Logo CyberJutsu
Về chúng tôi
Học thử

Phishing Là Gì? Nhận Diện và Phòng Chống Tấn Công Hiệu Quả [2025]

Technical Writer
Social EngineeringPhishingWeb Fishing
Phishing Là Gì? Nhận Diện và Phòng Chống Tấn Công Hiệu Quả [2025]
Trong thế giới số hóa ngày nay, mỗi email bạn nhận, mỗi tin nhắn bạn mở, hay mỗi cuộc gọi bạn trả lời đều có thể là mồi nhử của một cuộc tấn công phishing tinh vi. Thống kê cho thấy 98% các cuộc tấn công mạng đều dựa vào yếu tố kỹ thuật xã hội — nghĩa là chúng nhắm vào con người, không phải công nghệ. Phishing là nghệ thuật "hack não người" - chiến thuật tận dụng sự tin tưởng, nỗi sợ hãi, hay sự tò mò để lừa nạn nhân tiết lộ thông tin nhạy cảm.

Bài viết này sẽ giúp bạn hiểu sâu về:

  • Bản chất của phishing và các hình thức tấn công phổ biến năm 2025
  • Dấu hiệu nhận diện email và tin nhắn phishing tinh vi
  • Câu chuyện thực tế từ các nạn nhân và bài học rút ra
  • Xu hướng phishing sử dụng AI và deepfake đang bùng nổ
  • Chiến lược phòng thủ toàn diện cho cá nhân và doanh nghiệp

Hãy cùng CyberJutsu phân tích sâu về loại tấn công nguy hiểm này và các biện pháp phòng thủ hiệu quả.

Phishing là gì? Hiểu về kẻ săn mồi kỹ thuật số

Phishing (phát âm: "fi-shing") là một hình thức tấn công mạng sử dụng kỹ thuật xã hội để lừa người dùng tiết lộ thông tin nhạy cảm như mật khẩu, thông tin tài khoản ngân hàng, hoặc dữ liệu cá nhân khác. Thuật ngữ này bắt nguồn từ ý tưởng về "câu cá" (fishing) - kẻ tấn công thả "mồi nhử" và chờ nạn nhân cắn câu.

Cơ chế hoạt động của phishing khá đơn giản nhưng hiệu quả đáng kinh ngạc:

  1. Kẻ tấn công tạo ra thông điệp giả mạo (email, tin nhắn, cuộc gọi)
  2. Thông điệp này được thiết kế để trông có vẻ đến từ nguồn đáng tin cậy (ngân hàng, mạng xã hội, đồng nghiệp...)
  3. Thông điệp thường tạo cảm giác khẩn cấp hoặc tò mò
  4. Nạn nhân được dẫn dắt để cung cấp thông tin nhạy cảm hoặc thực hiện hành động nguy hiểm (nhấp vào liên kết, tải tệp đính kèm...)

Những con số thống kê về phishing khiến chúng ta phải giật mình:

  • Theo APWG.EU, các vụ tấn công phishing đạt kỷ lục 1,27 triệu vụ trong quý 3 năm 2022, và xu hướng vẫn đang tăng
  • Ngành tài chính là mục tiêu hàng đầu, chiếm 23,2% tổng số vụ tấn công
  • Chi phí trung bình của một vụ tấn công phishing thành công đối với các công ty châu Âu là 4,35 triệu USD

Thay vì chỉ dừng lại ở lý thuyết, hãy xem xét tình huống này: Bạn nhận được email từ "ngân hàng" thông báo tài khoản của bạn đã bị đóng băng do hoạt động đáng ngờ. Email trông rất chuyên nghiệp, có logo, định dạng chính xác, và yêu cầu bạn "xác minh" thông tin bằng cách nhấp vào liên kết. Trong tình huống căng thẳng này, nhiều người sẽ vội vàng làm theo mà không kiểm tra kỹ - đó chính là khoảnh khắc phishing thành công.

Video: Black Hat SEO - Những dấu hiệu cho thấy trang web của bạn đã bị tấn công!

Các hình thức tấn công phishing phổ biến năm 2025

Phishing không chỉ là những email ngớ ngẩn đầy lỗi chính tả như trước đây. Năm 2025, chúng đã tiến hóa thành nhiều biến thể tinh vi và nguy hiểm.

