Bảo vệ tài khoản khỏi những cuộc tấn công lừa đảo

Thuật ngữ phishing (tấn công lừa đảo) mô tả mưu đồ đánh cắp danh tính bằng cách sử dụng các trang web và email giả mạo hoặc các tin nhắn khác. Mục đích của tấn công lừa đảo là có được quyền truy cập vào tài khoản và thông tin nhạy cảm của bạn. Kẻ tấn công có thể tạo trang web riêng mô phỏng một trang web danh tiếng hoặc gửi cho bạn tin nhắn có vẻ đến từ một nguồn đáng tin cậy. Tin nhắn lừa đảo có thể đến từ tài khoản giả mạo hoặc tài khoản đã bị xâm nhập.

Lưu ý: Nếu bạn cho rằng bạn đã chia sẻ thông tin cá nhân qua một kênh khả nghi và thông tin cũng như danh tính của bạn đang gặp nguy hiểm, hãy làm theo hướng dẫn của chính phủ.

Tin nhắn lừa đảo có thể yêu cầu bạn thực hiện các thao tác sau:

  • Truy cập một liên kết.
  • Tải xuống một tệp.
  • Mở tệp đính kèm.

Phần mềm độc hại — phần mềm độc hại như sâu máy tính, trojan, bot và vi-rút — có thể lây nhiễm cho máy tính hoặc thiết bị di động của bạn nếu bạn thực hiện bất kỳ hành động nào trong đó. Sau khi thiết bị của bạn bị nhiễm, kẻ xâm nhập có thể lấy được quyền truy cập thông tin cá nhân của bạn.

Mưu đồ tấn công lừa đảo cũng có thể bao gồm yêu cầu trực tiếp thông tin cá nhân, như thông tin xác thực tài khoản ngân hàng.

Mưu đồ tấn công lừa đảo có thể yêu cầu bạn cung cấp các thông tin cá nhân:

  • Qua email hoặc hệ thống nhắn tin khác.
  • Qua một biểu mẫu.
  • Cho một số điện thoại lừa đảo.
  • Theo địa chỉ giả mạo.

Kể cả yêu cầu để bạn vào địa chỉ email và đặt lại mật khẩu cũng có thể nguy hiểm.

Lưu ý: Chuyển các tin nhắn lừa đảo bạn nhận được đến hộp thư đến an toàn của Shopify tại safety@shopify.com. Bằng cách xây dựng bản ghi chép các vụ tấn công hướng đến thương nhân, Shopify có thể tìm cách bảo vệ bạn và thông tin của bạn tốt hơn.

Nhận biết dấu hiệu cảnh báo

Bạn có thể tự bảo vệ mình khỏi các vụ tấn công lừa đảo bằng cách tìm hiểu các dấu hiệu cảnh báo. Đọc tin nhắn cẩn thận bất kể người gửi là ai và nghiên cứu kỹ trang web dù chúng có vẻ quen thuộc đến mức nào.

Ngôn ngữ quá chung chung

Dù tấn công lừa đảo có thể được nghiên cứu rất kỹ và dành riêng cho bạn hoặc doanh nghiệp của bạn nhưng ngôn ngữ chung chung là dấu hiệu của mưu đồ lừa đảo. Cần cảnh giác với các tin nhắn có vẻ đến từ một tổ chức bạn tin tưởng nhưng mở đầu bằng những câu mơ hồ:

Kính gửi chủ tài khoản,

Tương tự, nếu một tin nhắn hứa hẹn một hoạt động kinh doanh quan trọng hoặc cơ hội tài chính nhưng không kèm theo đầy đủ thông tin chi tiết để bạn xác nhận rằng người gửi biết bạn, đó có thể là tin nhắn lừa đảo:

Tôi là Phong, giám đốc ngân hàng. Vui lòng liên hệ với tôi sớm nhất có thể liên quan đến khoản thừa kế của người họ hàng quá cố. Tôi không thể chia sẻ nhiều thông tin qua tin nhắn. Hãy gửi email cho tôi theo địa chỉ sau.

Tin nhắn doanh nghiệp từ tài khoản cá nhân

Những kẻ tấn công tinh vi có thể thu thập đủ thông tin từ sự hiện diện trực tuyến của bạn để tạo một tin nhắn có khả năng đến từ một mối liên hệ thực tế:

Cập nhật giá bán buôn

Xin chào Giang, tôi chỉ muốn cập nhật cho bạn. Đây là bảng giá bán buôn hiện tại của chúng tôi: fabric-prices-2016-oct.xls

Tôi mong bạn hài lòng với lô áo sơ-mi gần nhất! Hãy cho tôi biết nếu bạn có bất kỳ câu hỏi hoặc thắc mắc gì.

