Với gần một thập kỷ làm việc từ xa, tôi chưa từng trở thành nạn nhân của một vụ lừa đảo phishing nào – và tôi quyết tâm duy trì điều đó. Mặc dù các thủ đoạn lừa đảo trực tuyến (phishing) ngày càng tinh vi, bạn vẫn hoàn toàn có thể tự bảo vệ bản thân và công việc của mình bằng cách thực hiện các biện tắc phòng ngừa cần thiết. Bài viết này sẽ cung cấp những kiến thức và kinh nghiệm cốt lõi giúp bạn nâng cao cảnh giác và trở thành chuyên gia trong việc nhận diện cũng như phòng tránh các cuộc tấn công phishing trong môi trường làm việc từ xa.
1. Nắm Bắt Các Loại Lừa Đảo Phishing Mới Nhất
Kiến thức chính là sức mạnh tối thượng trong việc bảo vệ dữ liệu và doanh nghiệp của bạn khỏi tội phạm mạng. Nếu bạn biết mình đang tìm kiếm điều gì, chỉ cần một cái nhìn lướt qua email lạ hoặc tin nhắn SMS đáng ngờ cũng đủ để chuông cảnh báo nội bộ của bạn reo lên. Các chiêu trò lừa đảo qua email cổ điển, nơi kẻ gian giả mạo ngân hàng của bạn để đánh cắp thông tin, tương đối dễ nhận diện. Chắc hẳn bạn đã từng là mục tiêu của nhiều cuộc tấn công ngẫu nhiên theo kiểu “rải thảm” như vậy.
Tuy nhiên, với tư cách là người làm việc từ xa, bạn còn phải trở thành chuyên gia trong việc nhận diện “spear phishing” (lừa đảo có chủ đích). Hình thức này phức tạp hơn nhiều vì nó thường chứa thông tin cụ thể về bạn hoặc công ty của bạn. Nói cách khác, tin tặc đã tiến hành nghiên cứu kỹ lưỡng và do đó có thể xuất hiện thuyết phục hơn.
Cùng với spear phishing, bạn cũng có thể gặp phải “clone phishing” (lừa đảo sao chép), nơi bạn sẽ nhận được bản sao của các thông tin liên lạc hợp pháp nhưng được thêm vào các tệp đính kèm hoặc liên kết nguy hiểm.
Đáng báo động hơn, trí tuệ nhân tạo (AI) đã khiến mọi thứ trở nên đáng sợ hơn, bao gồm cả “voice phishing” (vishing) hay lừa đảo qua giọng nói. Trước đây, kẻ lừa đảo sẽ gọi điện và giả vờ là người hợp pháp. Giờ đây, chúng có thể sao chép giọng nói (và cả hình ảnh thông qua video deepfake) của bất kỳ ai trong tổ chức của bạn. Bạn nên làm quen với tất cả các kỹ thuật này, vì chúng sẽ giúp bạn suy nghĩ kỹ hơn trước khi nhấp vào một liên kết trong một email tưởng chừng an toàn từ đồng nghiệp.
2. Kỹ Năng Nhận Diện Các Dấu Hiệu Lừa Đảo
Học cách phát hiện phishing tương đối đơn giản. Điều đầu tiên bạn nên kiểm tra là địa chỉ email của người gửi. Trong hầu hết các trường hợp, bạn sẽ nhận thấy rằng mặc dù địa chỉ này rất giống với một tổ chức chính thức (hoặc một thành viên trong nhóm), nhưng một số ký tự có thể bị thay thế bằng ký hiệu tương tự, hoặc một trong các ký tự có thể bị bỏ sót hoàn toàn.
Đối với tôi, dấu hiệu lớn nhất của phishing thường là ngôn ngữ tạo ra cảm giác cấp bách. Tội phạm mạng đang cố gắng lợi dụng những người có thể không có kinh nghiệm nhận diện lừa đảo, và do đó, chúng tạo ra các kịch bản yêu cầu bạn phải hành động nhanh chóng mà không cần suy nghĩ.