1. Email phishing truyền thống

Vẫn là phương pháp phổ biến nhất, email phishing thường giả mạo các tổ chức uy tín như ngân hàng, dịch vụ thanh toán, hoặc nền tảng xã hội. Kẻ tấn công thường dùng chiến thuật tạo cảm giác khẩn cấp: "Tài khoản của bạn sắp bị vô hiệu hóa", "Phát hiện giao dịch đáng ngờ", "Cập nhật bảo mật ngay lập tức".

Điểm đáng chú ý là theo KnowBe4, số lượng email phishing ở Anh đã tăng 17,3% từ tháng 9/2024 đến tháng 2/2025 so với 6 tháng trước đó. Đáng báo động hơn, 76,4% các chiến dịch sử dụng chiến thuật "polymorphic" - tức là liên tục thay đổi biến thể để vượt qua hệ thống bảo mật.

2. Spear phishing (Phishing nhắm mục tiêu)

Không như phishing đại trà, spear phishing nhắm vào cá nhân hoặc tổ chức cụ thể với thông điệp được cá nhân hóa cao. Kẻ tấn công thường nghiên cứu kỹ về nạn nhân thông qua mạng xã hội hoặc dữ liệu công khai (OSINT) để tạo email thuyết phục hơn.

Một mẩu tin ít người biết: Theo số liệu từ Anh năm 2025, 64% các cuộc tấn công spear phishing nhắm vào vai trò kỹ thuật trong tổ chức. Điều này cho thấy kẻ tấn công đang tập trung vào những người có quyền truy cập hệ thống quan trọng.

3. Whaling (Phishing đánh vào "cá voi")

Whaling là spear phishing cấp cao, nhắm vào những "cá voi" như CEO, CFO và các vị trí điều hành cao cấp. Mục tiêu thường là chiếm đoạt thông tin nhạy cảm hoặc khởi động các giao dịch tài chính lớn.

4. Smishing (SMS Phishing)

Smishing sử dụng tin nhắn SMS thay vì email. Thông điệp thường ngắn gọn, tạo cảm giác khẩn cấp và chứa liên kết độc hại. Ví dụ phổ biến là tin nhắn giả mạo ngân hàng thông báo giao dịch đáng ngờ, yêu cầu bạn xác nhận bằng cách nhấp vào liên kết.

5. Vishing (Voice Phishing)

Vishing sử dụng cuộc gọi điện thoại để lừa nạn nhân. Kẻ tấn công thường mạo danh nhân viên ngân hàng, cơ quan thuế, hoặc hỗ trợ kỹ thuật. Theo ENISA (Cơ quan An ninh mạng Liên minh châu Âu), năm 2024-2025 đã chứng kiến sự gia tăng đáng kể của vishing kết hợp công nghệ deepfake - kẻ tấn công sử dụng AI để tạo giọng nói giả mạo người quen của nạn nhân.

6. QR phishing

Đây là hình thức tương đối mới, tận dụng sự phổ biến của mã QR sau đại dịch COVID-19. Kẻ tấn công phân phối mã QR (qua email, tin nhắn hoặc dán ở nơi công cộng) dẫn đến trang web độc hại. Theo Hoxhunt, năm 2025 đã chứng kiến sự bùng nổ của QR phishing, với các chiến dịch lớn nhắm vào khách hàng của các ngân hàng lớn và dịch vụ thanh toán.

7. Business Email Compromise (BEC)

BEC là hình thức tấn công phức tạp hơn, kẻ tấn công xâm nhập hoặc giả mạo email doanh nghiệp để thực hiện hành vi lừa đảo. Ví dụ phổ biến là gửi yêu cầu thanh toán giả mạo từ nhà cung cấp hoặc đối tác kinh doanh. Theo APWG, các cuộc tấn công BEC đã tăng 59% từ quý 2 đến quý 3 năm 2022, với số tiền trung bình yêu cầu trong mỗi giao dịch lừa đảo là 93.881 USD.

Theo một nghiên cứu từ ENISA, sự đa dạng hóa các hình thức tấn công phishing là một phần trong chiến lược của kẻ tấn công để vượt qua các biện pháp bảo mật ngày càng phức tạp. Điều này đòi hỏi cách tiếp cận phòng thủ toàn diện, không chỉ dựa vào một biện pháp bảo vệ duy nhất.

