- Theo TTVN / Trí Thức Trẻ | 11/03/2014 12:11 PM
Thế nào là "lừa đảo qua mạng"?
Lừa đảo qua mạng (thuật ngữ phổ biến trong tiếng Anh là Social Engineering) là tên gọi của một hình thức tấn công người dùng thông qua Internet. Khác với các hình thức tấn công bằng mã độc, các vụ tấn công "social engineering" sẽ không tập trung vào khai thác điểm yếu của phần cứng hay phần mềm. Thay vào đó, chúng sẽ tập trung khai thác tâm lý của nạn nhân.
Một trong những hình thức lừa đảo qua mạng khá phổ biến là "phishing" (lừa đảo giả dạng). Với hình thức lừa đảo này, hacker sẽ gửi các email giả dạng làm ngân hàng, dịch vụ mà bạn đang sử dụng, hoặc giả dạng làm một tổ chức đáng tin cậy khác. Trong email lừa đảo, chúng sẽ yêu cầu bạn cung cấp thông tin cá nhân, hoặc khuyến cáo bạn click vào một đường dẫn tới địa chỉ web chứa mã độc.
Lừa đảo qua mạng sẽ gây tác hại gì?
Do người dùng thường xuyên sử dụng cùng một tên tài khoản và mật khẩu trên nhiều dịch vụ trực tuyến khác nhau, việc để lộ tên tài khoản và mật khẩu trên một dịch vụ có thể khiến bạn mất quyền kiểm soát đối với tất cả các tài khoản số của mình, ví dụ như tài khoản ngân hàng trực tuyến, tài khoản Facebook, Yahoo, Gmail, Apple ID hoặc Dropbox. Việc để lộ số thẻ tín dụng hoặc tài khoản ngân hàng trực tuyến sẽ gây thiệt hại tài chính trực tiếp, trong khi để lộ các tài khoản dịch vụ cá nhân có thể gây ra nhiều tổn hại khó lường trước.
Tại Việt Nam, kẻ lừa đảo qua mạng thường lừa người dùng nhắn tin đăng ký tham gia một dịch vụ SMS đắt tiền, hoặc lừa nạp tiền vào số điện thoại của chúng.
Nói tóm lại, lừa đảo qua mạng cũng không hề khác biệt so với các vụ lừa đảo ngoài đời thực: kẻ xấu sẽ lợi dụng tâm lý sơ hở và sự thiếu hiểu biết của nạn nhân để thu lời bất chính. Trong khi kẻ lừa đảo ngoài đời thực sẽ lừa lấy tiền và tài sản của bạn, những kẻ lừa đảo qua mạng sẽ lấy cả tài sản và thông tin cá nhân của bạn, đe dọa tới cả kinh tế, đời tư và sự an toàn của bạn.
Những ví dụ về kĩ thuật lừa đảo qua mạng điển hình tại Việt Nam
1. Giả danh làm quản trị của game, dịch vụ, ngân hàng…
Đây là một trong những hình thức lừa đảo phổ biến nhất trên các dịch vụ trực tuyến và game online. Kẻ xấu sẽ tạo các tài khoản/địa chỉ email lừa đảo có những từ khóa dễ lừa người dùng như "admin", "mod", "quantri" hoặc tên của công ty cung cấp dịch vụ/game. Chúng sẽ gửi cho bạn các tin nhắn hoặc email có tựa đề dạng như "Cảnh báo: Có người đã hack vào tài khoản của bạn" hay "Hãy xác nhận vừa thay đổi mật khẩu". Các email lừa đảo này sẽ yêu cầu bạn cung cấp tên tài khoản và mật khẩu xác thực để lấy lại tài khoản. Hiển nhiên, khi trả lời và cung cấp thông tin cá nhân, bạn sẽ để mất tài khoản của mình.
Thay vì sử dụng tên của người dùng, ví dụ như "Dear Le Hoang", kẻ lừa đảo sẽ dùng cụm từ chung chung "Dear Paypal member" ("Gửi thành viên PayPal") bởi chúng không có các thông tin xác thực về nạn nhân đang định tấn công.
