Là một người đã có kinh nghiệm làm việc từ xa gần một thập kỷ, tôi tự hào rằng mình chưa từng trở thành nạn nhân của một vụ lừa đảo phishing nào – và tôi quyết tâm duy trì điều đó. Mặc dù các hình thức tấn công phishing ngày nay đã trở nên tinh vi hơn bao giờ hết, nhưng bạn vẫn hoàn toàn có thể bảo vệ bản thân và công việc của mình bằng cách thực hiện các biện pháp phòng ngừa cần thiết. Trong bài viết này, thuthuatdidong.net sẽ chia sẻ những bí quyết cốt lõi giúp bạn cảnh giác và an toàn trước những mối nguy tiềm ẩn này.
1. Luôn Cập Nhật Thông Tin Về Các Chiêu Trò Phishing Mới Nhất
Kiến thức chính là sức mạnh tối thượng khi nói đến việc bảo vệ doanh nghiệp của bạn khỏi tội phạm mạng. Nếu bạn biết mình đang tìm kiếm điều gì, chỉ cần một cái liếc nhanh qua email hoặc tin nhắn SMS đáng ngờ cũng đủ để chuông báo động nội bộ của bạn reo vang.
Các vụ lừa đảo email cổ điển, nơi kẻ gian giả mạo ngân hàng của bạn để đánh cắp dữ liệu, tương đối dễ nhận biết. Chắc chắn bạn đã từng là mục tiêu của nhiều cuộc tấn công ngẫu nhiên qua các phương pháp “phát tán rộng rãi” kiểu này.
Tuy nhiên, với tư cách là người làm việc từ xa, bạn cũng cần trở thành bậc thầy trong việc nhận diện spear phishing. Kiểu tấn công này phức tạp hơn nhiều vì nó thường bao gồm các thông tin cụ thể về bạn hoặc công ty của bạn. Nói cách khác, tin tặc đã tiến hành nghiên cứu kỹ lưỡng và do đó có thể xuất hiện đáng tin cậy hơn.
Cùng với spear phishing, bạn cũng có thể gặp phải clone phishing, nơi bạn sẽ nhận được các bản sao của các thông tin liên lạc hợp pháp nhưng được thêm vào các tệp đính kèm hoặc liên kết nguy hiểm.
Thật không may, trí tuệ nhân tạo (AI) đã khiến mọi thứ trở nên đáng sợ hơn, bao gồm cả lừa đảo qua giọng nói (vishing). Trước đây, kẻ lừa đảo sẽ gọi điện và giả danh người hợp pháp. Giờ đây, chúng thực sự có thể sao chép giọng nói (và hình ảnh qua video deepfake) của một người trong tổ chức của bạn.
Bạn nên làm quen với tất cả các kỹ thuật này, vì chúng có thể giúp bạn suy nghĩ kỹ hơn trước khi nhấp vào một liên kết trong một email tưởng chừng an toàn từ đồng nghiệp.
2. Nắm Vững Kỹ Năng Nhận Diện Phishing
Học cách phát hiện phishing tương đối đơn giản. Điều đầu tiên bạn nên xem xét là địa chỉ email của người gửi. Trong hầu hết các trường hợp, bạn sẽ nhận thấy rằng mặc dù địa chỉ này gần giống với một tổ chức chính thức (hoặc một thành viên trong nhóm), nhưng một số chữ cái có thể được hoán đổi bằng một ký hiệu tương tự, hoặc một trong các chữ cái có thể bị bỏ qua hoàn toàn.
Đối với tôi, dấu hiệu lớn nhất của phishing thường là ngôn ngữ tạo ra một không khí khẩn cấp. Tội phạm mạng đang cố gắng lợi dụng những người có thể không có kinh nghiệm nhận diện lừa đảo và do đó, tạo ra các kịch bản yêu cầu bạn hành động nhanh chóng mà không cần suy nghĩ.
