Bảo vệ tài khoản của bạn trước hành vi tấn công giả mạo, lừa đảo qua cuộc gọi và lừa đảo qua tin nhắn

Thuật ngữ phishing (tấn công lừa đảo) mô tả mưu đồ đánh cắp danh tính bằng cách sử dụng các trang web và email giả mạo hoặc các tin nhắn khác. Mục đích của tấn công lừa đảo là có được quyền truy cập vào tài khoản và thông tin nhạy cảm của bạn. Kẻ tấn công có thể tạo trang web riêng mô phỏng một trang web danh tiếng hoặc gửi cho bạn tin nhắn có vẻ đến từ một nguồn đáng tin cậy. Tin nhắn lừa đảo có thể đến từ tài khoản giả mạo hoặc tài khoản đã bị xâm nhập.

Kẻ tấn công cũng có thể dùng các chiến thuật tương tự để tấn công tài khoản của bạn như lừa đảo qua cuộc gọi, tấn công giả mạo bằng giọng nói và lừa đảo qua tin nhắn, SMS hoặc tấn công giả mạo qua tin nhắn văn bản để thu thập thông tin nhạy cảm. Bạn phải thận trọng, không cung cấp thông tin nhạy cảm qua điện thoại và không nhấp vào các liên kết có nguy cơ xâm phạm được gửi qua tin nhắn SMS. Nếu bạn nghi ngờ mình nhận được cuộc gọi hoặc tin nhắn SMS tấn công giả mạo, bạn nên liên hệ ngay với Bộ phận hỗ trợ của Shopify.

Tin nhắn lừa đảo có thể yêu cầu bạn thực hiện các thao tác sau:

• truy cập liên kết
• tải tệp xuống
• mở tệp đính kèm
• phản hồi bằng thông tin cá nhân hoặc mã xác thực hai bước

Nếu thực hiện bất kỳ thao tác nào trong số này, bạn có thể khiến máy tính hoặc thiết bị di động bị nhiễm phần mềm độc hại, ví dụ như worm, trojan, bot, và vi-rút. Sau khi thiết bị của bạn bị nhiễm, kẻ tấn công có thể lấy được quyền truy cập thông tin cá nhân của bạn.

Mưu đồ tấn công lừa đảo cũng có thể bao gồm yêu cầu trực tiếp thông tin cá nhân, như thông tin xác thực tài khoản ngân hàng.

Kẻ tấn công giả mạo có thể yêu cầu bạn cung cấp thông tin cá nhân theo những cách sau

• qua email hoặc hệ thống nhắn tin khác
• qua một biểu mẫu
• sử dụng số điện thoại lừa đảo
• sử dụng địa chỉ thực tế giả mạo

Kể cả yêu cầu để bạn vào địa chỉ email và đặt lại mật khẩu cũng có thể nguy hiểm.

Nhận biết dấu hiệu cảnh báo

Bạn có thể tự bảo vệ mình khỏi các vụ tấn công lừa đảo bằng cách tìm hiểu các dấu hiệu cảnh báo. Đọc tin nhắn cẩn thận bất kể người gửi là ai và nghiên cứu kỹ trang web dù chúng có vẻ quen thuộc đến mức nào.

Ngôn ngữ không xác định hoặc chung chung

Dù tấn công giả mạo có thể được nghiên cứu rất kỹ và dành riêng cho bạn hoặc doanh nghiệp của bạn, ngôn ngữ chung chung là dấu hiệu của mưu đồ giả mạo. Cần cảnh giác với các tin nhắn có vẻ đến từ một tổ chức bạn tin tưởng nhưng bắt đầu bằng những câu mơ hồ như Chủ tài khoản thân mến.

Ngoài ra, nếu một tin nhắn hứa hẹn một hoạt động kinh doanh hoặc cơ hội tài chính quan trọng nhưng không kèm theo đầy đủ thông tin chi tiết để bạn xác nhận rằng người gửi biết bạn, đó có thể là tin nhắn lừa đảo.

