Trong thế giới kỹ thuật số ngày nay, khi mọi hoạt động từ làm việc, học tập đến giải trí đều gắn liền với internet, nguy cơ bị tấn công mạng cũng ngày càng gia tăng và trở nên tinh vi hơn. Đặc biệt đáng báo động là sự trỗi dậy của một hình thức lừa đảo trực tuyến mới, nơi tội phạm mạng không cần phải đột nhập hệ thống phức tạp mà lại lừa gạt người dùng tự hại mình. Đây là một biến thể của kỹ thuật xã hội (social engineering) mà mức độ tăng trưởng đã lên tới con số đáng kinh ngạc: 614% chỉ trong quý 3 năm 2024, theo báo cáo từ Gen Digital. Vậy làm thế nào để nhận diện những chiêu trò ẩn mình này và bảo vệ bản thân cùng thông tin cá nhân khỏi các mối đe dọa tiềm tàng?
Tội Phạm Mạng Đánh Lừa Người Dùng Tự Hại Mình
Khi nhắc đến tội phạm mạng hay tin tặc, nhiều người thường nghĩ ngay đến những phần mềm hack tinh vi để đột nhập tài khoản, hoặc những kẻ lừa đảo phishing giả mạo ngân hàng, công ty lớn. Tuy nhiên, một phương thức tấn công mới đang ngày càng phổ biến là lợi dụng sự cả tin và thiếu hiểu biết của nạn nhân để họ “tự lừa đảo bản thân” – nghĩa là tự tay thực hiện các hành động nguy hiểm mà không hề hay biết.
Đôi khi, chiêu lừa này chỉ đơn giản là yêu cầu người dùng nhập thông tin cá nhân vào một trang web lừa đảo (phishing page). Những lúc khác, nó phức tạp hơn khi khuyến khích nạn nhân sao chép và dán các đoạn mã độc hại vào cửa sổ lệnh (command line) của máy tính. Thậm chí, một số kẻ xấu còn đẩy xa hơn bằng cách thúc giục người dùng chạy các tập lệnh (script) có khả năng xâm nhập hệ thống và đánh cắp thông tin bảo mật, gây ra những rủi ro nghiêm trọng cho an ninh mạng cá nhân. Theo báo cáo từ Gen Digital, những thủ đoạn kỹ thuật xã hội này đã bùng nổ mạnh mẽ, cho thấy mức độ tinh vi và khả năng thích nghi nhanh chóng của tội phạm mạng.
CAPTCHA Độc Hại: Chiêu Trò Tinh Vi Gài Bẫy
CAPTCHA được thiết kế với mục đích bảo vệ website khỏi spam và bot, bằng cách yêu cầu người dùng chứng minh mình không phải là robot thông qua các bài kiểm tra đơn giản. Tuy nhiên, tin tặc đang lợi dụng sự quen thuộc này để tạo ra các CAPTCHA độc hại. Chúng có thể điều chỉnh CAPTCHA để tích hợp các tập lệnh ẩn (underlying scripts) nhằm đánh cắp thông tin người dùng. Bạn có thể gặp phải một câu đố với các chữ cái bị xáo trộn, hoặc một loạt bài kiểm tra dựa trên hình ảnh như “chọn tất cả các ô vuông có đèn giao thông”. Mọi thứ ban đầu đều trông có vẻ bình thường và không hề có dấu hiệu đáng ngờ trên bề mặt.
Sau khi vượt qua bước kiểm tra này, bạn có thể nhấp vào một nút tải xuống mà không biết rằng nó chứa một payload (tải trọng) ẩn độc hại, hoặc cấp quyền truy cập vào tài khoản của bạn cho kẻ tấn công. Các trang web độc hại này thường được thiết kế để bắt chước giao diện của các dịch vụ chính thức, sao chép thương hiệu và ngôn ngữ của chúng, khiến chúng hòa nhập hoàn toàn vào trải nghiệm duyệt web thông thường của người dùng. Điều quan trọng cần nhớ là một CAPTCHA hợp lệ sẽ không bao giờ yêu cầu bạn tải xuống bất kỳ thứ gì hoặc cung cấp các quyền truy cập bất thường nào.
