Là một người đã làm việc từ xa gần một thập kỷ, tôi chưa từng trở thành nạn nhân của bất kỳ vụ lừa đảo phishing nào – và tôi quyết tâm duy trì điều đó. Mặc dù các chiêu trò lừa đảo phishing ngày càng tinh vi hơn, bạn vẫn có thể giữ an toàn cho bản thân và công việc của mình bằng cách thực hiện sự cảnh giác cần thiết. Việc trang bị kiến thức về các loại hình tấn công mạng, đặc biệt là lừa đảo phishing, sẽ giúp bạn xây dựng một lá chắn vững chắc, đảm bảo an toàn thông tin cá nhân và dữ liệu doanh nghiệp trong môi trường làm việc từ xa ngày càng phổ biến.
1. Nắm Bắt Các Kiểu Tấn Công Lừa Đảo Phishing Mới Nhất
Kiến thức thực sự là sức mạnh khi nói đến việc bảo vệ doanh nghiệp của bạn khỏi tội phạm mạng. Nếu bạn biết mình đang tìm kiếm điều gì, chỉ cần lướt qua một email hoặc tin nhắn SMS đáng ngờ cũng đủ để chuông cảnh báo nội bộ của bạn reo lên. Các chiêu lừa đảo email cổ điển, nơi kẻ gian giả mạo ngân hàng của bạn để đánh cắp dữ liệu, tương đối dễ nhận diện. Có lẽ bạn đã từng là mục tiêu của rất nhiều kiểu tấn công dàn trải này.
Tuy nhiên, với tư cách là một người làm việc từ xa, bạn cũng cần trở thành chuyên gia trong việc nhận biết spear phishing. Đây là loại hình phức tạp hơn nhiều vì nó thường bao gồm thông tin cụ thể về bạn hoặc công ty của bạn. Nói cách khác, tin tặc đã nghiên cứu kỹ lưỡng và do đó có thể xuất hiện thuyết phục hơn.
Cùng với spear phishing, bạn cũng có thể gặp phải clone phishing, khi bạn nhận được bản sao của các thông tin liên lạc hợp pháp nhưng được thêm vào các tệp đính kèm hoặc liên kết nguy hiểm.
Thật không may, trí tuệ nhân tạo (AI) đã khiến mọi thứ trở nên đáng sợ hơn, bao gồm cả lừa đảo qua giọng nói (vishing). Trước đây, kẻ lừa đảo sẽ gọi điện cho bạn và giả vờ là người hợp pháp. Giờ đây, chúng thực sự có thể sao chép giọng nói (và hình ảnh thông qua video deepfake) của một ai đó trong tổ chức của bạn. Bạn nên quen thuộc với tất cả các kỹ thuật này, vì chúng có thể giúp bạn suy nghĩ kỹ trước khi nhấp vào một liên kết trong một email tưởng chừng an toàn từ đồng nghiệp.
2. Kỹ Năng Nhận Diện Các Dấu Hiệu Lừa Đảo
Học cách nhận diện lừa đảo phishing tương đối đơn giản. Điều đầu tiên bạn nên xem xét là địa chỉ email của người gửi. Trong hầu hết các trường hợp, bạn sẽ nhận thấy rằng mặc dù nó trông rất giống địa chỉ của một tổ chức chính thức (hoặc một thành viên trong nhóm), nhưng một số chữ cái có thể được thay thế bằng ký hiệu tương tự, hoặc một trong các chữ cái có thể bị bỏ qua hoàn toàn.
Đối với tôi, dấu hiệu lớn nhất của lừa đảo phishing thường là ngôn ngữ mang đến cảm giác khẩn cấp. Tội phạm mạng đang cố gắng lợi dụng những người có thể thiếu kinh nghiệm trong việc nhận biết các vụ lừa đảo và do đó, chúng tạo ra các kịch bản đòi hỏi bạn phải hành động nhanh chóng mà không cần suy nghĩ.