Nhận diện tấn công phishing: Những dấu hiệu quan trọng

Việc nhận diện email hoặc tin nhắn phishing không phải lúc nào cũng dễ dàng, đặc biệt khi kẻ tấn công ngày càng tinh vi. Tuy nhiên, có những dấu hiệu cảnh báo mà bạn cần chú ý:

1. Địa chỉ email đáng ngờ

Hãy kiểm tra kỹ địa chỉ email người gửi. Kẻ tấn công thường sử dụng địa chỉ trông có vẻ hợp pháp nhưng có sai sót nhỏ. Ví dụ:

  • support@faceb00k.com thay vì facebook.com
  • netflix-support@gmail.com thay vì @netflix.com
  • apple-id-verify@secure-appple.com

Mẹo kiểm tra: Luôn di chuột qua (hover) tên người gửi để xem địa chỉ email thực sự. Nếu công ty lớn gửi email cho bạn, họ sẽ sử dụng tên miền chính thức, không phải dịch vụ email miễn phí như Gmail hay Hotmail.

2. Lỗi chính tả và ngữ pháp

Các thông báo chính thức từ tổ chức uy tín thường được soạn thảo và kiểm tra kỹ lưỡng. Lỗi chính tả, ngữ pháp kém hoặc định dạng lạ là dấu hiệu đáng ngờ. Tuy nhiên, đáng lưu ý là với sự hỗ trợ của AI, email phishing năm 2025 đã trở nên chuyên nghiệp hơn rất nhiều về mặt ngôn ngữ.

3. Yêu cầu thông tin cá nhân hoặc tài chính

Các tổ chức uy tín sẽ không bao giờ yêu cầu thông tin nhạy cảm như mật khẩu, thông tin thẻ tín dụng đầy đủ, hoặc mã OTP qua email. Nếu bạn nhận được yêu cầu như vậy, đó gần như chắc chắn là lừa đảo.

"Ngân hàng và các tổ chức tài chính chính thống không bao giờ gửi email yêu cầu bạn cung cấp thông tin nhạy cảm hoặc nhấp vào liên kết để cập nhật thông tin tài khoản. Họ thường yêu cầu bạn đăng nhập trực tiếp vào website chính thức hoặc ứng dụng của họ." - Chuyên gia ATTT CyberJutsu

4. Tạo cảm giác khẩn cấp

Email phishing thường tạo cảm giác khẩn cấp để bạn hành động mà không suy nghĩ. Các cụm từ như "Hành động ngay", "Tài khoản của bạn sẽ bị khóa", "Vi phạm bảo mật", "Xác minh ngay lập tức" là những dấu hiệu cảnh báo phổ biến.

5. Liên kết và tệp đính kèm đáng ngờ

Luôn kiểm tra liên kết trước khi nhấp vào bằng cách di chuột qua để xem URL đầy đủ. Các liên kết lừa đảo thường có địa chỉ dài bất thường hoặc tên miền khác với tổ chức mà họ tuyên bố đại diện. Tương tự, tệp đính kèm không mong đợi, đặc biệt là các loại tệp có thể thực thi như .exe, .zip, hoặc tài liệu Office có macro, nên được coi là nguy hiểm.

Mẹo kiểm tra: Trong hầu hết các trình duyệt, khi bạn di chuột qua một liên kết, URL thực sẽ hiển thị ở góc dưới bên trái của trình duyệt. Chú ý đến tên miền thực sự - phần ngay sau "https://" và trước dấu gạch chéo đầu tiên.

6. Lời chào chung chung

Các email phishing thường sử dụng lời chào chung chung như "Kính gửi Khách hàng" hoặc "Kính gửi Người dùng" thay vì tên cụ thể của bạn. Tuy nhiên, lưu ý rằng với dữ liệu rò rỉ và công cụ AI, nhiều email phishing hiện nay đã có thể cá nhân hóa cao, kể cả việc sử dụng đúng tên của bạn.

7. Nội dung quá tốt để là thật

Đề nghị "quá hời", thông báo trúng thưởng bất ngờ, hoặc cơ hội kiếm tiền dễ dàng thường là những cái bẫy. Hãy luôn nhớ nguyên tắc: Nếu điều gì đó nghe có vẻ quá tốt để là thật, thì nó có thể không thật.

