Tránh bị tấn công lừa đảo bằng email

Bạn cho rằng lừa đảo bằng email là cách tấn công lỗi thời? Bạn hãy suy nghĩ lại. Mặc dù có bộ lọc email spam thông minh hơn, nhưng trong các báo cáo lừa đảo bằng email độc đáo của Nhóm Hoạt Động Chống Lừa Đả cho thấy con số này tăng 18% trong bốn tháng cuối năm 2014, và các chuyên gia an ninh dự đoán rằng con số này sẽ tiếp tục tăng khi chúng ta đang bước dần sang năm 2016.

Lừa đảo bằng email vẫn là mánh khóe ăn cắp thông tin nhạy cảm phổ biến như mật khẩu, mật mã an ninh, và số thẻ tín dụng, cũng như chèn phần mềm độc hại vào các thiết bị cá nhân và hệ thống công ty. Thậm chí tài khoản LastPass cũng có thể là mục tiêu của tấn công lừa đảo bằng email. Việc bảo vệ khỏi lừa đảo bằng email xem khả năng phát hiện thông minh hơn bằng phần mềm của chúng tôi, và khả năng chuẩn bị sẵn sàng riêng biệt tốt hơn là hàng phòng thủ đầu tiên trong cuộc tấn công.

Sau đây là cách LastPass đấu tranh chống lại lừa đảo bằng email, và những việc bạn có thể làm để đẩy mạnh khả năng phát hiện lừa đảo bằng email cũng như để bảo vệ thông tin nhạy cảm nhất của bạn trong lúc bạn sơ ý nhất.

Lừa đảo bằng email là gì?

Tấn công lừa đảo bằng email xảy ra ở nhiều hình thức. Có nhiều email mạo nhận là ngân hàng của bạn yêu cầu xác nhận hoạt động tài khoản. Hoặc những hóa đơn giả mạo đề nghị bạn tải về tập tin đính kèm để xác nhận hoạt động mua hàng của bạn. Có thể xảy ra dưới hình thức quảng cáo hoặc đường dẫn độc hại trên các phương tiện truyền thông xã hội. Những kẻ tấn công còn có thể hướng bạn đến trang đăng nhập gần như giống với trang web nổi tiếng, đáng tin cậy mà bạn sử dụng.

Tấn công giả mạo spear-phishing là kiểu lừa đảo thậm chí mang tính cá nhân hơn. Những kẻ tấn công sẽ gửi email giả vờ như từ đồng nghiệp hoặc sếp, hoặc thậm chí từ phòng IT của bạn. Yêu cầu của chúng có vẻ như hợp lý với những gì chúng biết được về bạn để moi thêm thông tin hoặc đề nghị bạn tải về tập tin độc hại hoặc chuyển tiền.

Cách xác định các cuộc tấn công lừa đảo bằng email

Nhiều cuộc tấn công lừa đảo rất đơn giản và dễ xác định, nhưng số khác phức tạp hơn nhiều, vì vậy cần phải có một thái độ hoài nghi đủ để nhận biết các email, đường dẫn, và thông báo khả nghi. Sau đây là cách xác định một cuộc tấn công lừa đảo cơ bản:

  • Kiểm tra URL: Nhìn vào thanh địa chỉ của trang web mà bạn đã mở hoặc rê chuột trên đường dẫn để xem URL ở bên trái phía dưới trình duyệt của bạn nhằm khẳng định xem đó có phải là URL đáng tin cậy không hay là kẻ mạo danh trước khi bạn khởi chạy. Ví dụ như với LastPass bạn sẽ luôn nhìn thấy https://lastpass.com hoặc https://subdomain.lastpass.com. Tuy nhiên, một URL lừa đảo có thể trông như http://lastpass.otherdomain.com. Trong trường hợp này, tên miền thật sự là “otherdomain.com” và nên tránh.
    Image credit: Lifehacker