Trước đây, các email phishing thường chứa đầy lỗi ngữ pháp và chính tả. Ngày nay, tội phạm mạng thường sử dụng các mô hình ngôn ngữ AI để tạo ra văn bản trau chuốt hơn, đủ tốt để lừa hầu hết những người nhẹ dạ. Tuy nhiên, từ khóa ở đây là “đủ tốt”. Bạn có thể nhận diện các cuộc tấn công phishing được thúc đẩy bởi AI qua luồng câu văn không tự nhiên. Cũng phổ biến khi văn bản trong email quá trang trọng hoặc quá hoàn hảo và thiếu bất kỳ yếu tố “con người” nào, điều vốn là đặc trưng của hầu hết các giao tiếp liên quan đến công việc.
Dưới đây là một ví dụ về email được tạo bằng Google Gemini:
Email lừa đảo được tạo bởi AI Gemini mô phỏng tin nhắn từ đồng nghiệp
Nhìn bề ngoài nó có vẻ ổn, nhưng sẽ lộ rõ khi kiểm tra kỹ. Nếu bạn nhận được một email tương tự, hãy liên hệ trực tiếp với người được cho là đã gửi nó để làm rõ mọi nhầm lẫn thay vì mạo hiểm bất kỳ rủi ro nào.
Với công nghệ sao chép giọng nói và deepfake, việc nhận diện sẽ khó khăn hơn một chút. Tin tốt là hầu hết tội phạm mạng chỉ muốn kiếm tiền nhanh chóng, nên việc sao chép giọng nói và hình ảnh của quản lý bạn có thể đòi hỏi quá nhiều nỗ lực. Do đó, hầu hết chúng ta sẽ không bao giờ phải đối phó với loại phishing này. Tuy nhiên, mặc dù cơ hội là nhỏ nhưng không bao giờ bằng không, vì vậy bạn chắc chắn nên nắm vững các kiến thức cơ bản. Ví dụ, giọng nói được sao chép có vẻ thuyết phục, nhưng hiện tại, vẫn có thể nhận thấy các “hiện vật” kỹ thuật số khiến người nói nghe có vẻ robot. Nhịp điệu và các biến âm nhỏ của giọng nói sẽ bị lệch mặc dù âm sắc nghe rất giống. Điều tương tự cũng áp dụng cho việc phát hiện deepfake, nơi bạn có thể nhận thấy các điểm không hoàn hảo như chuyển động giật cục hoặc khớp môi bị lỗi. Dù sao, bạn đủ hiểu đồng nghiệp của mình để quen thuộc với các kiểu giao tiếp của họ, vì vậy bất kỳ điều gì có vẻ bất thường đều phải là một dấu hiệu cảnh báo lớn.
3. Luôn Suy Nghĩ Kỹ Trước Khi Nhấp Chuột
Hãy gọi tôi là người đa nghi, nhưng bất cứ khi nào tôi nhận được một liên kết trong email (ngay cả từ một địa chỉ quen thuộc), tôi luôn kiểm tra nó bằng cách di chuyển con trỏ chuột qua liên kết đó. Bạn cũng nên làm như vậy – nhưng bạn nên tìm kiếm điều gì?
Đầu tiên, hãy kiểm tra tên miền (hay còn gọi là phần đầu tiên của liên kết). Tương tự như cách kẻ lừa đảo cố gắng làm cho địa chỉ email trông hợp pháp, chúng cũng làm điều tương tự với tên miền trong các liên kết mà chúng gửi cho bạn. Hãy tìm các lỗi chính tả, dấu gạch nối, hoặc các ký tự bị thiếu hoặc thừa. Mục đích của phishing là đánh cắp thông tin đăng nhập của bạn hoặc khiến bạn tải xuống phần mềm độc hại, vì vậy liên kết sẽ cố gắng bắt chước một dịch vụ hợp pháp.
Tương tự, bạn nên cảnh giác với bất kỳ tệp đính kèm nào. Điều này bao gồm các tệp thực thi (.exe) và các tệp nén (.zip, .rar) mà tội phạm mạng rất thích vì dễ ẩn phần mềm độc hại, cũng như các tài liệu Microsoft Office mà giờ đây cho phép tin tặc thiết lập các tập lệnh và macro hoạt động tương tự như các tệp .exe.
