Smishing là gì?
Smishing là hình thức tấn công phi kỹ thuật thông qua SMS (dịch vụ nhắn tin ngắn). Tin nhắn văn bản có thể chứa các liên kết như trang web độc hại, địa chỉ, email hoặc số điện thoại. Khi người dùng nhấn vào liên kết có thể tự động mở cửa sổ trình duyệt. Việc kết hợp cuộc gọi, email, SMS và website làm tăng khả năng người dùng trở thành nạn nhân của các hoạt động lừa đảo.
Các hình thức Smishing phổ biến
Phương thức lừa đảo của Smishing không mấy mới lạ: lừa người dùng nhấp vào link độc hại hoặc tạo tin giả để moi thông tin từ người dùng. Có 3 lý do khiến người dùng trở thành nạn nhân của Smishing:
- Smishing sử dụng tin nhắn SMS – phương thức liên lạc phổ biến và hợp pháp của nhiều cá nhân, tổ chức. SMS có xu hướng tạo ra tác động và phản ứng người dùng lớn hơn email, bởi vì thực tế, có được số điện thoại (SĐT) cá nhân của một người khó hơn là email của họ.
- Nhờ nỗ lực ngăn chặn spam mail của các nhà cung cấp dịch và sự tăng cường nhận thức từ người dùng, việc lừa đảo qua email hoặc robocall đã không còn hiệu quả như trước nữa. Trong khi đó, Smishing vẫn còn là chiêu thức lừa đảo mới, chưa được nhiều người nhận biết.
- Nội dung tin nhắn Smishing thường đánh vào những niềm tin hoặc nỗi sợ hãi có khả năng thúc đẩy người dùng hành động nhất. Do đó, dù không mắc lừa thì người dùng cũng ít nhiều bị gây hoang mang bởi Smishing.
Một số nội dung tin nhắn Smishing phổ biến
- Thông báo rằng người dùng đã ký thanh toán một giao dịch nào đó, tài khoản của người dùng sẽ bị trừ tiền ngay nếu như không trả lời/thực hiện theo yêu cầu trong tin nhắn.
- Thông báo rằng có một cá nhân/đơn vị nào đó đang muốn charge thẻ của người dùng, và bộ phận bảo mật muốn xác nhận thông tin trước khi thực hiện giao dịch.
- Thông báo phát hiện đăng nhập đáng ngờ từ tài khoản của người dùng, yêu cầu người dùng nhấp vào link xác nhận nếu không thực hiện đăng nhập đó.
Nhận biết thư điện tử lừa đảo
– Địa chỉ email: Đối tượng tấn công thường sử dụng địa chỉ email gần giống với email của cơ quan, tổ chức hợp pháp bằng cách bỏ qua, hoặc thay đổi một vài ký tự trong địa chỉ email.
– Lời chào: Nhóm tấn công mạng thường sử dụng những lời chào chung như “Kính gửi Quý khách hàng” hoặc “Thưa Ông/Bà”. Việc thiếu thông tin liên hệ là những dấu hiệu rõ nhất để nhận biết một email lừa đảo. Một cơ quan, tổ chức đáng tin cậy sẽ gọi cá nhân cụ thể bằng tên và cung cấp thông tin liên hệ của họ.
– Liên kết giả mạo: Các email có liên kết và liên kết đính kèm không khớp với nội dung trong email buộc người dùng phải nhấn vào link để cung cấp thông tin có thể là dấu hiệu của một trang web giả mạo. Đối tượng tấn công có thể sử dụng dịch vụ rút ngắn URL (địa chỉ đường dẫn đến website), hoặc thay đổi ký tự có trong liên kết đó.
– Chính tả và bố cục: Lỗi chính tả, cấu trúc ngữ pháp và định dạng không nhất quán là dấu hiệu khác cho thấy một email lừa đảo.
– Tập tin đính kèm: Email chứa tập tin đính kèm yêu cầu người dùng tải xuống và mở tập tin, có thể chứa các phần mềm độc hại trong đó. Đối tượng tấn công có thể lợi dụng cảm giác hoang mang, lo sợ để thuyết phục người dùng tải xuống tập tin đính kèm mà không cần kiểm tra trước.