8. Hình ảnh thương hiệu chất lượng thấp

Các tổ chức chuyên nghiệp sẽ sử dụng hình ảnh thương hiệu chất lượng cao trong email chính thức. Logo mờ, có độ phân giải thấp, hoặc màu sắc không đúng là dấu hiệu đáng ngờ.

Việc nhận biết các dấu hiệu này đòi hỏi sự chú ý và thận trọng. Khi có nghi ngờ, tốt nhất là không nhấp vào bất kỳ liên kết nào và liên hệ trực tiếp với tổ chức thông qua các kênh chính thức để xác minh.

Bài học từ những câu chuyện thực tế về nạn nhân phishing

Không gì dạy chúng ta tốt hơn những bài học từ trải nghiệm thực tế. Dưới đây là một số câu chuyện đáng chú ý về các vụ phishing và những bài học rút ra:

Vụ mất cryptocurrency 140.000 USD

Một người dùng Reddit đã chia sẻ câu chuyện đau lòng về việc mất 140.000 USD trong một vụ lừa đảo phishing tinh vi. Kẻ lừa đảo đã xây dựng lòng tin trong thời gian dài và cuối cùng thuyết phục nạn nhân chuyển một khoản cryptocurrency lớn. Nhìn lại, nạn nhân nhận ra có "nhiều cờ đỏ hơn một cuộc mít tinh cộng sản" trong quá trình này - nhưng kẻ lừa đảo quá thuyết phục đến nỗi đã che mờ phán đoán của họ.

Bài học rút ra: Ngay cả những người am hiểu công nghệ cũng có thể bị lừa khi cảm xúc lấn át lý trí. Nếu bạn đang được hướng dẫn thực hiện một khoản thanh toán hoặc chuyển tiền lớn, hãy tạm dừng và tham khảo ý kiến thứ hai, bất kể tình huống có vẻ chân thực đến đâu.

Demo phishing trực tiếp tại hội nghị DEF CON

Một bình luận trên Reddit đã phá tan huyền thoại rằng "không ai lại đưa thông tin cho người gọi ngẫu nhiên." Họ đã chứng kiến một chuyên gia kỹ thuật xã hội gọi điện cho một cửa hàng pizza nhượng quyền trực tiếp tại DEF CON (một hội nghị bảo mật) và khai thác được rất nhiều thông tin nhạy cảm từ nhân viên. Nhân viên đã tự do cung cấp thông tin chi tiết chỉ vì người gọi nghe có vẻ có thẩm quyền và thân thiện.

Bài học rút ra: Hãy đào tạo bản thân và nhân viên của bạn xác minh danh tính, ngay cả đối với những yêu cầu có vẻ vô hại. Nếu một người lạ có thể khai thác thông tin nội bộ "chỉ bằng cách hỏi một cách lịch sự", đó là một vấn đề.

Vụ tài khoản email bị chiếm đoạt

Một người dùng Hacker News đã chia sẻ cách tài khoản email an toàn của họ bị chiếm đoạt vì kẻ tấn công đã sử dụng kỹ thuật xã hội với nhân viên hỗ trợ của nhà cung cấp email. Kẻ tấn công đã mạo danh chủ tài khoản và thuyết phục bộ phận hỗ trợ đặt lại mật khẩu, mặc dù trả lời sai các câu hỏi bảo mật.

Nạn nhân than thở rằng "cho đến khi [nhà cung cấp] giải quyết yếu tố con người của bảo mật, bảo mật kỹ thuật của họ là thứ yếu." Nói cách khác, mã hóa tốt nhất hoặc tường lửa có ý nghĩa không nhiều nếu nhân viên có thể bị lừa mở cửa trước.

Bài học cho tổ chức: Tăng cường quy trình xác minh danh tính trong các cuộc gọi hỗ trợ và đào tạo nhân viên tuân thủ chúng một cách nghiêm ngặt. Tất cả các biện pháp bảo vệ kỹ thuật có thể bị phá vỡ bởi một nhân viên dịch vụ khách hàng tử tế nhưng bị lừa.

Vụ chuyển tiền 35 triệu USD bằng giọng nói deepfake

Vào năm 2023, kẻ lừa đảo đã sử dụng công nghệ deepfake để tạo ra giọng nói của giám đốc công ty, thuyết phục nhân viên chuyển khoản 35 triệu USD. Cuộc tấn công tinh vi này cho thấy AI đã biến đổi hoàn toàn khả năng của kẻ tấn công trong việc mạo danh những người có thẩm quyền.

