Tìm hiểu về lừa đảo trực tuyến
Một ngày như mọi ngày khác, bạn check email và nhận được 1 message từ
phía ngân hàng. Không như những email bình thường, đây là lá thư yêu cầu
bạn reply ngay lập tức, nếu không, tài khoản của bạn sẽ bị khóa. Bạn sẽ làm
gì?
Đây là một ví dụ điển hình của phishing, một phương thức đạo tặc online.
Trong ví dụ kể trên, nếu bạn dại dột ấn nút reply, không những dữ liệu cá
nhân của bạn bị đánh cắp, tay trộm có thể thông qua đó phát tán virus và tiếp
tục thò tay vào túi những người khác. Tệ hại hơn thế, bạn có thể đang vô thức
tham gia vào quá trình rửa tiền giúp những tay tin tặc này.
Phising thường bị đánh đồng với những email lừa đảo dưới hình thức giả
dạng ngân hàng, công ty tín dụng hay các trang mua bán như Amazon và
eBay. Những email này trông có vẻ rất đáng tin cậy, và chúng được dùng
nhằm mục đích lấy đi các thông tin cá nhân của nạn nhân. Nhưng email chỉ là
một phần nhỏ của Phising.
Các bước chính của Phising
1. Lên kế hoạch: Những tay lừa đảo cần xác định mình sẽ nhằm vào lĩnh vực
nào, và làm cách nào để tiếp cận những nạn nhân thuộc lĩnh vực đó.
2. Gài bẫy: Khi đã biết mình sẽ nhắm vào đâu và nạn nhân là những ai,
những tay lừa đảo sẽ tìm cách gửi tin nhắn đến nạn nhân và thu thập dữ liệu
từ đó. Phổ biến nhất là phương thức spam email hay các banner quảng cáo
bay lên đầy màn hình mỗi khi bạn click vào 1 trang web nào đó.
3. Tấn công: Thông thường, những tay lừa đảo sẽ gửi mail đến bạn, núp dưới
những cái tên có vẻ đáng tin cậy, và chúng sẽ buộc bạn phải khai báo những
thông tin nhận dạng.
4. Thu thập thông tin: Tất cả những thông tin nhận dạng mà bạn đã điền vào
các trang web trên sẽ được ghi lại.
5. Giả mạo danh tính và lừa đảo: Những thông tin phía trên sẽ được ghi lại
nhằm tạo ra một nhân dạng ảo để thực hiện các thương vụ phi pháp. Chi phí,
tất nhiên, sẽ đánh trực tiếp vào tài khoản của nạn nhân.
Cùng với sự tiến bộ từng ngày của công nghệ, những trò lừa đảo qua Internet
ngày càng tinh vi và biến hóa hơn, nhưng tựu chung lại, yếu quyết duy nhất
bạn cần nhớ nếu bạn muốn tham gia vào thế giới lừa đảo này, đó là lấy được
lòng tin của nạn nhân.
Những hình thức lừa đảo
Tất nhiên, không ai thiếu iot đến mức thật thà tuôn hết mọi thông tin cá nhân
(đặc biệt là số tài khoản và mật khẩu cá nhân) cho một người không hề quen
biết, vậy nên, những tay lừa đảo cần những phương thức đặc biệt để đạt được
mục đích của mình.
Mánh lừa đảo thường gặp nhất là việc mạo danh những thương hiệu uy tín.
Mọi thứ đều có thể bị làm giả: logo, mẫu email hợp pháp, và đặc biệt, đường
link trông có vẻ đáng tin cậy sẽ bị thay thế bằng những link dẫn tới các trang
lừa đảo của chúng. Chỉ một cú click vào đây, bạn đã giao nộp những thông tin
quan trọng nhất cho tên trộm. Nhưng đây cũng chỉ mới là bước đầu tiên của
quá trình.
Hầu hết các tin nhắn gửi đến nạn nhân đều buộc họ phải reply khẩn cấp.
Những tin nhắn này thường mang tính chất đe dọa, “Reply ngay trong 24h
nếu không tài khoản của bạn sẽ bị đóng băng/hủy/rút tiền…”. Một số tin nhắn
khác núp bóng các hãng sản phẩm có uy tín, gửi đến nhằm mục tiêu quảng
cáo, hoặc trực tiếp thực hiện các giao dịch. Bạn tò mò muốn biết sản phẩm
này có gì đặc biệt, bạn click vào đường link trong message, và bạn đã bị dắt
mũi (một lần nữa).
Email là phương thức phổ biến nhất để những tay lừa đảo săn tìm nạn nhân,
nhưng bên cạnh đó, nhiều cách khác cũng có thể được áp dụng:
Cuộc gọi trực tiếp.
SMS.
Chat room.
Các trang quảng cáo lừa đảo.
Các browser toolbar giả mạo trong trình duyệt.
Các trang tìm việc và giới thiệu việc làm giả mạo.
Cách tạo ra một địa chỉ ma
Cách thường gặp và cũng đơn giản nhất, đó là sử dụng các phần mềm tạo
email cho phép người sử dụng điền thông tin vào 2 phần “From” và “Reply-
to”. Những phần mềm này rất tiện dụng đối với những người sử dụng nhiều
địa chỉ email, nhưng mặt khác, nó giúp cho công việc của những tay lừa đảo
được dễ dàng hơn. Chỉ cần điền những thông tin (trông có vẻ) đáng tin cậy
vào mục “From…”, bạn đã có thể tạo ra một message trông hoàn toàn hợp
pháp.