Trước đây, email phishing thường chứa đầy lỗi ngữ pháp và lỗi chính tả. Ngày nay, tội phạm mạng thường sử dụng các mô hình ngôn ngữ AI để tạo ra văn bản trau chuốt hơn, đủ tốt để lừa gạt hầu hết những cá nhân không cảnh giác. Từ khóa ở đây là “đủ tốt”.
Bạn có thể nhận diện các cuộc tấn công phishing do AI thúc đẩy bởi sự thiếu tự nhiên trong cách các câu văn được sắp xếp. Cũng phổ biến là văn bản trong email quá trang trọng hoặc quá hoàn hảo và thiếu đi sự chạm của con người – một đặc điểm của hầu hết các giao tiếp liên quan đến công việc.
Dưới đây là một ví dụ về email tôi tạo bằng Google Gemini:
Ví dụ về email phishing được tạo bởi AI từ một đồng nghiệp giả mạo
Nhìn qua thì có vẻ ổn, nhưng sẽ lộ rõ khi kiểm tra kỹ. Nếu bạn từng nhận được một email tương tự, hãy liên hệ trực tiếp với người được cho là đã gửi nó để làm rõ mọi sự nhầm lẫn thay vì mạo hiểm bất kỳ rủi ro nào.
Với việc sao chép giọng nói và deepfake, mọi thứ phức tạp hơn một chút. Tin tốt là hầu hết tội phạm mạng đều muốn kiếm tiền nhanh chóng, nên việc sao chép giọng nói và hình ảnh của quản lý bạn có thể đòi hỏi quá nhiều nỗ lực. Do đó, hầu hết chúng ta sẽ không bao giờ phải đối phó với loại phishing này. Tuy nhiên, mặc dù cơ hội thấp nhưng không bao giờ bằng không, vì vậy bạn chắc chắn nên nắm vững những kiến thức cơ bản.
Ví dụ, sao chép giọng nói nghe có vẻ thuyết phục, nhưng hiện tại, vẫn có thể nhận thấy các “dị vật” kỹ thuật số khiến người nói nghe giống robot. Nhịp điệu của lời nói và những biến đổi nhỏ trong giọng điệu sẽ bị lệch dù âm sắc rất giống.
Điều tương tự cũng áp dụng cho việc phát hiện deepfake, nơi bạn có thể nhận thấy những điểm không hoàn hảo như chuyển động giật cục hoặc khẩu hình môi không khớp. Dù bằng cách nào, bạn cũng đã đủ quen thuộc với đồng nghiệp của mình để nhận biết các mẫu hành vi của họ, vì vậy bất cứ điều gì có vẻ bất thường đều là một dấu hiệu cảnh báo lớn.
3. Luôn Suy Nghĩ Kỹ Trước Khi Nhấp Chuột
Hãy gọi tôi là người đa nghi, nhưng bất cứ khi nào tôi nhận được một liên kết trong email (ngay cả từ một địa chỉ quen thuộc), tôi luôn kiểm tra nó bằng cách di chuột qua liên kết đó. Bạn cũng nên làm như vậy – nhưng bạn nên tìm kiếm điều gì?
Đầu tiên, hãy kiểm tra tên miền (còn gọi là phần đầu tiên của liên kết). Tương tự như cách kẻ lừa đảo cố gắng làm cho địa chỉ email có vẻ hợp pháp, chúng cũng làm điều tương tự với tên miền trong các liên kết mà chúng gửi cho bạn. Hãy tìm các lỗi chính tả, dấu gạch nối, và các chữ cái bị thiếu hoặc thừa. Mục đích của phishing là đánh cắp thông tin đăng nhập của bạn hoặc khiến bạn tải xuống phần mềm độc hại, vì vậy liên kết sẽ cố gắng bắt chước một dịch vụ hợp pháp.
Một người dùng đang kiểm tra kỹ lưỡng liên kết trong email
Tương tự, bạn nên cảnh giác với bất kỳ tệp đính kèm nào. Điều này bao gồm các tệp thực thi (.exe) và tệp nén (.zip, .rar) mà tội phạm mạng rất ưa thích vì dễ dàng ẩn phần mềm độc hại, cũng như các tài liệu Microsoft Office mà giờ đây cho phép tin tặc thiết lập các tập lệnh và macro hoạt động tương tự như tệp .exe.