Bài học rút ra: Trong thời đại deepfake, tổ chức cần thiết lập các quy trình xác minh đa lớp cho các giao dịch quan trọng, không chỉ dựa vào nhận dạng giọng nói.

Những khoảnh khắc "suýt nữa"

Nhiều người thừa nhận họ đã suýt trở thành nạn nhân của các vụ lừa đảo. Một chủ đề trên Reddit có người dùng mô tả đã "nửa tỉnh nửa mê" khi họ gần như nhấp vào email lừa đảo thuyết phục, chỉ dừng lại ở giây phút cuối cùng. Những câu chuyện như thế này rất phổ biến - một khoảnh khắc lơ đãng có thể xảy ra với bất kỳ ai.

Bài học rút ra: Một khuyến nghị phổ biến từ cộng đồng là chậm lại và kiểm tra kỹ các thông tin liên lạc không mong đợi, đặc biệt khi mệt mỏi hoặc căng thẳng. Kẻ lừa đảo thường tấn công vào những thời điểm bận rộn với hy vọng bạn sẽ phản ứng theo bản năng. Việc xây dựng thói quen hoài nghi và kiểm tra kỹ đã cứu những người dùng này khỏi thảm họa, và đó là thói quen tất cả chúng ta cần phát triển.

Những câu chuyện thực tế này nhấn mạnh rằng các cuộc tấn công kỹ thuật xã hội có thể đánh lừa bất kỳ ai, từ nhân viên cấp thấp đến giám đốc điều hành. Mặt tích cực là mỗi câu chuyện cũng nêu bật một bài học - dù là một dấu hiệu đáng ngờ giờ đây có vẻ hiển nhiên, hay một chính sách có thể đã ngăn chặn vụ vi phạm. Bằng cách học hỏi từ sai lầm của người khác, chúng ta có thể tăng cường phòng thủ của chính mình.

AI và tương lai của phishing: Đối mặt với các mối đe dọa mới

Thế giới phishing đang bước vào kỷ nguyên mới với sự hỗ trợ của trí tuệ nhân tạo (AI), làm thay đổi hoàn toàn cục diện trò chơi mèo đuổi chuột giữa kẻ tấn công và người dùng.

1. Deepfake voice & video scams

Những tiến bộ trong AI có nghĩa là kẻ lừa đảo có thể tạo bản sao giọng nói hoặc thậm chí tạo video giả thực tế của mọi người. Đã có những trường hợp trong năm 2023-2024 khi tội phạm sử dụng bản ghi âm giọng nói tạo bởi AI để mạo danh CEO và giám đốc điều hành, lừa cấp dưới chuyển số tiền lớn.

Trong một sự cố, những kẻ lừa đảo đã sử dụng giọng nói deepfake của giám đốc công ty để ủy quyền chuyển khoản ngân hàng 35 triệu USD. Hãy tưởng tượng nhận được cuộc gọi nghe chính xác như giọng sếp của bạn hướng dẫn bạn chuyển tiền - đó hiện là một thực tế. Tương tự, video deepfake có thể được sử dụng trong các cuộc gọi video hoặc tin nhắn để giả dạng đồng nghiệp hoặc thành viên gia đình đáng tin cậy.

Công nghệ này làm cho khía cạnh "mạo danh" của kỹ thuật xã hội trở nên đáng sợ một cách hiệu quả.

2. AI-written phishing và chatbots

AI tạo sinh (như chatbot nâng cao) có thể tạo ra các thông điệp lừa đảo cực kỳ hoàn chỉnh và cá nhân hóa ở quy mô lớn. Email lừa đảo không còn đầy lỗi chính tả - AI có thể soạn thảo email trôi chảy, nhận thức về ngữ cảnh khó phân biệt với giao tiếp con người thực sự.

Kẻ tấn công có thể cung cấp thông tin cá nhân (có thể thu thập từ mạng xã hội) và để AI tạo ra email lừa đảo nhắm đến sở thích hoặc vai trò công việc của từng nạn nhân. Cũng có lo ngại về việc chatbot AI được sử dụng trong các tương tác lừa đảo thời gian thực - ví dụ, bot độc hại tham gia với nạn nhân trong các cuộc trò chuyện văn bản thuyết phục, bắt chước hỗ trợ khách hàng hoặc thậm chí người thân yêu.