Một số server email cho phép các máy tính được phép kết nối trực tiếp đến
cổng giao thức chuyển email đơn giản (Simple mail transfer protocol –
SMTP) mà không cần sử dụng password. Điều này cho phép tay lừa đảo có
thể trực tiếp kết nối với server và thông qua đó gửi tin nhắn đế hàng loạt nạn
nhân.
Một số trò lừa đảo khác
Thay thế đường link: URLs gửi đến bạn có vẻ rất đáng tin cậy, nhưng thực
chất, nó dẫn bạn đến địa chỉ website của tay lừa đảo. Rất nhiều kỹ thuật giả
mạo đường link có thể được áp dụng:
- Sử dụng địa chỉ giả mạo hoặc sai lệch đi so với trang Web thật, hoặc dùng
các đăng ký tên miền quốc tế để tạo ra một URL tương đối giống với một
URL có uy tín nào đó.
- Sử dụng các phương thức định dạng thay thế (ví dụ như hệ thập lục phân) để
tái tạo tên miền.
- Sử dụng các hướng dẫn nhằm đổi hướng tới những địa chỉ URL hợp pháp.
- Sử dụng HTML để hiển thị đường link giả.
Hình ảnh: Bằng cách xác định loại email và loại trình duyệt nạn nhân đang
sử dụng, các tay lừa đảo có thể đặt hình ảnh giả mạo lên thanh địa chỉ và khóa
thanh địa chỉ thực.
Các trang quảng cáo: Một cú click vào một dòng link có vẻ rất hấp dẫn
(Clip mới nhất của Ngọc Trinh, Mua tăm trúng Iphone 5….) bạn đã vô tình
làm bật lên hàng loạt các trang quảng cáo. Một trong số những trang này có
thể chứa mã độc.
Mặt khác, các tay lừa đảo có thể sử dụng những máy tính trung gian giữa nạn
nhân và trang web để ghi lại những giao dịch của nạn nhân. Chúng cũng có
thể tận dụng hệ thống bảo mật nghèo nàn của nhiều trang Web có uy tín và
ngấm ngầm nhét mã độc vào đó. Những tay lừa đảo dạng này không cần phải
giả dạng đường link, vì nạn nhân đã truy cập vào một trang web hoàn toàn
đáng tin cậy.
Một số phần mềm đã trở thành người bạn đồng hành không thể thiếu đối với
những tay lừa đảo: Trojan, Keylogger, Screen capture, Bots, Spyware… Đây
là những phương tiện hỗ trợ cực kỳ đắc lực đối với mọi tay tin tặc, chúng hỗ
trợ từ việc lấy cắp thông tin, lây truyền virus, nhận dạng nạn nhân….
Tự bảo vệ mình
Trước hết, hãy đảm bảo an toàn cho chiếc máy tính của bạn thông qua các
việc cài đặt đầy đủ firewall và các phần mềm AV uy tín. Xóa sạch các email
rác, nói không với các banner quảng cáo và các đường link không an toàn.
Ngoài ra, bạn có thể sử dụng số chứng chỉ SSL của trang Web từ ngân hàng,
hay các bản kê in sẵn của ngân hàng để tăng thêm tính bảo mật.
Với những email (trông có vẻ) đáng tin cậy, hãy check đầy đủ các mục:
1. Tên tuổi. Hầu hết các email từ các ngân hàng gửi đến đều có những câu
chào chung chung kèm theo tên đầy đủ của bạn. Tuy nhiên, nhiều tay lừa đảo
hiện nay đã có thể dễ dàng lấy được đầy đủ thông tin cá nhân của bạn.
2. Yêu cầu reply khẩn cấp và đe dọa tài khoản của bạn. Hầu hết các ngân
hàng đều muốn giữ chân khách hàng, và không ai hấp tấp đến thế trong việc
đuổi cổ khách.
3. Yêu cầu các thông tin cá nhân. Hầu hết các giao dịch đều không yêu cầu
bạn phải cung cấp thông tin cá nhân qua điện thoại hoặc email, ngay cả trước
khi lừa đảo trực tuyến trở nên phổ biến.
4. Những đường link đáng nghi ngờ: Đó là những đường link dài hơn bình
thường, những đường link kèm thêm dấu @ hoặc sai chính tả. Sẽ an toàn hơn
nếu bạn trực tiếp gõ đường link đó, thay vì chỉ click vào bất cứ đường link
nào hiển thị trong email.
Nếu bạn nhận được một email mà bạn cho là giả mạo, đừng reply, đừng click
vào bất cứ đường link nào, cũng đừng cung cấp bất cứ thông tin cá nhân nào.
Thay vào đó, hãy báo cáo với những công ty đang bị chúng giả mạo. Sử dụng
địa chỉ Website hoặc số điện thoại của công ty đó, thay vì đi theo những
đường link trên email giả mạo.
Ngoài ra, bạn cũng nên đối mật khẩu tại trang mình vừa ăn quả lừa. Nếu sử
dụng chung mật khẩu với những trang khác, bạn cũng nên đổi hết mật khẩu
tại các trang đó.
Nguồn bài viết: />tuyen/#ixzz2HAzwwRxu