen thuộc), tôi luôn kiểm tra nó bằng cách di chuột qua đó. Bạn cũng nên làm như vậy – nhưng bạn nên tìm kiếm điều gì?
Đầu tiên, hãy kiểm tra tên miền (hay còn gọi là phần đầu tiên của liên kết). Tương tự như cách kẻ lừa đảo cố gắng làm cho địa chỉ email có vẻ hợp pháp, chúng cũng làm điều tương tự với tên miền trong các liên kết mà chúng gửi cho bạn. Hãy tìm các lỗi chính tả, dấu gạch nối, và các chữ cái bị thiếu hoặc thừa.
Mục đích của lừa đảo phishing là đánh cắp thông tin đăng nhập của bạn hoặc khiến bạn tải xuống phần mềm độc hại, vì vậy liên kết sẽ cố gắng bắt chước một dịch vụ hợp pháp.
Tương tự, bạn nên cảnh giác với bất kỳ tệp đính kèm nào. Điều này bao gồm các tệp thực thi (.exe) và các tệp nén (.zip, .rar) mà tội phạm mạng rất thích vì dễ dàng ẩn mã độc, cũng như các tài liệu Microsoft Office hiện cho phép tin tặc thiết lập các kịch bản và macro hoạt động tương tự như các tệp .exe.
4. Đặc Biệt Cảnh Giác Với Wi-Fi Công Cộng
Điều tuyệt vời nhất khi làm việc từ xa là bạn có thể mang công việc của mình đi bất cứ đâu. Mặc dù điều này rất tốt cho sức khỏe tinh thần của bạn, nhưng nó có thể nguy hiểm về mặt an ninh mạng, chủ yếu là do lừa đảo Wi-Fi hoặc giả mạo Wi-Fi.
Trong kịch bản này (thường được gọi là tấn công trung gian – man-in-the-middle attack), tin tặc tạo ra một mạng lưới song sinh của một điểm truy cập Wi-Fi thực tế ở nơi công cộng. Sau đó, chúng chỉ cần đợi nạn nhân của mình thiết lập kết nối để xem mọi thứ họ làm trực tuyến, bao gồm cả bất kỳ thông tin đăng nhập nào.
Có rất nhiều điều bạn nên sắp xếp nếu bạn định làm việc tại các quán cà phê và những nơi công cộng khác như thư viện, chủ yếu là về an ninh mạng. Để tránh trở thành nạn nhân của việc giả mạo Wi-Fi, tốt nhất là nên tránh hoàn toàn Wi-Fi công cộng, đặc biệt nếu bạn đang xử lý dữ liệu nhạy cảm của công ty. Ví dụ, tôi luôn mang theo một điểm phát sóng di động hoặc sử dụng tính năng chia sẻ kết nối (tethering) để giảm thiểu rủi ro và tránh tắc nghẽn lưu lượng truy cập.
Nếu bạn tuyệt đối muốn sử dụng mạng công cộng, bạn nên cài đặt VPN trước để đảm bảo an toàn.
5. Sử Dụng Phần Mềm Hỗ Trợ Chống Lừa Đảo Phishing Hiệu Quả
Tại sao phải tự mình đối phó khi luôn có phần mềm có thể hỗ trợ bạn? Ví dụ, phiên bản cao cấp của Malwarebytes có thể nâng cao đáng kể bảo mật trực tuyến của bạn và bảo vệ bạn không chỉ khỏi phần mềm độc hại mà còn khỏi lừa đảo phishing.
Với tính năng quét thời gian thực, Malwarebytes phân tích các email đến và tự động chặn chúng nếu nhận diện bất kỳ điều gì đáng ngờ. Nó cũng phân tích các liên kết trong email để kiểm tra xem chúng có an toàn không, cùng với việc xem xét kỹ nội dung của các tin nhắn. Malwarebytes còn có thể xác minh xem người gửi email có đáng tin cậy không bằng cách đối chiếu thông tin của họ với các dữ liệu có sẵn. Do đó, nó cũng là một công cụ mạnh mẽ chống lại việc giả mạo email.
Giao diện phần mềm Malwarebytes hiển thị các tính năng bảo vệ khỏi lừa đảo phishing
Mặc dù đây là một bước tùy chọn, nhưng nó bổ sung thêm một lớp bảo vệ chống lại số lượng lừa đảo phishing ngày càng tăng và cũng giảm bớt khối lượng công việc “chống phishing” của bạn.
Bằng cách thực hành cẩn trọng trong công việc và kiểm tra kỹ lưỡng các liên kết cùng tệp đính kèm trong email, bạn sẽ tránh trở thành con mồi của một vụ lừa đảo phishing. Mặc dù sự xuất hiện của AI không giúp ích gì, nhưng những quy tắc cơ bản vẫn áp dụng: luôn cảnh giác, không mắc bẫy các chiến thuật gây áp lực cao, nghi ngờ mọi thứ, và AI sẽ không thể làm gì được bạn!