Minh họa giao diện CAPTCHA giả mạo chứa mã độc để lừa đảo người dùng
Cẩn Trọng Với Hướng Dẫn YouTube Giả Mạo
Các video hướng dẫn trên các nền tảng video như YouTube cũng tiềm ẩn nhiều mối nguy hiểm. Những video này thường hứa hẹn giải quyết một vấn đề kỹ thuật khó chịu nào đó và ban đầu có vẻ hợp pháp với một người kể chuyện hướng dẫn bạn từng bước. Tuy nhiên, đâu đó trong video, hướng dẫn sẽ khuyên bạn chạy một tập lệnh (script) với quyền quản trị viên. Nguồn của tập lệnh này thường bị ẩn đằng sau một liên kết rút gọn hoặc một đoạn mã được dán trong phần mô tả video. Một chi tiết nhỏ có thể khiến bạn thoáng nghi ngờ, nhưng vì môi trường xung quanh có vẻ thân thiện, bạn quyết định tin tưởng và làm theo.
Kẻ tấn công dựa vào khoảnh khắc sơ suất đó để thực thi mã độc trên hệ thống của bạn. Một khi được chạy, mã này có thể dẫn đến việc đánh cắp thông tin đăng nhập và làm lộ hệ thống máy tính của bạn. Hãy cảnh giác với các video hướng dẫn đã tắt bình luận, hoặc các bình luận trông giống spam. Nếu video được đăng bởi các tài khoản lạ hoặc tài khoản mới với ít video, hãy đặc biệt cẩn trọng. Việc thiếu các tương tác cộng đồng hoặc sự minh bạch thường là dấu hiệu cảnh báo của nội dung không đáng tin cậy.
Lừa Đảo “Sửa Lỗi Tức Thì” (ClickFix Scams)
Bạn có thể nhận được một email hoặc một cửa sổ bật lên (popup) cảnh báo về một lỗ hổng bảo mật nghiêm trọng trên máy tính của mình, sau đó tuyên bố rằng chỉ cần một cú nhấp chuột vào một liên kết sẽ “vá” (patch) mọi thứ. Đằng sau lời hứa hấp dẫn này là một payload độc hại có thể cài đặt phần mềm gián điệp (spyware), ghi lại các thao tác bàn phím (keylogging), hoặc đánh cắp các token xác thực. Ý định của bạn có thể là sửa chữa một lỗi được cho là có, nhưng kết quả thực tế lại là bạn tự trao quyền kiểm soát cho một tin tặc. Nếu bạn thấy các cảnh báo bất ngờ trong cửa sổ bật lên của trình duyệt hoặc email, hãy đóng ngay tab hoặc email đó và báo cáo. Tuyệt đối không nhấp vào bất kỳ liên kết nào được cung cấp.
Cập Nhật Phần Mềm Giả Mạo: Mối Nguy Tiềm Ẩn
Các thông báo cập nhật giả mạo cũng là một chiêu trò phổ biến trong các hình thức lừa đảo trực tuyến. Một thông báo có thể đột nhiên xuất hiện, yêu cầu bạn nâng cấp khẩn cấp phần mềm diệt virus (mà có thể bạn thậm chí còn không cài đặt trên máy tính của mình). Thông báo khẩn cấp này có thể nói rằng nó đang chặn một mối đe dọa lớn. Một người dùng muốn yên tâm có thể nhấp chuột và làm theo hướng dẫn. Quá trình tưởng chừng như cập nhật kết thúc và hệ thống khởi động lại, nhưng giờ đây nó đã bị xâm nhập. Phần mềm giả mạo dưới dạng cập nhật diệt virus này có thể vô hiệu hóa các công cụ bảo vệ thực sự của bạn mà bạn không hề hay biết.
Tin tặc rất ưa thích phương pháp này vì họ lợi dụng mong muốn của người dùng muốn giữ cho hệ thống của mình được cập nhật và an toàn. Hãy nhớ, chỉ cập nhật phần mềm từ các nguồn chính thức hoặc các công cụ tích hợp sẵn trên thiết bị của bạn – đừng bao giờ tin tưởng các cửa sổ bật lên ngẫu nhiên, email lạ, hoặc các trang web đáng ngờ. Chỉ cài đặt và sử dụng phần mềm diệt virus từ các nguồn uy tín và được chứng nhận để đảm bảo an toàn tối đa cho hệ thống của bạn.
Cách Tự Bảo Vệ Bản Thân Khỏi Lừa Đảo Trực Tuyến
Mặc dù tội phạm mạng có rất nhiều cách để tấn công bạn, nhưng một vài biện pháp bảo vệ đơn giản dưới đây có thể giúp bạn ngăn chặn hầu hết các vấn đề tiềm ẩn.