Tinh vi hơn, kẻ lừa đảo có thể không yêu cầu bạn cung cấp mật khẩu mà chỉ cung cấp câu trả lời đối với các câu hỏi được dùng để lấy lại tài khoản, ví dụ như "Tên người chú bạn yêu quí nhất là gì?" hoặc "Nêu tên vật nuôi đầu tiên của bạn". Nếu đã có đủ thông tin cá nhân của bạn, kẻ xấu sẽ tự liên hệ với dịch vụ trực tuyến, game online, tạo yêu cầu hồi phục mật khẩu và sử dụng các thông tin cá nhân để xác nhận yêu cầu hồi phục mật khẩu. Sau đó, mật khẩu sẽ bị thay đổi và tài khoản của bạn sẽ rơi vào tay kẻ xấu.
2. Tạo trang web giả
Với hình thức lừa đảo này, kẻ xấu sẽ tạo ra trang web giả dạng làm một dịch vụ mà bạn đang sử dụng. Mục tiêu của chúng cũng là để lấy cắp thông tin cá nhân (bao gồm cả tài khoản ngân hàng và số thẻ) và lừa bạn nạp tiền qua thẻ điện thoại.
Ví dụ, trang web trong hình trên mạo danh làm một nhà cung cấp game online lớn tại Việt Nam. Trên trang web này, kẻ gian sẽ yêu cầu bạn đăng nhập bằng tài khoản game online của mình. Hiển nhiên, bước xác thực này hoàn toàn là lừa đảo: với bất kì tên tài khoản và mật khẩu nào mà bạn nghĩ ra, trang web này cũng sẽ xác nhận đăng nhập thành công. Nguy hiểm hơn, nếu bạn đăng nhập bằng tài khoản Garena, bạn sẽ "biếu" thông tin đăng nhập của mình cho kẻ xấu.
Sau đó, trang web xấu này thậm chí còn yêu cầu bạn nạp thẻ, nhắn tin để xác nhận. Trong những năm vừa qua, trên Internet cũng đã xuất hiện rất nhiều trang web nạp thẻ điện thoại giả, ví dụ như trang web dưới đây:
3. "Ai quan tâm đến bạn", "Cách tạo nút dislike", "Cách đổi tên quá 5 lần"… trên Facebook
Do Facebook có những giới hạn khá rõ ràng về tính năng, gần đây nhiều đối tượng đã lừa người dùng chạy Javascript trên trình duyệt để có được những tính năng mà Facebook chắc chắn sẽ không bao giờ cung cấp, ví dụ như theo dõi ai là người vừa ghé thăm trang cá nhân của bạn.
Với hình thức lừa đảo này, kẻ xấu sẽ đưa ra một bài hướng dẫn yêu cầu người dùng copy và paste một đoạn Javascript vào thanh địa chỉ hoặc console debug của trình duyệt (xem hình trên). Các đoạn mã Javascript này sẽ tag bạn bè của bạn vào một bức ảnh, mời bạn bè của bạn tham gia các sự kiện (Event) trên Facebook, mời họ thích các trang Fanpage, hoặc thêm họ vào một số nhóm (Group) trên Facebook.
Mục đích cuối cùng của kẻ xấu là tạo ra các fanpage và các nhóm (group) có lượng người tham gia đông đảo. Sau đó, các fanpage và group này sẽ được đổi tên, hoặc chuyển sang làm các hình thức quảng bá "miễn phí", trong đó cái giá duy nhất phải trả là sự khó chịu của người dùng Facebook. Hiển nhiên, bạn sẽ chẳng thể biết được ai là người vừa ghé thăm trang cá nhân của bạn, và cũng không thể có nút dislike hay đổi tên thêm lần nữa.