Tương tự như thư điện tử giả mạo, các tin nhắn lừa đảo cũng gây ra cho người dùng rất nhiều phiền toái. Các đối tượng tấn công sẽ gửi tin nhắn SMS đến người dùng với nhiều nội dung như:
– Thông báo trúng thưởng (ví dụ: Bạn đã trúng thưởng một xe SH hãy nhắn tin, gọi tới số 6XXX và truy cập đường link…), hoặc tài khoản ngân hàng gặp sự cố và cần giải quyết trong thời gian ngắn nhất. Đối tượng tấn công có thể sử dụng tên thương hiệu, tên ngân hàng (sms brandname) và gắn kèm liên kết dẫn đến trang web giả mạo, liên kết này có tên gần giống với trang web chính thức của các thương hiệu, ngân hàng.
– Đối tượng tấn công có thể giả mạo công an gửi tin nhắn truy nã, lệnh bắt giữ để yêu cầu người dùng cung cấp căn cước công dân, số điện thoại, các thông tin cá nhân có liên quan… và yêu cầu thực hiện theo hướng dẫn của chúng. Khi liên hệ làm việc, các cơ quan chức năng sẽ không thông qua tin nhắn, cuộc gọi, hay bất kỳ hình thức làm việc trực tuyến nào.
Cách phòng tránh Smishing
- Cảnh giác với các tin nhắn được gửi đến từ những nguồn không xác định
Bạn hãy kiểm tra kỹ SĐT của người gửi khi nhận được tin nhắn lạ bằng cách thử tra cứu SĐT đó trên các trang tìm kiếm, diễn đàn và mạng xã hội. Tốt nhất là bạn nên phớt lờ các SĐT lạ với nội dung đáng nghi hoặc chờ đến khi có xác nhận rõ ràng rồi mới trả lời.
- Tự tiến hành “xác thực hai yếu tố” khi nhận được các tin nhắn có liên quan đến tài khoản ngân hàng, thẻ tín dụng hoặc tài khoản sử dụng trên các mạng xã hội
Một khi có ý định lừa tín dụng hoặc thông tin cá nhân của người dùng, bọn tội phạm sẽ tìm cách hợp thức hoá ID sao cho chúng trông có vẻ “hợp pháp” nhất có thể. Vì vậy, khi nhận được các tin nhắn có nội dung yêu cầu cung cấp/xác nhận tài khoản, bạn hãy tiến hành kiểm tra và cập nhật ngay trên chính trang chủ của dịch vụ.
Nếu là vấn đề về tài khoản tín dụng, hãy liên hệ trực tiếp với nhà cung cấp dịch vụ tài chính của bạn thông qua địa chỉ liên hệ chính thức đã được xác thực. Tuyệt đối không nhấp vào liên kết hoặc thực hiện các yêu cầu trong tin nhắn chưa được xác minh.
- Tự kiểm tra bằng các thông tin cá nhân
Nếu người gửi tin nhắn hỏi về thông tin cá nhân là người thân và bạn bè của bạn, tốt nhất là bạn nên gọi điện hoặc tìm cách nói chuyện trực tiếp với họ. Nếu không thể liên lạc trực tiếp, hãy hỏi họ những câu hỏi mà chỉ hai người mới biết câu trả lời để xác minh. Để đảm bảo an toàn tuyệt đối, bạn nên yêu cầu người đó gọi điện thoại cho bạn và ghi chú lại thông tin thay vì hồi đáp bằng tin nhắn.
- Không xác minh bằng cách trả lời tin nhắn
Nhiều người dùng trở thành nạn nhân của Smishing vì đã gửi tin nhắn phản hồi để xác nhận danh tính người gửi. Trên thực tế, việc trả lời tin nhắn cũng có thể mở đường cho virus và phần mềm độc hại thâm nhập vào điện thoại. Vậy nên tốt nhất bạn hãy tránh hoàn toàn việc phản hồi các tin nhắn lạ nhé!
Khám phá những bí mật về cách tội phạm mạng khai thác Smishing
Người dùng đang thực hiện rất nhiều nỗ lực để bảo vệ điện thoại thông minh của mình, ví dụ như mật mã, thiết bị scan dấu vân tay hay thậm chí là tính năng nhận dạng khuôn mặt. Giống như hệ thống an ninh của một chiếc xe hơi, người dùng cho rằng các biện pháp này giúp ngăn chặn kẻ xấu và giúp dữ liệu cá nhân trở nên an toàn. Nhưng khi ai đó trở thành nạn nhân của Smishing, họ sẵn sàng trao cho những kẻ lừa đảo bất cứ thứ gì và không nhận thức được điều đó.
