Từ Seattle – Các cuộc lừa đảo ‘phishing’, trong đó tội phạm mạng giả danh các tổ chức đáng tin cậy như ngân hàng, cơ quan chính phủ hay dịch vụ giao hàng, đang là mối đe dọa số một mà người dân Mỹ phải đối mặt. Những email và tin nhắn này được thiết kế để lừa người dùng cung cấp thông tin nhạy cảm như số bảo hiểm xã hội, mật khẩu hay số thẻ tín dụng. Theo báo cáo Internet Crime Report của FBI năm 2026, các cuộc tấn công phishing được cho là nguyên nhân chính của hầu hết các tội phạm mạng.
Số lượng lớn các cuộc tấn công qua email và tin nhắn văn bản đang khiến người dùng cảm thấy bị áp đảo. Trong quý đầu tiên của năm 2026, Microsoft Threat Intelligence đã ghi nhận khoảng 8,3 tỷ mối đe dọa phishing qua email.
Phishing qua tin nhắn văn bản (gọi là ‘smishing’) đang trở thành phương thức tấn công phổ biến nhất, chiếm 30% tổng số vụ lừa đảo quan sát được vào năm ngoái theo báo cáo Cyber Readiness Report.
Các cuộc tấn công phishing không còn giới hạn ở email và tin nhắn văn bản nữa. Tội phạm mạng đang sử dụng ứng dụng nhắn tin tức thời, mạng xã hội, quảng cáo sai lệch, mã QR giả và website nhái để lừa đảo.
John Castro đang xem máy tính trong lớp học kỹ năng gõ bàn phím do Free Geek tổ chức vào thứ Năm, ngày 15 tháng 5 năm 2025 tại Portland, Oregon (AP Photo/Jenny Kane)
“Các chiến thuật từng hiệu quả vào những năm 2010 nay đã thay đổi rất nhiều,” ông Mark Beare, Giám đốc kinh doanh người dùng tại Malwarebytes, một công ty an ninh số, cho biết. “Chúng đã phát triển rất, rất, rất nhiều hơn.”
Phishing giờ đây đã trở nên lợi nhuận cao đến mức Beare cho biết, các đối tượng xấu đang “chọn đầu tư tiền bạc để lừa người khác, giống như các công ty marketing sẽ làm trong việc thu hút khách hàng.”
Thuật ngữ ‘Phishing’ được chính thức đặt ra vào năm 1995 để mô tả những kẻ tội phạm sử dụng ‘mồi’ số học để ‘lôi kéo’ nạn nhân chia sẻ thông tin nhạy cảm.
Chúng ta đã tiến bộ rất nhiều so với những email ‘Nigerian Prince’ trước đây, nơi người gửi nói rằng bạn sẽ giàu có nếu giúp chuyển hàng triệu đô la ra khỏi châu Phi. Những email này thường chứa lỗi chính tả và sai ngữ pháp.
Hầu hết các cuộc tấn công phishing vẫn dựa vào những thủ thuật giao tiếp xã hội – sử dụng nỗi sợ, sự khẩn cấp, tò mò và những lời kêu gọi cảm xúc để lừa người dùng đánh đổi an ninh cá nhân. Chúng bao gồm các tin nhắn giả mạo nói rằng có vấn đề với việc giao hàng, cảnh báo rằng bạn nợ tiền đậu xe, hay có vấn đề với tờ khai thuế. Mục tiêu là khiến bạn phản ứng ngay lập tức mà không suy nghĩ.
Các cuộc tấn công mới nhất đã phát triển thành các chiến dịch tinh vi, khó nhận diện. Dưới đây là hai ví dụ về mối đe dọa mới: lời mời giả và biểu mẫu CAPTCHA bị nhiễm mã độc.
Những kẻ lừa đảo biết rằng đa số người dùng sẽ mở lời mời điện tử đến một buổi tiệc hay sự kiện xã hội. Vì vậy, họ đang gửi những lời mời độc hại trông giống như đến từ một nền tảng mời khách nổi tiếng như Evite, Paperless Post hoặc Punchbowl.
“Mặc dù nỗi sợ và sự khẩn cấp là những yếu tố phổ biến trong nhiều vụ lừa đảo, nhưng không phải là điều bắt buộc,” Eva Velasquez, Giám đốc điều hành của tổ chức phi lợi nhuận Identity Theft Resource Center, cho biết. “Với vụ lừa đảo qua Evite, các tội phạm đang sử dụng mong muốn kết nối và giao lưu xã hội của bạn để khiến bạn nhấp vào một liên kết mà bạn không kỳ vọng.”
Nếu bạn nhấp vào liên kết đó, điều tồi tệ có thể xảy ra: Hoặc phần mềm độc hại sẽ được tải xuống thiết bị của bạn, cho phép tội phạm trộm cắp thông tin cá nhân của bạn, hoặc bạn sẽ bị chuyển hướng đến website nhái của tội phạm, nơi sẽ yêu cầu bạn nhập mật khẩu email, từ đó cho phép tội phạm tiếp cận tài khoản email của bạn, có thể gây hậu quả nghiêm trọng.
Bạn có thể không coi email là tài khoản nhạy cảm, nhưng Velasquez cảnh báo rằng “đây là chìa khóa của vương quốc”, vì nếu tội phạm xâm nhập được tài khoản email của bạn, họ có thể sử dụng nó để đặt lại mật khẩu cho các tài khoản khác. Vì vậy, tuyệt đối đừng bao giờ nhập mật khẩu email của bạn trừ khi bạn đăng nhập vào tài khoản email của mình.
Kiểm tra địa chỉ email của người gửi.
Lời mời sẽ luôn đến từ địa chỉ URL chính thức của công ty. Nếu địa chỉ email là cá nhân như Gmail, Yahoo hay Hotmail, thì đó là giả.
Nhiều trang web yêu cầu bạn chứng minh rằng bạn là con người chứ không phải robot trước khi đăng nhập. Một phương pháp phổ biến là xác thực CAPTCHA.
Thường thì bạn sẽ thấy một lưới hình ảnh và được yêu cầu nhấp vào các vật thể (như đèn giao thông, xe hơi hoặc xe đạp), hoặc bạn sẽ được yêu cầu nhập một chuỗi các ký tự hoặc số bị méo mó hiển thị trên màn hình.
Bởi vì chúng ta thường xuyên gặp phải các thách thức CAPTCHA, chúng ta có thể phản ứng tự động theo hướng dẫn để chứng minh rằng chúng ta không phải là robot và tiến đến màn hình tiếp theo. Theo Malwarebytes, điểm độc ác của cuộc tấn công này là kết hợp một hành động quen thuộc với các hướng dẫn không phải như vậy.
Có nhiều biến thể khác nhau của cuộc tấn công CAPTCHA, nhưng biến thể phổ biến nhất bắt đầu bằng một lệnh độc hại được tự động sao chép vào clipboard của bạn, cùng với hướng dẫn chạy lệnh trong hộp thoại Run của Windows (Win + R). Hình ảnh dưới đây từ Malwarebytes cho thấy CAPTCHA hợp lệ bên trái và CAPTCHA giả bên dưới.
chia sẽ trên Twitter: Phishing tấn công 14 lần/ngày AI khiến lừa đảo khó phát hiện