Tôi là Frederick, giám đốc ngân hàng.

Vui lòng liên hệ với tôi sớm nhất có thể để trao đổi về khoản thừa kế của người họ hàng quá cố.

Tôi không thể chia sẻ nhiều thông tin qua tin nhắn. Hãy gửi email cho tôi theo địa chỉ sau.

Tin nhắn doanh nghiệp từ tài khoản cá nhân

Những kẻ tấn công tinh vi có thể thu thập đủ thông tin từ sự hiện diện trực tuyến của bạn để tạo một tin nhắn có khả năng đến từ một người liên hệ thực tế.

Cập nhật giá bán buôn

Chào Georgia:

Tôi chỉ muốn cập nhật cho bạn. Đây là bảng giá bán buôn hiện tại của chúng tôi: fabric-prices-october.xls

Tôi mong bạn hài lòng với lô áo sơ-mi gần nhất! Hãy cho tôi biết nếu bạn có bất kỳ câu hỏi hoặc thắc mắc gì.

Julia Chan
Quản lý tài khoản
Vải mẫu

Kẻ tấn công có thể xâm nhập vào tài khoản doanh nghiệp của người liên hệ của bạn hoặc tạo tài khoản cá nhân giả mạo để gửi thư email tấn công giả mạo. Ví dụ: Nếu tên người dùng cho email cá nhân của người liên hệ Julia là juliachan3857, kẻ tấn công có thể đã gửi thư email từ tài khoản có tên người dùng là juliachan9665. Hình thức tấn công này phụ thuộc vào những hành vi sau:

• Mọi người thường gửi thư email từ nhầm tài khoản.
• Ngay cả khi bạn biết địa chỉ email cá nhân của Julia, có thể bạn sẽ không nhìn kỹ và nhận ra sự khác biệt.

Giọng điệu gieo rắc hoang mang hoặc khích động quá mức

Cảnh giác với những yêu cầu giới hạn thời gian cố gắng dọa để bạn hành động mà không suy nghĩ. Ví dụ:

Chúng tôi đã gặp lỗi máy chủ nghiêm trọng. Hãy phản hồi kèm theo tên người dùng và mật khẩu trong 24 giờ tới nếu không bạn sẽ mất quyền truy cập cửa hàng vĩnh viễn.

Thư email có thể đưa ra các ưu đãi tốt đến khó tin, ví dụ như ưu đãi giảm giá 90% từ công ty du lịch chỉ áp dụng nếu bạn hành động ngay.

Sai chính tả, lỗi ngữ pháp và khác biệt về văn phong

Mặc dù trang web hoặc thư email giả mạo có thể toát lên sự chuyên nghiệp, lỗi chính tả và lỗi ngữ pháp vẫn có thể xuất hiện. Để xác định xem trang web hoặc thư email có phải là giả mạo hay không, hãy tìm lỗi trong cách sử dụng hoặc sự không nhất quán về:

• chính tả
• viết hoa
• số
• dấu câu
• định dạng

URL khả nghi

Những hành vi lừa đảo có thể bao gồm URL trông hợp pháp nếu bạn không nhìn kỹ. Nhiều hành vi lừa đảo sử dụng URL được cố ý chọn cho giống URL bạn quen thuộc. Ví dụ: Nếu bạn hay mua quần áo bơi từ Cửa hàng thời trang mẫu tại URL hợp pháp và nhận được thư email có liên kết đến URL giả mạo thì bạn có thể biết thư email đó là hành vi lừa đảo.

URL thật dẫn bạn đến một trang web có miền example-apparel.com, thuộc sở hữu của Cửa hàng thời trang mẫu, còn URL giả dẫn bạn đến trang web giả mạo có miền com-aquatic.net, có khả năng thuộc sở hữu của tội phạm.

Shopify và yêu cầu tài liệu nhạy cảm

Shopify không bao giờ yêu cầu bạn cung cấp thông tin nhạy cảm là tin nhắn văn bản, hình ảnh hoặc tệp đính kèm trực tiếp qua thư email.