Với AI, một kẻ tấn công có thể tự động hóa hàng nghìn cuộc trò chuyện được tạo riêng, biến kỹ thuật xã hội thành một trò chơi số lượng nghiêng về phía họ.

3. Mờ nhòa thực tại (Voice cloning & Fake identities)

Ngoài các vụ lừa đảo CEO cấp cao, người bình thường cũng có nguy cơ bị lừa dối bởi AI. Công cụ nhân bản giọng nói đã trở nên dễ tiếp cận - kẻ lừa đảo đã sử dụng chúng để bắt chước giọng nói trẻ em trong các vụ lừa đảo khẩn cấp ("Mẹ ơi, con đã bị bắt cóc, gửi tiền đi!") và gần như thành công vì phụ huynh thực sự tin rằng họ đã nghe thấy con mình.

Về phía doanh nghiệp, AI có thể tạo ra nhân vật và hồ sơ giả với hình ảnh người không tồn tại (nhưng trông thực tế). Những danh tính giả này có thể được sử dụng trên LinkedIn hoặc trong chuỗi email để xây dựng lòng tin trước khi khởi động lừa đảo.

Tại CyberJutsu, chúng tôi nhận thấy kẻ tấn công đang ngày càng tinh vi trong việc tạo ra các kịch bản lừa đảo có yếu tố con người cao. Giải pháp không phải là lo sợ công nghệ, mà là hiểu và chuẩn bị cho những thách thức mới này.

"Phishing không còn chỉ là game của kẻ nghiệp dư. Với sự hỗ trợ của AI, ranh giới giữa thật và giả đang dần mờ nhòa. Điều này đòi hỏi chúng ta phải tinh chỉnh lại bộ lọc hoài nghi và xây dựng quy trình xác minh đa tầng." - Chuyên gia CyberJutsu

Chiến lược phòng thủ toàn diện chống lại phishing

Mặc dù các cuộc tấn công phishing đang ngày càng tinh vi, kiến thức và cảnh giác vẫn là phòng thủ tốt nhất của chúng ta. Công nghệ đơn thuần không thể giải quyết yếu tố con người, vì vậy cần một cách tiếp cận đa lớp. Dưới đây là các chiến lược hiệu quả để phòng chống phishing:

1. Xây dựng văn hóa nhận thức bảo mật

Tuyến phòng thủ đầu tiên là người dùng có kiến thức và hoài nghi. Hãy thực hiện đào tạo nhận thức bảo mật thường xuyên, không phải chỉ là một buổi nhàm chán mỗi năm một lần. Mọi người từ CEO đến thực tập sinh nên hiểu các thủ đoạn kỹ thuật xã hội phổ biến và cảm thấy có trách nhiệm với bảo mật.

Nhấn mạnh rằng việc chậm lại và xác minh các yêu cầu bất thường là điều bình thường. Khuyến khích môi trường làm việc nơi nhân viên cảm thấy thoải mái khi kiểm tra lại một email hoặc cuộc gọi điện thoại trước khi hành động - tốt hơn là xác minh còn hơn là hối tiếc.

Các doanh nghiệp nên vun đắp văn hóa nơi mọi người cảm thấy thoải mái khi báo cáo các sự cố đáng ngờ mà không sợ bị chế giễu hoặc trừng phạt. Nhiều vụ vi phạm dữ liệu có thể được ngăn chặn nếu nhân viên nhanh chóng báo cáo khi họ nhận ra đã mắc sai lầm.

2. Xác minh, rồi mới tin tưởng

Cách tiếp cận đơn giản nhưng hiệu quả là "xác minh và xác thực" - trao quyền cho mọi người dùng xác minh danh tính và yêu cầu thông qua kênh thứ hai. Nếu bạn nhận được email từ CFO của bạn về chuyển khoản, gọi cho họ theo số điện thoại đã biết để xác nhận. Nếu một người "hỗ trợ CNTT" gọi điện, hãy xác minh danh tính của họ qua đường dây hỗ trợ chính thức của công ty.

Các công ty nên tạo chính sách rõ ràng cho việc xác minh: ví dụ, yêu cầu nhân viên xác nhận bất kỳ yêu cầu nào về dữ liệu nhạy cảm hoặc hành động bất thường với người giám sát hoặc người được cho là yêu cầu trực tiếp.