Kiểm Tra Kỹ URL Trước Khi Nhấp
Đôi khi, việc xác nhận tính xác thực của một trang web hoặc kiểm tra tính hợp lệ của một tệp tải xuống có vẻ như là một việc vặt vãnh. Tuy nhiên, việc kiểm tra URL (địa chỉ web) là vô cùng quan trọng. Phát hiện một hậu tố tên miền lạ hoặc một tên miền phụ (subdomain) bất ngờ có thể giúp bạn tránh được những rủi ro lớn. Nếu một liên kết tuyên bố dẫn đến một trang web nổi tiếng, nhưng tên miền lại có thêm ký tự lạ hoặc dấu chấm câu đáng ngờ, bạn nên cẩn thận và không nhấp vào. Tội phạm mạng thường sao chép các thương hiệu lớn hoặc cổng dịch vụ bằng cách sửa đổi nhẹ tên miền, hy vọng bạn sẽ không nhận ra sự khác biệt và mắc bẫy.
Hình ảnh máy tính xách tay với các biểu tượng bảo mật và mạng Internet, nhấn mạnh việc bảo vệ dữ liệu khi truy cập web
Tuyệt Đối Không Chạy Lệnh Hay Script Ngẫu Nhiên
Việc sao chép và dán các lệnh từ các hướng dẫn trực tuyến đòi hỏi sự thận trọng đặc biệt. Rất dễ bị cám dỗ khi lấy một đoạn mã từ một diễn đàn hoặc video YouTube và dán thẳng vào Terminal hoặc Command Prompt của bạn. Hãy kiểm tra kỹ từng dòng lệnh trước khi nhấn Enter. Cảnh giác với các lệnh yêu cầu quyền đặc quyền cao (elevated privileges) – hãy tìm kiếm trên Google về lệnh đó nếu bạn cần. Chuyên gia cũng khuyến nghị không chạy các script với quyền quản trị viên (administrator) hoặc người dùng root trên Linux, vì khả năng hệ thống của bạn bị nhiễm mã độc là rất cao.
Cẩn Trọng Nguồn Cài Đặt Phần Mềm
Cài đặt phần mềm từ các nhà phát hành không rõ nguồn gốc luôn tiềm ẩn rủi ro. Tải xuống bất kỳ thứ gì từ các liên kết ngẫu nhiên hoặc các trang web đáng ngờ có thể dẫn đến các vấn đề bảo mật nghiêm trọng. Các cửa hàng ứng dụng chính thức, trang web của nhà cung cấp, hoặc các kho phần mềm uy tín là những lựa chọn an toàn hơn. Mặc dù không có gì đảm bảo bảo vệ tuyệt đối, nhưng ít nhất các nền tảng phổ biến này đều có một số quy trình sàng lọc bảo mật. Các trang web không chính thống thường hứa hẹn sự tiện lợi hoặc tuyên bố cung cấp các công cụ đắt tiền miễn phí. Ngay cả khi phần mềm đó hoạt động, nó vẫn có thể ẩn chứa những bất ngờ khác như theo dõi, khai thác dữ liệu hoặc phá hoại hệ thống của bạn.
Sử Dụng Tài Khoản Người Dùng Hạn Chế Quyền Quản Trị
Chạy hệ thống của bạn với quyền người dùng không phải quản trị viên bất cứ khi nào có thể cũng mang lại một môi trường an toàn hơn. Nhiều tác vụ thông thường không yêu cầu quyền truy cập đặc quyền. Nếu bạn chỉ duyệt internet, gửi email hoặc chỉnh sửa tài liệu, một hồ sơ người dùng tiêu chuẩn là đủ. Các cuộc tấn công dựa vào quyền quản trị viên sẽ không hoạt động nếu tài khoản của bạn không cấp mức quyền đó. Bạn có thể thấy một lời nhắc yêu cầu mật khẩu hoặc cảnh báo rằng một hành động yêu cầu quyền cao hơn. Dành một chút thời gian để từ chối các quyền bổ sung có thể bảo vệ bạn khỏi việc cho phép một thứ gì đó nguy hiểm chạy trên hệ thống.
Luôn Cập Nhật Hệ Thống Và Chương Trình
Việc giữ cho phần mềm được cập nhật vẫn là điều thiết yếu đối với an ninh mạng. Các nhà cung cấp sẽ vá các lỗ hổng ngay khi họ phát hiện ra chúng. Kẻ tấn công liên tục theo dõi chu kỳ vá lỗi. Ngay khi họ nhận thấy một sản phẩm được sử dụng rộng rãi có một lỗ hổng mới được tiết lộ, họ sẽ tạo ra một công cụ khai thác nhắm vào những người dùng chưa cập nhật. Việc trì hoãn một bản cập nhật luôn tiềm ẩn rủi ro, và điều quan trọng là phải cài đặt các bản vá lỗi quan trọng để đi trước một bước so với những tin tặc này.