    Image credit: Lifehacker

  • Kiểm tra xem người được gửi: Luôn nghi ngờ, thận trọng trước những email được gửi đến “Kính gửi khách hàng” hoặc không có lời chào. Hầu hết những người bán lẻ ngày nay sẽ gửi đến bạn theo tên. Tuy nhiên, các cuộc tấn công lừa đảo theo kiểu spear-phishing thường nhằm cụ thể vào bạn, vì vậy không phải lúc nào cũng an toàn.
  • Bạn tự khởi chạy trang web: Nếu bạn không chắc, chỉ cần mở ra tab mới hoặc cửa sổ mới trong trình duyệt của bạn, nhập trực tiếp URL vào (hoặc khởi chạy từ trình quản lý mật khẩu của bạn) và bạn sẽ biết được là bạn có đang đến trang hợp lệ hay không.Screen Shot 2016-01-20 at 9.14.38 AM (2)
  • Kiểm tra xem trình quản lý mật khẩu của bạn có hiển thị thông tin đăng nhập khớp không: LastPass có thể giúp bảo vệ bạn khỏi lừa đảo bằng cách không tự động nạp thông tin đăng nhập của bạn trên trang giả mạo. Do tên miền không khớp với tên mà LastPass đã lưu, nên sẽ không điền dữ liệu của bạn. Kiểm tra URL nếu bạn thấy điều đó xảy ra.
  • Chậm lại khi bạn nhận thấy ngôn từ khẩn cấp: Bất kỳ điều gì khiến bạn hành động nhanh chóng hoặc nếu không có thể cố gắng điều khiển bạn thực hiện một điều gì đó thiếu suy nghĩ trước tiên.
  • Tự đặt câu hỏi cho mình: Tôi có yêu cầu người này gửi tập tin đính kèm cho tôi không? Đây có phải là điều đặc biệt bất thường ở người kia không? Nếu nghi ngờ, luôn giữ thái độ hoài nghi và chỉ đặt câu hỏi.
  • Kiểm tra HTTPS:// và khóa móc: Khi bạn đang truy cập trên một trang web, hãy luôn kiểm tra thanh URL mà bạn đang kết nối thông qua HTTPS để được kết nối an toàn và luôn có biểu tượng khóa móc, nghĩa là trang web đã được một hãng an ninh bên thứ ba kiểm tra xác minh. Screen Shot 2016-01-20 at 9.16.41 AM (2)

Khi cuộc tấn công lừa đảo nhằm vào trình quản lý mật khẩu của bạn

Các cuộc tấn công lừa đảo bằng email không còn giới hạn ở những email, qảng cáo, hoặc đường dẫn độc hại trên các phương tiện truyền thông xã hội. Một số cuộc tấn công lừa đảo thậm chí có thể cố gắng nhằm vào phần mở rộng mà bạn sử dụng trong trình duyệt của mình, kể cả giả mạo trình quản lý mật khẩu.
Ví dụ như một trang web độc hại có khả năng giả mạo phần mở rộng trình duyệt của bạn bằng cách hiển thị các thông báo yêu cầu thông tin như tên người dùng, mật khẩu, và mã xác thực hai yếu tố của bạn. Có thể khó nói được rằng những thông báo này thực tế đến từ trang web độc hại hơn là từ phần mở rộng trình duyệt của bạn.

Cách LastPass bảo vệ bạn khỏi các cuộc tấn công lừa đảo bằng email

  • Cảnh báo khi mật khẩu chính được nhập vào trang không phải LastPass: LastPass hiển thị thông báo cảnh báo mạnh mẽ, thậm chí trước khi bạn gửi mật khẩu chính của mình đến trang, bất kỳ lúc nào bạn cố gắng nhập mật khẩu chính LastPass của mình vào trang không phải LastPass. Bạn sẽ biết được ngay lập tức rằng mật khẩu chính của bạn có thể đã bị can thiệp và có thể thay đổi.
  • Yêu cầu xác minh thông tin đăng nhập từ các vị trí hoặc thiết bị lạ: LastPass có một quy trình xác minh kiểm tra có tính bắt buộc mỗi khi bạn cố gắng đăng nhập từ một vị trí hoặc thiết bị lạ. Vì vậy nếu bạn không cố ý nhập mật khẩu chính của mình và dữ liệu hai yếu tố, thì bất kỳ nỗ lực sử dụng dữ liệu đó của kẻ tấn công sẽ bị cản trở bởi các bước xác minh email. Kẻ tấn công cũng cần phải được phép truy cập vào tài khoản email của bạn và cũng sẽ bị giới hạn bởi quy trình xác thực hai yếu tố cho tài khoản email của bạn. Nếu bạn nhìn thấy yêu cầu xác minh mà bạn không bắt đầu, bạn có thể bỏ qua điều đó một cách an toàn và cập nhật mật khẩu chính của mình trong phần Cài Đặt Tài Khoản Vault LastPass.
  • Ngăn việc đăng xuất: Cho dù trang độc hại có thể hiển thị thông báo LastPass giả mạo cho biết rằng bạn đã được đăng xuất và cần đăng nhập lại, bạn nên kiểm tra xem liệu bạn vẫn còn được đăng nhập trong phần mở rộng LastPass không, và chỉ đăng nhập lại thông qua phần mở rộng đó.