Nhấn mạnh rằng không có cơ quan hợp pháp nào sẽ phản đối hoặc vội vàng ở bước xác minh này - nếu họ làm vậy, đó chính là một dấu hiệu cảnh báo.

3. Mô phỏng và đào tạo liên tục

Đừng đợi đến cuộc tấn công thực để kiểm tra người dùng. Nhiều tổ chức chạy các chiến dịch mô phỏng phishing để giữ cho nhân viên luôn cảnh giác. Một người dùng Reddit chia sẻ rằng công ty của họ gửi email phishing giả hàng tháng và sau đó cung cấp phản hồi đào tạo ngay lập tức, và lưu ý rằng những bài tập này "có thể vui và khá hiệu quả."

Những mô phỏng như vậy, khi được thực hiện theo cách tích cực, không đổ lỗi, sẽ cải thiện đáng kể khả năng phát hiện tấn công của mọi người. Các khóa học nhận thức bảo mật tương tác, trò chơi, hoặc thậm chí các bài tập đóng vai (như lừa đảo qua điện thoại giả) có thể truyền đạt bài học hiệu quả hơn các bài giảng khô khan.

Tại CyberJutsu, chúng tôi thực hiện triết lý "Learning by Breaking" - nghĩa là học thông qua trải nghiệm thực tế. Các học viên tham gia khóa học Web Pentest 2025 được đào tạo cả hai phía - cách kẻ tấn công tạo ra các trang phishing và cách phát hiện chúng, giúp họ phát triển "con mắt bảo mật" sắc bén hơn.

4. Sử dụng công nghệ để tăng cường cảnh giác

Mặc dù nhận thức của con người là chìa khóa, các công cụ kỹ thuật có thể giảm gánh nặng tránh được các vụ lừa đảo. Đảm bảo bạn có bộ lọc spam mạnh mẽ và cổng bảo mật email đánh dấu hoặc chặn nội dung lừa đảo đã biết.

Triển khai xác thực đa yếu tố (MFA) trên tất cả các tài khoản quan trọng - theo cách đó, ngay cả khi mật khẩu vô tình bị tiết lộ, tài khoản vẫn có thể được bảo vệ bởi yếu tố thứ hai. Tương tự, sử dụng tính năng chống lừa đảo trong trình duyệt và đào tạo nhân viên sử dụng trình quản lý mật khẩu (không tự động điền thông tin đăng nhập trên các trang web giả mạo).

Các công cụ này không hoàn hảo, nhưng chúng làm giảm lượng mối đe dọa tiếp cận người dùng và cung cấp một lưới an toàn cho những sai sót.

5. Thiết lập quy trình rõ ràng

Tổ chức nên có quy trình xác định rõ ràng cho các hoạt động nhạy cảm, và mọi người nên biết chúng. Ví dụ, nếu bộ phận tài chính có chính sách "Bất kỳ giao dịch nào trên 10.000 USD đều yêu cầu phê duyệt bằng lời nói từ hai nhà quản lý", sẽ khó hơn nhiều cho một email CEO giả thành công.

Kế hoạch ứng phó sự cố nên bao gồm các bước cho các sự cố kỹ thuật xã hội (ví dụ: phải làm gì nếu nhân viên nhận ra họ đã rò rỉ thông tin). Thường xuyên nhắc nhở và cập nhật nhân viên về các chính sách này để các vụ lừa đảo nổi bật như các sai lệch.

6. Tận dụng nguồn lực cộng đồng và chuyên gia

Có rất nhiều nguồn lực để cải thiện khả năng phòng thủ của con người. Nhiều công ty sử dụng nền tảng như KnowBe4 hoặc Cofense để mô phỏng phishing và đào tạo liên tục; người dùng báo cáo rằng những công cụ này giúp nhân viên cẩn thận hơn với email bằng cách dạy ngay lập tức tại sao một liên kết giả đã nhấp vào là nguy hiểm.

Để có chuyên môn sâu hơn, hãy cân nhắc các hội thảo đào tạo chính thức - một số chuyên gia thậm chí còn cung cấp các khóa học về "tự vệ kỹ thuật xã hội" để dạy các kỹ năng thực tế. Các hội nghị ngành và cộng đồng trực tuyến thường xuyên chia sẻ các kỹ thuật lừa đảo mới nhất đang lưu hành; khuyến khích nhóm của bạn cập nhật thông qua bản tin hoặc diễn đàn.