4. Các câu bình luận lừa đảo nạp thẻ trên Facebook, diễn đàn mạng…
Hình thức lừa đảo này khá phổ biến trên Facebook và các diễn đàn bắt đầu rộ lên vào khoảng giữa năm 2013. Kẻ xấu sẽ nói về một "lỗi" hệ thống trên máy chủ của các nhà mạng, sau đó khuyến cáo người dùng nạp thẻ vào một dãy số lạ, được gọi là "số server bị hack" nhưng thực chất lại là số điện thoại của kẻ lừa đảo.
Nhìn chung, cách lừa đảo này đánh vào lòng tham của người dùng, và do người dùng sẽ chẳng có cách nào để xác thực các thông tin mà chúng tuyên bố, họ sẽ mất tiền oan mới có thể nhận ra sai lầm của mình.
5. Thông báo "giả" trên trang web
Hình thức lừa đảo này có từ những ngày đầu của Internet. Trước đây, các trang web xấu sẽ hiển thị các ô thông báo giả dạng làm cửa sổ Windows. Các ô thông báo giả này sẽ tuyên bố rằng Windows của bạn bị nhiễm virus, bị lỗi… Khi bạn click vào các ô thông báo giả này, bạn sẽ được dẫn tới một trang web có chứa phần mềm "quét virus" hoặc "sửa lỗi". Chính các phần mềm này mới là mã độc có thể làm tê liệt Windows của bạn và đánh cắp các thông tin cá nhân (keylog) hoặc biến máy của bạn thành "bot" để DDoS.
Tương tự như vậy, các thông báo dạng như "Bạn đã trúng thưởng iPhone" hoặc "Người truy cập thứ 100.000 sẽ được nhận 100.000 USD" sẽ lừa bạn tải về mã độc, lừa bạn nhắn tin mất phí hoặc lừa bạn cung cấp các thông tin mật.
Một hình thức lừa đảo tương tự là đường dẫn "giả". Ví dụ, một đường dẫn được hiển thị là www.trangwebxacthuc.com thực chất lại được chèn địa chỉ www.trangwebluadao.com, hoặc tinh vi hơn là www.trangwebxacthuc01.com hoặc www.trangwebxacthuc.trangwebluadao.com (một tên miền của trangwebluadao.com; hoàn toàn không có liên hệ gì với trangwebxacthuc.com).
6. Giả dạng Facebook
Một tình trạng tương đối phổ biến trên Facebook tại Việt Nam là mỗi ca sĩ, người nổi tiếng sẽ có rất nhiều trang Facebook giả, dưới cả 2 hình thức tài khoản Facebook người dùng thông thường và fanpage (trang hâm mộ). Những kẻ giả mạo trang cá nhân/fanpage của người nổi tiếng sẽ sử dụng kênh này để quảng cáo miễn phí. Nguy hiểm hơn, chúng có thể mạo danh người nổi tiếng để thực hiện các hành vi lừa đảo hoặc thậm chí là hẹn gặp ngoài đời thực và tấn công nạn nhân.
Các trang fanpage được xác nhận "chính chủ" sẽ có dấu tick màu xanh bên cạnh, song với số lượng fanpage nhiều như hiện nay, có tới hàng trăm nghìn người tham gia vào các trang fanpage giả của ca sĩ Minh Hằng.
Một hình thức lừa đảo qua Facebook phổ biến khác là tạo fanpage dạng "Tặng MacBook Air bị lỗi của Apple". Với hình thức lừa đảo này, kẻ xấu sẽ lợi dụng lòng tham và sự nhẹ dạ của người dùng để thu thập các thông tin cá nhân của họ. Thật may mắn, sau khi truyền thông lên tiếng về dạng lừa đảo này, chúng đã gần như biến mất hoàn toàn.
Cách phòng tránh lừa đảo qua mạng
Như đã phân tích ở đầu bài viết, kĩ thuật lừa đảo qua mạng (social engineering) là một hình thức tấn công hoàn toàn nhằm vào sơ hở của người dùng. Do đó, bạn sẽ đóng vai trò trung tâm trong việc chống lại các hình thức tấn công này.