4. Cẩn Trọng Đặc Biệt Khi Dùng Wi-Fi Công Cộng
Điều tuyệt vời nhất khi làm việc từ xa là bạn có thể mang công việc của mình đi bất cứ đâu. Mặc dù điều này rất có lợi cho sức khỏe tinh thần của bạn, nhưng nó có thể nguy hiểm về mặt an ninh mạng, chủ yếu do lừa đảo Wi-Fi hoặc giả mạo Wi-Fi (Wi-Fi spoofing).
Trong kịch bản này (thường được gọi là tấn công “man-in-the-middle” – MITM), tin tặc tạo ra một mạng lưới “sinh đôi” của một điểm phát sóng Wi-Fi thực tế ở nơi công cộng. Sau đó, chúng chỉ cần đợi nạn nhân thiết lập kết nối để xem mọi thứ họ làm trực tuyến, bao gồm cả thông tin đăng nhập.
Có rất nhiều điều bạn cần chuẩn bị nếu bạn định làm việc tại các quán cà phê và những nơi công cộng khác như thư viện, chủ yếu là về an ninh mạng. Để tránh trở thành nạn nhân của Wi-Fi spoofing, tốt nhất là nên tránh hoàn toàn Wi-Fi công cộng, đặc biệt nếu bạn đang xử lý dữ liệu nhạy cảm của công ty. Ví dụ, tôi luôn mang theo một điểm phát sóng di động (mobile hotspot) hoặc sử dụng tính năng chia sẻ kết nối (tethering) để giảm thiểu rủi ro và tránh tắc nghẽn lưu lượng truy cập. Nếu bạn nhất quyết phải sử dụng mạng công cộng, bạn nên cài đặt một VPN trước tiên để đảm bảo an toàn.
5. Tận Dụng Phần Mềm Hỗ Trợ Phòng Chống Phishing
Tại sao phải tự mình đối phó khi luôn có phần mềm có thể hỗ trợ bạn? Ví dụ, phiên bản cao cấp của Malwarebytes có thể nâng cao đáng kể bảo mật trực tuyến của bạn và bảo vệ bạn không chỉ khỏi phần mềm độc hại mà còn khỏi lừa đảo phishing.
Với tính năng quét thời gian thực, Malwarebytes phân tích các email đến và tự động chặn chúng nếu nó nhận diện bất kỳ điều gì đáng ngờ. Nó cũng phân tích các liên kết trong email để kiểm tra xem chúng có an toàn không, cùng với việc xem xét kỹ lưỡng nội dung của các tin nhắn. Malwarebytes còn có thể xác minh xem người gửi email có phải là thật hay không bằng cách đối chiếu thông tin của họ với dữ liệu có sẵn. Do đó, nó cũng là một công cụ mạnh mẽ chống lại việc giả mạo email (email spoofing).
Giao diện phần mềm Malwarebytes hiển thị trạng thái bảo vệ máy tính
Mặc dù đây là một bước tùy chọn, nhưng nó sẽ bổ sung thêm một lớp phòng thủ chống lại số lượng các vụ lừa đảo phishing ngày càng tăng và cũng giảm bớt gánh nặng “chống phishing” cho bạn.
Bằng cách luôn thận trọng trong công việc và xem xét kỹ lưỡng các liên kết và tệp đính kèm trong email, bạn sẽ tránh trở thành con mồi của các vụ lừa đảo phishing. Mặc dù sự xuất hiện của AI khiến mọi thứ phức tạp hơn, nhưng các quy tắc cơ bản vẫn áp dụng: luôn cảnh giác, đừng mắc bẫy các chiến thuật gây áp lực cao, đặt câu hỏi về mọi thứ, và AI sẽ không thể làm gì bạn! Hãy chia sẻ những kinh nghiệm và thắc mắc của bạn về bảo mật trực tuyến trong phần bình luận để chúng ta cùng nhau xây dựng một cộng đồng an toàn hơn!