Học tập liên tục là rất quan trọng, vì kẻ tấn công chắc chắn sẽ tiếp tục cập nhật chiến thuật của họ.

Kết luận: Cuộc chiến chống phishing không có điểm kết thúc

Phishing là một cuộc đấu trí, đặt những kẻ thao túng độc hại chống lại khả năng của chúng ta để luôn thông tin và cảnh giác. Nó khai thác chính những phẩm chất làm cho chúng ta là con người - sự tin tưởng, sự giúp đỡ, nỗi sợ hãi - và do đó, nó vẫn là một trong những mối đe dọa dai dẳng nhất trong an ninh mạng.

Tuy nhiên, bằng cách hiểu các chiến thuật phổ biến được sử dụng, nhận ra dấu hiệu cảnh báo của một vụ lừa đảo, và liên tục giáo dục bản thân cũng như cộng đồng của chúng ta, chúng ta có thể giảm thiểu tác động của nó.

Điểm quan trọng là bảo mật là trách nhiệm của mọi người. Cho dù bạn là CEO hay thực tập sinh, việc biết cách phát hiện email lừa đảo hoặc nghi ngờ một cuộc gọi đáng ngờ cũng quan trọng như việc có mật khẩu mạnh. Công nghệ có thể giúp bằng cách đánh dấu các mối nguy hiểm, nhưng cuối cùng thì mỗi chúng ta phải tạm dừng và suy nghĩ: "Đây có thể là một trò lừa không?" trước khi phản hồi các yêu cầu bất thường.

Kẻ tấn công luôn đổi mới - từ thủ đoạn tâm lý mới đến giọng nói giả mạo AI - vì vậy chúng ta cũng phải tiếp tục phát triển khả năng phòng thủ của mình thông qua nhận thức và đào tạo liên tục. Những người hacker mũ trắng tại CyberJutsu làm việc không mệt mỏi để theo dõi và phân tích các kỹ thuật tấn công mới nhất thông qua các khóa học như Web Pentest 2025RedTeam 2025, đảm bảo bạn luôn đi trước một bước.

Cuối cùng, việc giữ an toàn trước phishing phụ thuộc vào một nguyên tắc đơn giản: duy trì sự hoài nghi lành mạnh và xác minh trước khi tin tưởng. Bằng cách áp dụng tư duy đó một cách nhất quán, bạn sẽ giảm đáng kể khả năng trở thành nạn nhân tiếp theo của một vụ lừa đảo tinh vi. Hãy cảnh giác, luôn cập nhật thông tin, và bạn có thể vượt qua những kẻ lừa đảo đang ẩn nấp trong bóng tối kỹ thuật số.

Biện pháp phòng thủ tốt nhất của bạn không phải là bất kỳ công cụ hay chương trình đơn lẻ nào - đó chính là bạn và cam kết của bạn để luôn đi trước một bước so với các thủ thuật và chiến thuật đằng sau các cuộc tấn công phishing. Hãy nhớ rằng, trong an ninh mạng, yếu tố con người có thể là mắt xích yếu nhất, nhưng với kiến thức và sự cảnh giác, nó cũng có thể là phòng thủ mạnh nhất.

Tài liệu tham khảo

Albert Einstein

"Education is not the learning of facts,
but the training of the mind to think"

CÔNG TY CỔ PHẦN CYBER JUTSU

Số 3 Nguyễn Xuân Ôn, Phường 2, Quận Bình Thạnh, TP Hồ Chí Minh

Mã số thuế: 0314377455

Hotline: 0906622416

Phản ánh chất lượng dịch vụ: 0906622416

Email liên hệ: contact@cyberjutsu.io

Chịu trách nhiệm nội dung: Nguyễn Mạnh Luật

Khóa học

Web Penetration Testing

Red Team - Exploit 101

1DAY ANALYSIS

Lộ trình học tập

Road Map

Tất cả khóa học

Cộng đồng

Blog

Videos

Cảm nhận học viên

Hall of Fame

Kiểm tra kiến thức

Liên hệ

Chính sách

Lớp học Live Online

Flipped Classroom

Chương trình giới thiệu

Xem tất cả chính sách

Copyright © 2025 CyberJutsu JSC. All Rights Reserved.