4. Đặc Biệt Cảnh Giác Khi Sử Dụng Wi-Fi Công Cộng
Điều tuyệt vời nhất khi làm việc từ xa là bạn có thể mang công việc của mình đi khắp mọi nơi. Mặc dù điều này rất tốt cho sức khỏe tinh thần của bạn, nhưng nó có thể nguy hiểm về mặt an ninh mạng, chủ yếu do Wi-Fi phishing hoặc Wi-Fi spoofing.
Trong kịch bản này (thường được gọi là tấn công man-in-the-middle), tin tặc tạo ra một mạng lưới song sinh của một điểm truy cập Wi-Fi thực tế ở nơi công cộng. Sau đó, chúng chỉ cần đợi nạn nhân thiết lập kết nối để xem mọi thứ họ làm trực tuyến, bao gồm cả thông tin đăng nhập.
Có rất nhiều điều bạn nên sắp xếp nếu bạn định làm việc tại các quán cà phê và những nơi công cộng khác như thư viện, chủ yếu là về mặt an ninh mạng. Để tránh trở thành nạn nhân của Wi-Fi spoofing, tốt nhất là bạn nên tránh hoàn toàn Wi-Fi công cộng, đặc biệt nếu bạn đang xử lý dữ liệu nhạy cảm của công ty. Ví dụ, tôi luôn mang theo một điểm truy cập di động hoặc sử dụng tính năng tethering để giảm thiểu rủi ro và tránh tắc nghẽn lưu lượng. Nếu bạn nhất quyết phải sử dụng mạng công cộng, bạn nên cài đặt một VPN trước để đảm bảo an toàn.
5. Sử Dụng Phần Mềm Hỗ Trợ Phòng Chống Phishing
Tại sao phải một mình chống chọi khi luôn có phần mềm có thể giúp bạn? Ví dụ, phiên bản trả phí của Malwarebytes có thể nâng cao đáng kể bảo mật trực tuyến của bạn và bảo vệ bạn không chỉ khỏi phần mềm độc hại mà còn cả phishing.
Với khả năng quét theo thời gian thực, Malwarebytes phân tích các email đến và tự động chặn chúng nếu nó nhận ra bất kỳ điều gì đáng ngờ. Nó cũng phân tích các liên kết trong email để kiểm tra xem chúng có an toàn không, cùng với việc kiểm tra nội dung của chính các tin nhắn. Malwarebytes cũng có thể xác minh xem người gửi email có phải là thật hay không bằng cách đối chiếu chi tiết của họ với thông tin có sẵn. Do đó, nó cũng là một công cụ mạnh mẽ chống lại email spoofing.
Mặc dù đây là một bước tùy chọn, nhưng nó thực sự bổ sung thêm một lớp phòng thủ nữa chống lại số lượng ngày càng tăng của các vụ lừa đảo phishing và cũng giảm bớt khối lượng công việc “chống lừa đảo” của bạn.
Bằng cách thực hành sự cẩn trọng trong công việc và phân tích kỹ các liên kết, tệp đính kèm trong email, bạn sẽ tránh trở thành con mồi của một vụ lừa đảo phishing. Đúng là việc AI được thêm vào cuộc chơi không giúp ích gì, nhưng những quy tắc tương tự vẫn áp dụng – hãy luôn cảnh giác, đừng mắc lừa các chiến thuật áp lực cao, hãy đặt câu hỏi cho mọi thứ, và AI sẽ không thể làm gì được bạn!
Bạn có bất kỳ kinh nghiệm hay mẹo nào khác để phòng chống lừa đảo phishing không? Hãy chia sẻ ý kiến của bạn trong phần bình luận bên dưới! Đừng quên theo dõi thuthuatdidong.net để cập nhật thêm các bản tin và hướng dẫn bảo mật công nghệ mới nhất.