Kết luận
Tội phạm mạng ngày càng tinh vi trong việc sử dụng kỹ thuật xã hội để vượt qua các biện pháp phòng thủ phức tạp và tường lửa tân tiến. Yếu tố con người vẫn là thành phần rủi ro nhất trong bất kỳ chuỗi bảo mật nào. Mọi người đều có xu hướng tin tưởng người khác hoặc muốn giải quyết vấn đề nhanh chóng. Tội phạm lợi dụng sự đồng cảm hoặc tính cấp bách đó. Hãy tin vào bản năng của bạn khi bạn cảm thấy có điều gì đó không ổn và luôn giữ cho mình được cập nhật thông tin về các mối đe dọa an ninh mạng mới nhất. Việc chủ động tìm hiểu và áp dụng các biện pháp bảo mật cơ bản sẽ là lá chắn vững chắc nhất giúp bạn an toàn trên không gian mạng.
Bạn đã từng là nạn nhân của chiêu trò “tự lừa đảo bản thân” nào chưa? Hãy chia sẻ kinh nghiệm hoặc câu hỏi của bạn trong phần bình luận dưới đây để cùng Thích Công Nghệ nâng cao nhận thức cộng đồng về bảo mật trực tuyến!
Tài liệu tham khảo:
- Gen Digital Threat Report Q3 2024: https://www.gendigital.com/blog/insights/reports/threat-report-q3-2024
- How-To Geek: Don’t Take The Bait On These Phishing Scams: https://www.howtogeek.com/dont-take-the-bait-on-these-phishing-scams/
- How-To Geek: What Is Social Engineering And How Can You Avoid It: https://www.howtogeek.com/180186/htg-explains-what-is-social-engineering-and-how-can-you-avoid-it
- How-To Geek: Why Do I Have To Prove That I’m Not A Robot?: https://www.howtogeek.com/777804/why-do-i-have-to-prove-that-im-not-a-robot/
- How-To Geek: What Is A Data Packet?: https://www.howtogeek.com/797005/what-is-a-data-packet/
- How-To Geek: What To Do If You Get A Virus On Your Computer?: https://www.howtogeek.com/126911/what-to-do-if-you-get-a-virus-on-your-computer/
- How-To Geek: Not All Viruses Are Viruses: 10 Malware Terms Explained: https://www.howtogeek.com/174985/not-all-viruses-are-viruses-10-malware-terms-explained/
- How-To Geek: 5 Browser Security Myths That Need Busting: https://www.howtogeek.com/897630/5-browser-security-myths-that-need-busting/
- How-To Geek: Tips To Identify A Fake Virus Security Alert: https://www.howtogeek.com/tips-to-identify-a-fake-virus-security-alert/
- How-To Geek: Phishing Email Warning Signs To Look Out For: https://www.howtogeek.com/phishing-email-warning-signs-to-look-out-for
- How-To Geek: Best Antivirus Software: https://www.howtogeek.com/794451/best-antivirus-software/
- How-To Geek: How To Test A Suspicious Link Before Clicking It: https://www.howtogeek.com/838828/how-to-test-a-suspicious-link-before-clicking-it/
- How-To Geek: How To Spot A Fraudulent Website: https://www.howtogeek.com/729972/how-to-spot-a-fraudulent-website/
- How-To Geek: What Is Root On Linux?: https://www.howtogeek.com/737563/what-is-root-on-linux/
- How-To Geek: How To Report Phishing And Malicious Websites In Google Chrome: https://www.howtogeek.com/425541/how-to-report-phishing-and-malicious-websites-in-google-chrome/
- How-To Geek: Signs Your Windows Computer Has Malware: https://www.howtogeek.com/signs-your-windows-computer-has-malware/
- How-To Geek: Delaying Your Windows Updates? You Probably Shouldn’t: https://www.howtogeek.com/delaying-your-windows-updates-you-probably-shouldnt/
- How-To Geek: The Many Faces Of Social Engineering: https://www.howtogeek.com/devops/the-many-faces-of-social-engineering/
- How-To Geek: Common Online Scams To Watch Out For And How To Stay Safe: https://www.howtogeek.com/common-online-scams-to-watch-out-for-and-how-to-stay-safe/