Công ty NordVPN gần đây đã xuất bản một báo cáo nhằm cố gắng nâng cao nhận thức cho mọi người, về việc vấn đề vi phạm bảo mật đã trở nên nghiêm trọng như thế nào. Báo cáo gọi đó là Smishing hoặc SMS phishing. Giám đốc truyền thông của NordVPN, bà Ruby Gonzalez cho biết: “Một vài kỹ thuật Phishing cũ được áp dụng cho tin nhắn văn bản trên điện thoại di động thay vì email. Trong khi điện thoại thông minh đang ngày càng trở nên phổ biến, thì việc sử dụng email cá nhân đang có xu hướng giảm đi. Điều này không chỉ đề cập đến các tin nhắn văn bản, mà còn cả tin nhắn Facebook, v.v… Mọi người đã quen với việc nhận được những lời đề nghị được gửi qua tin nhắn, bao gồm cả các liên kết. Nhưng đó cũng là một con đường mới và rộng mở hơn cho bọn tội phạm và chúng đang cố gắng khai thác tối đa lợi thế này”.
Bà Gonzalez nói rằng, giống như cách thu thập hàng loạt tài khoản email, tội phạm mạng lấy số điện thoại từ cơ sở dữ liệu trên các trang web đen và sau đó cố gắng dụ nạn nhân chia sẻ dữ liệu cá nhân.
Hình thức phổ biến nhất của kiểu lừa đảo này là một tin nhắn văn bản có chứa liên kết tự động tải phần mềm độc hại, sau đó phần mềm độc hại có thể đánh cắp tất cả các loại dữ liệu khác nhau. Điện thoại thông minh tiết lộ thông tin về người dùng nhiều hơn PC, do đó, một phần mềm độc hại được cài đặt có thể đánh cắp các số điện thoại trong danh sách liên lạc của nạn nhân và lây lan virus với hy vọng số lượng mục tiêu có thể nhân lên theo cấp số nhân. Ngay cả các dữ liệu cá nhân quan trọng, như thông tin ngân hàng hoặc vị trí của người dùng, cũng có thể gặp rủi ro.
Một chiến thuật khác là giả mạo một tổ chức hợp pháp và nổi tiếng (một phương pháp khá cổ điển). Trong một số trường hợp, những kẻ lừa đảo giả mạo là cơ quan thuế. Việc này đang trở thành một vấn đề ngày càng đáng lo ngại ở Anh và Canada. Bà Gonzalez lưu ý, trong những giai đoạn việc thu thuế diễn ra theo quy định, những kiểu tấn công này trở nên cực kỳ phổ biến. Thực tế là một tin nhắn văn bản thường mang lại cảm giác an toàn, vì nhiều người không biết tin nhắn văn bản có thể là một mối đe dọa bảo mật nghiêm trọng.
Bà Gonzalez nói: “Những kẻ lừa đảo nói với nạn nhân rằng đã đến hạn phải hoàn thuế hoặc cần cung cấp thêm một số thông tin cho cơ quan thuế. Về cơ bản, chúng cố gắng lấy những thông tin tài chính từ nạn nhân, và dùng thông tin này để đánh cắp tiền trong tài khoản của nạn nhân.”
Tin nhắn văn bản tự động đang phổ biến hơn bao giờ hết. Và người dùng cũng đang dần quen với các tin nhắn tự động. Điều này vô tình mở ra cơ hội rất lớn cho những kẻ lừa đảo.
Việc trả lời các tin nhắn lừa đảo sẽ khiến bạn gặp nguy hiểm. Ở Mỹ, Gonzalez đã đề cập đến các shortcode như một chiến thuật thường được khai thác. Chúng thường được sử dụng bởi các tổ chức như tổ chức từ thiện, để gửi văn bản trực tiếp đến những người ủng hộ và cho phép họ quyên góp tiền chỉ bằng một câu trả lời ngắn gọn. Những kẻ lừa đảo đã sử dụng chính hệ thống đó để đánh cắp tiền khỏi tài khoản ngân hàng của nạn nhân ngay lập tức.
Vấn nạn này đang phổ biến hơn nhiều so với những gì mọi người tưởng tượng. Theo Gonzalez, ở Anh, cứ 3 người thì có 1 người trở thành nạn nhân của Phishing trong 6 tháng qua. Thống kê cũng cho biết cứ khoảng 5 người thì có 2 người từng báo cáo về một vụ lừa đảo, có nghĩa là con số thực thậm chí còn tồi tệ hơn.
********************
Đăng bởi: Trường THPT Ngô Thì Nhậm
Chuyên mục: Tổng hợp
