• Thứ Sáu, 04/07/2014 14:52 (GMT+7)

    5 kiểu lừa đảo phổ biến trên mạng

    Huy Thắng
    Lừa đảo trên mạng ngày càng phổ biến và tinh vi hơn bao giờ hết. Theo các chuyên gia, kẻ lừa đảo có thể cài đặt phần mềm độc hại trên máy tính để lấy cắp thông tin cá nhân, xâm nhập tài khoản ngân hàng hoặc đột nhập vào nhà của bạn, thậm chí có thể hủy hoại danh tiếng của bạn.

    Có đến hàng chục, hàng trăm chiêu trò gian lận như vậy, nhưng với sự giúp đỡ của một số chuyên gia bảo mật, trang công nghệ Infoworld đã lựa chọn một danh sách "Top Five" các mối đe dọa trên mạng phổ biến nhất hiện nay, nhắm mục tiêu vào các cá nhân và các tổ chức. Bên cạnh đó, cũng cung cấp một số lời khuyên chung về cách phát hiện và phòng tránh những kiểu lừa đảo này.

    1. Chúng tôi giúp bạn tránh mã độc Cryptolocker!

    Đối với kiểu lừa đảo này, bọn tội phạm gửi email dụ nạn nhân tải về một bản vá bảo mật để "bảo vệ chống lại các phần mềm độc hại mới trên mạng". Theo một bài viết trên blog của chuyên viên phân tích John Zorabedian từ hãng bảo mật Sophos, đây là cách lừa đảo mà các hãng cung cấp phần mềm an ninh mạng đã phát hiện ra cách đây không lâu.

    Thay vì nhận được một bản vá bảo mật, nạn nhân sẽ tải về loại trojan Zbot mà bọn tội phạm mạng thường sử dụng để tải phần mềm độc hại khác vào một máy tính bị lây nhiễm. Điều quan trọng nhất mà người dùng cần lưu ý là các nhà cung cấp bảo mật hợp pháp không bao giờ cung cấp các bản vá lỗi trong một email.

    2. Gửi tiền cho cháu, nhưng đừng cho bố mẹ cháu biết nhé!

    Kiểu lừa đảo này tuy không mới nhưng hiện vẫn còn phổ biến. Phần lớn người dùng hiện nay thường đăng tải thông tin cá nhân quá nhiều trên các trang web mạng xã hội. Kẻ tấn công đã lợi dụng điều đó vì chúng dễ dàng cung cấp những thông tin đáng tin cậy về người thân của nạn nhân, thường là những người tương đối lớn tuổi như ông hoặc bà.

    Những kẻ tấn công bịa đặt ra câu chuyện hoặc là một người bạn hoặc là một thành viên trong gia đình đang gặp khó khăn ở nước khác và đang cần tiền, Michele Fincher, nhân viên của tổ chức Social-Engineer Inc. cho biết. Các yêu cầu giúp đỡ thường được kết hợp với một lời cầu xin im lặng vì xấu hổ hoặc không muốn bạn bè hoặc thành viên gia đình phải lo lắng.

    3. Xin chào, tôi gọi đến từ phòng kế toán công ty…

    Một kiểu lừa đảo nhiều giai đoạn mà theo Christopher Hadnagy, CEO của Social-Engineer Inc., cho biết là nhằm mục đích cấy ghép các phần mềm độc hại vào mạng các doanh nghiệp. Hacker gửi email, sau đó gọi điện thoại tự giới thiệu là nhân viên kế toán của một công ty đối tác, yêu cầu bạn hãy mở email đó ra với hy vọng sẽ giăng bẫy những nhân viên bất cẩn hoặc không thận trọng. "Đây có thể được xem như là một cuộc tấn công điển hình", ông Hadnagy nói. Chỉ cần mở email đó ra là bạn đã bị lây nhiễm những phần mềm độc hại lấy cắp thông tin cá nhân hay doanh nghiệp.

    Thông thường, các trường hợp hoạt động lừa đảo thành công bởi vì mọi người không "dừng lại và quan sát”. Bạn phải cân nhắc xem có biết nhân viên kế toán này không? Tại sao anh ta gửi cho mình báo cáo này? Có rất nhiều thứ đáng nghi ngờ, nhưng bạn cần suy nghĩ chín chắn để hiểu điều đó và biết đây là một hacker.