--

Diệu Trần

Quản lý khách hàng

Bộ phận Vải mẫu

Để tấn công, họ có thể xâm nhập vào tài khoản doanh nghiệp của bên liên hệ của bạn hoặc tạo một tài khoản cá nhân giả mạo. Ví dụ: Nếu tên người dùng cho email cá nhân của người liên hệ Diệu của bạn là juliachan3857, kẻ tấn công có thể gửi email từ tài khoản có tên người dùng là juliachan9665. Hình thức tấn công này phụ thuộc vào hai yếu tố:

  • Người gửi email từ tài khoản sai do nhầm lẫn.
  • Dù bạn biết địa chỉ email cá nhân của Diệu, có thể bạn không kiểm tra kỹ.

Sai chính tả, lỗi ngữ pháp và khác biệt về văn phong

Tội phạm không xem trọng hướng dẫn về quy cách nội dung như những người viết nội dung web chuyên nghiệp. Như lỗi đánh máy và lỗi ngữ pháp, sự khác biệt về các khía cạnh dưới dây trong một trang có thể cho biết trang web có phải lừa đảo hay không:

  • chính tả.
  • viết hoa.
  • số.
  • dấu câu.
  • định dạng.

Giọng điệu gieo rắc hoang mang hoặc quá mức khích động

Cẩn thận với những yêu cầu giới hạn thời gian cố dọa để bạn hành động mà không suy nghĩ. Ví dụ: Shopify sẽ không gửi tin nhắn có nội dung:

Chúng tôi đã gặp lỗi máy chủ nghiêm trọng. Hãy phản hồi kèm theo tên người dùng và mật khẩu trong 24 giờ tới nếu không bạn sẽ mất quyền truy cập cửa hàng vĩnh viễn.

Tương tự, cẩn thận với những tin nhắn đề nghị tốt đến khó tin, như giảm giá 90% từ công ty du lịch chỉ áp dụng nếu bạn hành động ngay.

URL có vẻ không hợp lý

Những hành vi lừa đảo có thể bao gồm URL trông hợp pháp nếu bạn không nhìn kỹ. Nhiều hành vi lừa đảo sử dụng URL được cố ý chọn cho giống URL bạn quen thuộc. Như minh hoạ trong bảng dưới đây, nếu bạn hay mua quần áo bơi từ Cửa hàng thời trang mẫu tại URL hợp pháp và nhận được email có liên kết đến URL giả mạo, bạn có thể biết đó là hành vi lừa đảo.

URL thật dẫn bạn đến một trang web có miền example-apparel.com, thuộc sở hữu của Cửa hàng thời trang mẫu, còn URL giả dẫn bạn đến trang web giả mạo có miền com-aquatic.net, có khả năng thuộc sở hữu của tội phạm.

Đặc trưng của URL hợp pháp và giả mạo
URL hợp pháp URL giả mạo
example-apparel.com/aquatic/swimmies example-apparel.com-aquatic.net/swimmies

Gây lo ngại về việc sử dụng phương thức liên lạc khác

Nói chuyện trực tiếp hoặc qua điện thoại với người được cho là người gửi tin nhắn khả nghi và giải quyết lo ngại về trang web bằng cách nói chuyện với người ở tổ chức.

Nếu bạn liên hệ với người gửi bằng điện thoại, hãy sử dụng số điện thoại bạn đã lưu thông tin hoặc số điện thoại xuất hiện trên nhiều nguồn trực tuyến uy tín. Ví dụ: Nếu bạn nhận được yêu cầu khả nghi đòi hỏi cung cấp thông tin từ cơ quan thuế của bạn qua email, hãy gọi cho cơ quan thuế theo số trên bản khai thu nhập cá nhân năm ngoái. Không gọi tới số trên trang web hoặc email khả nghi.

Đảm bảo kết nối của bạn với trang web sử dụng HTTPS

Khi kết nối với bất kỳ trang web nào có thể yêu cầu nhập tên người dùng và mật khẩu hoặc dữ liệu nhạy cảm khác, hãy kiểm tra để đảm bảo biểu tượng khóa xuất hiện bên cạnh URL trong trình duyệt:

Biểu tượng khóa cho bạn biết kết nối tới trang web được mã hóa bằng giao thức HTTPS. URL cho kết nối mã hóa bắt đầu bằng https:// thay vì http://. Kết nối sử dụng http:// gửi dữ liệu bằng văn bản thuần, nghĩa là có thể bị chặn và đọc được.

Trước khi nhấp vào liên kết tới địa chỉ bạn muốn nhập thông tin, đảm bảo rằng URL đó bắt đầu bằng https://.