Ngoài những tính năng bảo vệ này, chúng tôi cũng khuyến khích Google và các trình duyệt khác giúp chúng tôi bảo vệ người dùng hơn nữa bằng cách giới thiệu các cách thức ăn toàn để hiển thị thông báo bên ngoài khung nhìn của trình duyệt.

Cách thức bạn có thể giúp bảo vệ tài khoản LastPass của mình

Trong các biện pháp an ninh hàng đầu mà chúng tôi hiện có, bạn cũng có thể bảo vệ an toàn cho vault của mình với các thao tác tốt nhất sau đây:

  • Luôn đăng nhập bằng phần mở rộng LastPass. Cách an toàn nhất để đăng nhập vào LastPass là nhấp vào biểu tượng mở rộng trong thanh công cụ trình duyệt của bạn. Screen Shot 2016-01-20 at 9.24.22 AM (2)
  • Không bao giờ sử dụng lại mật khẩu chính của bạn. Việc sử dụng lại mật khẩu chính của bạn làm tăng rủi ro vault của bạn bị mất cắp. Luôn sử dụng mật khẩu chính duy nhất cho LastPass, và lưu ý đến thông báo cảnh báo của chúng tôi nếu bạn nhập mật khẩu chính của mình vào nơi khác ngoài mục đích đăng nhập vào LastPass.
  • Cẩn thận nơi mà bạn tải về LastPass. Chỉ tải LastPass về từ LastPass.com hoặc từ các cửa hàng phụ trợ do trình duyệt hoặc thiết bị của bạn cung cấp. Không bao giờ sử dụng trang tải về bên thứ 3, và thậm chí trong các cửa hàng phụ trợ cũng cần cảnh giác với các danh sách trông giống như LastPass nhưng thật ra có tên của nhà xuất bản khác, và không có phân loại.
  • Không bao giờ chia sẻ mật khẩu chính của bạn. Nhóm LastPass sẽ không bao giờ hỏi mật khẩu chính của bạn. Hãy cảnh giác với bất kỳ người nào tuyên bố rằng họ từ LastPass đề nghị bạn cung cấp mật khẩu chính của mình. Không tiết lộ mật khẩu của bạn, không bao giờ.
  • Thêm xác thực hai yếu tố. Biện pháp an ninh tốt nhất là các lớp bảo vệ giảm thiểu rủi ro. Xác thực hai yếu tố yêu cầu một mẫu thông tin khác trước khi có thể truy cập vào tài khoản của bạn. Mặc dù đó không phải là một phương thức mầu nhiệm, nhưng đó là cách để bảo vệ tài khoản của bạn.
  • Bảo vệ email của bạn với một mật khẩu vững chắc & xác thực hai yếu tố. Tài khoản email của bạn thường giữ chìa khóa vào vương quốc của bạn. Bảo vệ tài khoản giống như bảo vệ đời sống kỹ thuật số của bạn tùy thuộc vào điều đó, vì nó có thể làm như vậy. LastPass có thể tạo một mật khẩu vững chắc nhưng “có thể phát âm được” cho email của bạn mà bạn vẫn có thể ghi nhớ nếu bạn muốn. Và luôn bật tính năng xác thực hai yếu tố nếu nhà cung cấp email của bạn có cung cấp dịch vụ đó.

An toàn trực tuyến phải là trách nhiệm liên tục của tất cả chúng ta. Cũng như LastPass cam kết cải thiện sản phẩm của mình khi ngày càng xuất hiện nhiều mối đe dọa mới và phối hợp với cộng đồng nghiên cứu về an ninh để củng cố sản phẩm của chúng tôi. Là người sử dụng, chúng tôi cũng cần cam kết thực hiện các thông lệ an ninh tốt nhất sau đây.