Ngày xưa, các email lừa đảo thường đầy rẫy lỗi ngữ pháp và lỗi chính tả. Ngày nay, tội phạm mạng thường sử dụng các mô hình ngôn ngữ AI để tạo ra văn bản tinh xảo hơn, đủ để đánh lừa hầu hết những cá nhân nhẹ dạ. Tuy nhiên, từ khóa ở đây là “đủ tốt”. Bạn có thể nhận ra các cuộc tấn công phishing được hỗ trợ bởi AI qua luồng câu văn không tự nhiên. Cũng phổ biến khi văn bản trong email quá trang trọng hoặc quá hoàn hảo và thiếu đi sự “chạm” của con người, vốn là đặc điểm của hầu hết các giao tiếp liên quan đến công việc.
Dưới đây là một ví dụ về email tôi tạo bằng Google Gemini:
Ví dụ email lừa đảo do AI tạo ra từ một đồng nghiệp giả mạo
Nhìn bề ngoài nó có vẻ ổn nhưng lại lộ rõ sau khi kiểm tra kỹ. Nếu bạn nhận được một email tương tự, hãy liên hệ trực tiếp với người được cho là đã gửi nó để làm rõ mọi nhầm lẫn thay vì mạo hiểm bất kỳ rủi ro nào.
Với việc sao chép giọng nói (voice cloning) và deepfake, mọi thứ phức tạp hơn một chút. Tin tốt là hầu hết tội phạm mạng đều muốn kiếm tiền nhanh chóng, vì vậy việc sao chép giọng nói và hình ảnh của quản lý của bạn có thể đòi hỏi quá nhiều công sức. Do đó, hầu hết chúng ta sẽ không bao giờ phải đối phó với loại lừa đảo này. Tuy nhiên, dù cơ hội là nhỏ nhưng không bao giờ bằng không, vì vậy bạn chắc chắn nên nắm vững các kiến thức cơ bản.
Ví dụ, sao chép giọng nói nghe có vẻ thuyết phục, nhưng hiện tại, vẫn có thể nhận thấy các “hiện vật” kỹ thuật số làm cho người nói nghe giống robot. Nhịp điệu của bài nói và những thay đổi nhỏ trong giọng nói sẽ bị lệch, mặc dù âm sắc có thể rất giống. Điều tương tự cũng áp dụng cho việc phát hiện deepfake, nơi bạn có thể nhận thấy những điểm không hoàn hảo như chuyển động giật cục hoặc khẩu hình môi bị lỗi. Dù sao, bạn đủ quen thuộc với đồng nghiệp của mình để nhận biết các kiểu hành vi của họ, vì vậy bất kỳ điều gì có vẻ bất thường đều là một dấu hiệu cảnh báo lớn.
3. Luôn Suy Nghĩ Kỹ Trước Khi Nhấp Chuột
Hãy gọi tôi là người hay lo lắng, nhưng bất cứ khi nào tôi nhận được một liên kết trong email (ngay cả từ một địa chỉ quen thuộc), tôi luôn kiểm tra nó bằng cách di chuyển con trỏ chuột qua đó. Bạn cũng nên làm như vậy – nhưng bạn nên tìm kiếm điều gì?
Đầu tiên, hãy kiểm tra tên miền (còn gọi là phần đầu tiên của liên kết). Tương tự như cách kẻ lừa đảo cố gắng làm cho địa chỉ email trông hợp pháp, chúng cũng làm điều tương tự với tên miền trong các liên kết mà chúng gửi cho bạn. Hãy tìm các lỗi chính tả, dấu gạch nối, và các chữ cái bị thiếu hoặc thừa. Mục đích của lừa đảo phishing là đánh cắp thông tin đăng nhập của bạn hoặc khiến bạn tải xuống phần mềm độc hại, vì vậy liên kết sẽ cố gắng bắt chước một dịch vụ hợp pháp.
Tương tự, bạn nên cảnh giác với bất kỳ tệp đính kèm nào. Điều này bao gồm các tệp thực thi (.exe) và tệp nén (.zip, .rar) mà tội phạm mạng rất thích vì dễ ẩn phần mềm độc hại, cũng như các tài liệu Microsoft Office mà giờ đây cho phép tin tặc thiết lập các script và macro có chức năng tương tự như tệp .exe.