    4. Chúng tôi sẽ giúp bạn, vui lòng cung cấp số ID và tài khoản của bạn

    Một loại hình lừa đảo phổ biến nữa là mạo danh bộ phận hỗ trợ kỹ thuật để thành lập một cuộc tấn công qua mạng. Kiểu lừa đảo này hiện nay cũng vẫn còn phổ biến, bọn tội phạm gọi điện thoại hoặc gửi email, tự xưng đại diện hỗ trợ kỹ thuật hay "Helpdesk" của các doanh nghiệp khác nhau, từ những hãng như Microsoft, PayPal, Verizon, Netflix và những công ty dịch vụ khác. Theresa Payton, Chủ tịch kiêm giám đốc điều hành của hãng bảo mật Fortalice đồng thời cũng là cựu CIO của Nhà Trắng, cho biết kẻ lừa đảo đôi khi "khoe khoang” rằng sẽ cung cấp hỗ trợ và dịch vụ với một mức giá hàng tháng rất thấp nhưng thực sự không cung cấp bất kỳ hỗ trợ nào cả, hoặc tệ hơn là sẽ có được đầy đủ thông tin mà bạn đã vô tình cung cấp.

    Một cách khác, chúng sẽ cố gắng để nạn nhân bấm vào một liên kết tải bản cập nhật bảo mật và sửa lỗi, cho phép cài đặt phần mềm gián điệp hoặc phần mềm độc hại trên máy tính của bạn. Một báo cáo từ trang công nghệ Ars Technica ước tính rằng kiểu lừa đảo mạo danh hỗ trợ kỹ thuật đã thực hiện hàng chục vụ trị giá hàng triệu USD. Cách đơn giản để phát hiện lừa đảo mạo danh này là luôn nhớ một số lời khuyên đơn giản từ Microsoft: Công ty cũng như các đối tác của họ không bao giờ thực hiện các cuộc gọi điện thoại hỗ trợ kỹ thuật.

    5. Bạn đã trúng thưởng một vé miễn phí đến Brazil xem World Cup!

    Christopher Hadnagy, CEO của Social-Engineer Inc, cho biết đây là một kiểu lừa đảo đặc biệt vì chúng thường có một SSL (Secure Sockets Layer) hợp lệ. Điều này có nghĩa rằng tất cả mọi thứ thực sự trông rất hợp pháp. Bạn nên dành một chút thời gian để nhìn vào địa chỉ URL và biết về người sở hữu nó. Tất nhiên, nếu nạn nhân nhấp chuột vào một liên kết trong email thông báo trúng thưởng với hứa hẹn sẽ in vé, họ sẽ nhận được một trojan mà sau đó mục tiêu tấn công sẽ là để lấy cắp các chi tiết ngân hàng cá nhân.

    Hadnagy cho biết rằng ông không biết kiểu lừa đảo này bắt nguồn từ đâu. Nếu chưa phân tích các phần mềm độc hại này thì thật khó để kết luận. Nhưng chúng ta biết bọn tội phạm đang xâm nhập một cơ sở dữ liệu vì chúng có rất nhiều dữ liệu về khách hàng. Và chúng có nhiều khả năng sẽ có được thông tin ngân hàng của nạn nhân. Ông nói thêm rằng cũng không biết có bao nhiêu nạn nhân đã sập bẫy nhưng chỉ riêng ở Brazil đã có báo cáo cho thấy khoảng 50-60 liên kết lừa đảo mới được phát hiện mỗi ngày.

    Hãng bảo mật McAfee gọi lừa đảo tương tự liên quan đến World Cup là "Red Card Club", theo Robert Siciliano, CEO của IDTheftSecurity và cũng là một blogger của McAfee. Nó bao gồm 11 cầu thủ có tên trong các trang web có chứa những mối đe dọa lớn nhất của phần mềm độc hại lây nhiễm để người hâm mộ tham quan. Cristiano Ronaldo và Lionel Messi dẫn đầu danh sách này, tiếp theo là các cầu thủ bóng đá khác như Karim Ziani và Iker Cassillas.

    Ông Hadnagy cho biết kiểu lừa đảo này dường như có nguồn gốc ở Nam Mỹ và châu Âu, và mục tiêu là để các fan hâm mộ bóng đá cung cấp thông tin cá nhân để kẻ trộm có thể ăn cắp hoặc nhận được thông tin thẻ tín dụng của nạn nhân. Các trang web nhiều khả năng có chứa rủi ro thường là những trang cung cấp video cho thấy kỹ năng của vận động viên và cung cấp những liên kết tải về những mẫu ảnh bảo vệ màn hình. Cách tốt nhất để tránh bị lừa đảo như vậy là hãy cẩn thận với những liên kết cung cấp tải về miễn phí.