Một số nguyên tắc căn bản để tránh bị lừa đảo qua mạng là như sau:
- Tuyệt đối không bao giờ gửi tên tài khoản, mật khẩu, số thẻ tín dụng, số tài khoản ngân hàng và các thông tin cá nhân qua email, Skype, Facebook Messenger, tin nhắn hay các dịch vụ chat trong bất kì một trường hợp nào.
- Lưu ý tới các địa chỉ web, email chính thức và số điện thoại xác thực của ngân hàng, dịch vụ mà bạn đang sử dụng. Ví dụ, tại trụ sở của ngân hàng mà bạn đang sử dụng, hãy cầm về một tờ rơi có ghi địa chỉ web, số điện thoại và email chính thức của ngân hàng này.
Khi bị một số điện thoại hoặc email "lạ" yêu cầu cung cấp các thông tin cá nhân, hãy liên hệ lại với các địa chỉ xác thực trên và yêu cầu xác nhận.
- Để ý tới đường dẫn trong email, trên các diễn đàn, trang web. Các trang web lừa đảo có thể có tên rất giống với trang web xác thực, do đó bạn phải chú ý rất kĩ tới địa chỉ đường dẫn trên các trang web hoặc email từ địa chỉ lạ. Khi bạn di chuột lên phía trên các đường dẫn web (chưa click), Firefox và Chrome cũng sẽ hiển thị địa chỉ thực của đường dẫn ở góc dưới màn hình. Đây là cách xác thực đường dẫn chính xác nhất.
Nhìn chung, cách xử lý cẩn thận nhất là tuyệt đối không click vào các đường dẫn quan trọng được gửi qua email hoặc qua Skype, Yahoo, nhất là khi nội dung của email và tin nhắn có liên quan tới thông tin tài khoản của bạn. Nếu bạn cần đặt lại mật khẩu cho tài khoản ngân hàng, hãy truy cập vào địa chỉ chính thức của ngân hàng đó và thực hiện các bước xác thực thông thường, thay vì click vào đường dẫn đáng ngờ trong email.
- Luôn cập nhật trình duyệt và ứng dụng chống virus lên bản mới nhất. Các trình duyệt và phần mềm chống virus thường có tính năng "bộ lọc" ngăn người dùng truy cập vào các trang web đã bị xác nhận là web độc hoặc không xác thực.
Với hình thức lừa đảo qua mạng, người dùng sẽ là mắt xích yếu nhất trong hệ thống bảo mật. Không một phần mềm bảo mật nào có thể bảo vệ người dùng trong 100% các trường hợp nếu như họ quá nhẹ dạ và cả tin.
Bởi vậy, trước khi cung cấp thông tin cá nhân, trước khi nhắn tin hoặc sử dụng số thẻ nạp trên mạng, hãy thử suy nghĩ một cách tỉnh táo. Nếu Garena thực sự muốn tặng quà cho bạn, tại sao họ không công bố trên trang chủ của mình mà lại dùng tới một trang web xa lạ? Nếu Viettel muốn khuyến mại cho người dùng, tại sao họ không thông báo qua đường SMS mà lại cung cấp một cổng nạp thẻ không hề thuộc về các tên miền chính thức của Viettel? Nếu Facebook thực sự đã ra mắt nút Dislike, tại sao không một nguồn tin công nghệ uy tín nào thông báo về tính năng này?
"Kĩ thuật lừa đảo qua mạng" thực sự là một vấn nạn mới của Internet, trong bối cảnh mà gần như tất cả các loại mã độc đều được viết ra bởi tội phạm số để thu lời bất chính. Điều này không có nghĩa rằng bạn sẽ trở thành nạn nhân của các vụ lừa đảo này một cách dễ dàng. Hãy là một công dân mạng thông minh, tỉnh táo và cẩn thận: đây mới là "tường lửa" an toàn nhất bảo vệ cho tài sản và danh tính của bạn.
Theo Lê Hoàng Vnreview.vn/HTG