4. Cẩn Trọng Khi Sử Dụng Wi-Fi Công Cộng
Điều tuyệt vời nhất khi làm việc từ xa là bạn có thể làm việc ở bất cứ đâu. Mặc dù điều này rất tốt cho sức khỏe tinh thần của bạn, nhưng nó có thể nguy hiểm về mặt an ninh mạng, chủ yếu do lừa đảo Wi-Fi hoặc giả mạo Wi-Fi (Wi-Fi spoofing).
Trong kịch bản này (thường được gọi là tấn công Man-in-the-middle – MITM), tin tặc tạo ra một mạng lưới “song sinh” của một điểm phát Wi-Fi thực tế ở nơi công cộng. Sau đó, chúng chỉ cần đợi nạn nhân của mình thiết lập kết nối để xem mọi thứ họ làm trực tuyến, bao gồm bất kỳ thông tin đăng nhập nào.
Có rất nhiều điều bạn nên sắp xếp nếu bạn định làm việc từ các quán cà phê và những nơi công cộng khác như thư viện, chủ yếu là về mặt an ninh mạng. Để tránh trở thành nạn nhân của Wi-Fi spoofing, tốt nhất là nên tránh Wi-Fi công cộng hoàn toàn, đặc biệt nếu bạn đang xử lý dữ liệu nhạy cảm của công ty. Ví dụ, tôi luôn mang theo một điểm phát sóng di động hoặc sử dụng tính năng chia sẻ kết nối (tethering) để giảm thiểu rủi ro và tránh tắc nghẽn mạng. Nếu bạn hoàn toàn nhất quyết sử dụng mạng công cộng, bạn nên cài đặt VPN trước để đảm bảo an toàn.
5. Tăng Cường Bảo Vệ Bằng Phần Mềm Chuyên Dụng
Tại sao phải tự mình đối phó khi luôn có phần mềm có thể hỗ trợ bạn? Ví dụ, phiên bản Malwarebytes Premium có thể nâng cao đáng kể bảo mật trực tuyến của bạn và bảo vệ bạn không chỉ khỏi phần mềm độc hại mà còn khỏi lừa đảo phishing.
Với tính năng quét thời gian thực, Malwarebytes phân tích các email đến và tự động chặn chúng nếu nó nhận ra bất kỳ điều gì đáng ngờ. Nó cũng phân tích các liên kết trong email để kiểm tra xem chúng có an toàn không, cùng với việc xem xét kỹ lưỡng nội dung của chính các tin nhắn. Malwarebytes cũng có thể xác minh xem người gửi email có phải là chính hãng hay không bằng cách đối chiếu thông tin chi tiết của họ với thông tin có sẵn. Do đó, nó cũng là một công cụ mạnh mẽ chống lại giả mạo email (email spoofing).
Ảnh chụp màn hình phần mềm Malwarebytes hiển thị giao diện bảo vệ
Mặc dù đây là một bước tùy chọn, nhưng nó sẽ thêm một lớp bảo vệ khác chống lại số lượng các vụ lừa đảo phishing ngày càng tăng và cũng giảm bớt gánh nặng “đánh lừa” của bạn.
Bằng cách thực hành sự thận trọng trong công việc và kiểm tra kỹ lưỡng các liên kết, tệp đính kèm trong email, bạn sẽ tránh trở thành con mồi của một vụ lừa đảo phishing. Mặc dù sự xuất hiện của AI không giúp ích gì, nhưng các quy tắc cơ bản vẫn được áp dụng – hãy luôn cảnh giác, đừng mắc bẫy các chiêu trò gây áp lực cao, đặt câu hỏi cho mọi thứ, và AI sẽ không thể làm gì được bạn!
Hãy chia sẻ những kinh nghiệm hoặc mẹo của bạn trong việc phòng chống lừa đảo phishing trong phần bình luận bên dưới nhé!