Chỉ mở tệp đính kèm hoặc liên kết bạn mong đợi

Không tương tác với tệp đính kèm, liên kết hoặc biểu mẫu trừ khi bạn đang mong đợi và biết nội dung của chúng. Chúng không chỉ có khả năng chuyển hướng bạn đến một trang web độc hại được thiết kế để ăn cắp thông tin của bạn mà còn có thể khiến thiết bị của bạn nhiễm phần mềm độc hại.

Khi văn bản liên kết là URL, đảm bảo rằng URL đó khớp với URL trong liên kết. Ví dụ: Một liên kết có dạng https://help.shopify.com trong nội dung email có thể dẫn bạn đến trang lừa đảo tại URL khác:

Nhiều vụ tấn công lừa đảo cố gắng lợi dụng ngân hàng trực tuyến. Nếu bạn nhận được email khả nghi từ ngân hàng với đề nghị đặc biệt về một hạn mức tín dụng, đừng nhấp vào liên kết. Thay vào đó, nhập URL ngân hàng thủ công trong cửa sổ mới và xem đề nghị đó có xuất hiện trong bảng quản lý tài khoản hay không.

Cẩn thận với wi-fi công cộng

Wi-fi công cộng rất tiện lợi khi bạn di chuyển nhưng cũng mang đến cho tội phạm nhiều cách thức để truy cập vào thông tin của bạn. Bạn có thể giảm bớt rủi ro bằng cách thực hiện các bước bảo vệ bản thân và dữ liệu.

Xác minh tên điểm truy cập

Kẻ tấn công có thể tạo điểm truy cập wi-fi không mã hóa riêng có tên giống điểm truy cập uy tín trong cùng khu vực, như mạng tại một quán cà phê. Nếu bạn kết nối với điểm truy cập lừa đảo, kẻ tấn công có thể dẫn bạn đến trang web riêng, tại đó, bạn có thể tiếp xúc với phần mềm độc hại hoặc được yêu cầu nhập thông tin riêng tư.

Trước khi kết nối, đảm bảo điểm truy cập bạn định sử dụng là hợp pháp. Nếu bạn không thấy tên điểm truy cập được đăng tại một nơi rõ ràng, hãy hỏi nhân viên.

Vô hiệu hóa các điểm truy cập đến thiết bị

Dù bạn đã kết nối với điểm truy cập wi-fi công cộng hợp pháp, bạn vẫn có thể gặp nguy hiểm khi sử dụng cùng mạng với kẻ tấn công. Mạng wi-fi công cộng ít an toàn hơn mạng riêng như mạng tại nhà hoặc văn phòng của bạn:

Bảo vệ bản thân bằng cách tắt chia sẻ tệp trong phạm vi mạng và kích hoạt tường lửa trước khi kết nối. Dù đã thực các biện pháp phòng ngừa này, bạn vẫn không nên gửi hoặc nhận nội dung nhạy cảm bằng mạng wi-fi công cộng.

Gửi và nhận dữ liệu nhạy cảm trên VPN

Mạng riêng ảo thiết lập kết nối an toàn giữa thiết bị của bạn và máy chủ của công ty VPN. Từ đó, máy chủ VPN chuyển tiếp thông tin của bạn lên internet. Nếu kẻ tấn công truy cập được dữ liệu bạn đang truyền và nhận qua điểm truy cập wi-fi công cộng, dữ liệu đó được mã hóa và vô dụng với kẻ đó:

TechradarPC Mag là hai trang phù hợp để bắt đầu nếu bạn muốn tìm hiểu về cách chọn VPN.

Nếu không có VPN, tùy chọn an toàn nhất là tránh truyền thông tin nhạy cảm qua wi-fi công cộng.

Làm theo hướng dẫn của chính phủ nếu thông tin cá nhân của bạn bị xâm phạm

Thông tin nhận dạng cá nhân (PII) gồm dữ liệu có thể sử dụng để xác định một người cụ thể hoặc thậm chí mạo danh người đó. Các loại PII bao gồm:

  • họ tên.
  • địa chỉ email.
  • địa chỉ đường phố.
  • số điện thoại.
  • số thẻ tín dụng.
  • số chứng minh thư nhân dân (như SIN, SSN hoặc hộ chiếu).
  • bằng lái xe.
  • ngày sinh.

Nếu bạn đã cung cấp thông tin nhận dạng cá nhân qua kênh khả nghi hoặc tài khoản Shopify bị xâm phạm, hãy tham khảo hướng dẫn từ chính phủ, như thông tin này từ chính phủ Canada và Hoa Kỳ:

Canada

Điều cần làm:

Nộp báo cáo:

Hoa Kỳ

Điều cần làm:

Nộp báo cáo:

Bạn đã sẵn sàng bán hàng với Shopify?

Dùng thử miễn phí