Sau đây là ví dụ về tài liệu nhạy cảm:

• mọi thể loại giấy tờ tùy thân
• mật khẩu
• thông tin thẻ tín dụng
• thông tin ngân hàng
• số căn cước công dân, ví dụ như SIN (số bảo hiểm xã hội) hoặc SSN (số an sinh xã hội)

Shopify chỉ yêu cầu bạn gửi tài liệu nhạy cảm qua một trang tải lên bảo mật bắt đầu bằng app.shopify.com hoặc .shopify.com.

Gây lo ngại về việc sử dụng phương thức liên lạc khác

Nói chuyện trực tiếp hoặc qua điện thoại với người được cho là người gửi tin nhắn khả nghi và giải quyết lo ngại về trang web bằng cách nói chuyện với người ở tổ chức.

Nếu bạn liên hệ với người gửi bằng điện thoại, hãy sử dụng số điện thoại bạn đã lưu thông tin hoặc số điện thoại xuất hiện trên nhiều nguồn trực tuyến uy tín. Ví dụ: Nếu bạn nhận được yêu cầu khả nghi đòi hỏi cung cấp thông tin từ cơ quan thuế của bạn qua email, hãy gọi cho cơ quan thuế theo số trên bản khai thu nhập cá nhân năm ngoái. Không gọi tới số trên trang web hoặc thư email khả nghi.

Đảm bảo rằng kết nối của bạn với trang web sử dụng HTTPS

Khi kết nối với bất kỳ trang web nào có thể yêu cầu nhập tên người dùng và mật khẩu hoặc dữ liệu nhạy cảm khác, hãy xác minh để đảm bảo biểu tượng khóa xuất hiện bên cạnh URL trong trình duyệt.

Biểu tượng khóa cho bạn biết kết nối tới trang web được mã hóa bằng giao thức HTTPS. URL cho kết nối mã hóa bắt đầu bằng https:// thay vì http://. Kết nối sử dụng http:// gửi dữ liệu bằng văn bản thuần túy, nghĩa là có thể bị chặn và đọc được.

Trước khi nhấp vào liên kết tới bạn muốn nhập thông tin, hãy xác minh rằng URL bắt đầu bằng https://.

Chỉ mở tệp đính kèm hoặc liên kết bạn mong đợi

Không tương tác với tệp đính kèm, liên kết hoặc biểu mẫu trừ khi bạn đang mong đợi và biết nội dung của chúng. Chúng không chỉ có khả năng chuyển hướng bạn đến một trang web độc hại được thiết kế để ăn cắp thông tin của bạn mà còn có thể khiến thiết bị của bạn nhiễm phần mềm độc hại.

Khi văn bản liên kết là URL, hãy xác minh rằng URL đó khớp với URL trong liên kết. Ví dụ: Một liên kết có dạng https://help.shopify.com trong nội dung email có thể dẫn bạn đến trang tấn công giả mạo tại URL khác.

Nhiều vụ tấn công lừa đảo cố gắng lợi dụng ngân hàng trực tuyến. Nếu bạn nhận được thư email khả nghi từ ngân hàng với đề nghị đặc biệt về một hạn mức tín dụng, không được nhấp vào liên kết. Thay vào đó, tự nhập URL ngân hàng trong cửa sổ mới và xem đề nghị đó có xuất hiện trên trang quản lý tài khoản hay không.

Hãy thận trọng khi sử dụng WiFi công cộng

WiFi công cộng rất tiện lợi khi bạn không ở nhà hay ở nơi làm việc, nhưng lại mang đến cho kẻ tấn công nhiều cách thức để truy cập vào thông tin của bạn. Bạn có thể giảm bớt rủi ro bằng cách thực hiện các bước bảo vệ bản thân và dữ liệu.

Xác minh tên điểm truy cập

Kẻ tấn công có thể tạo điểm truy cập WiFi không mã hóa riêng có tên giống điểm truy cập uy tín trong cùng khu vực, như mạng tại một quán cà phê. Nếu bạn kết nối với điểm truy cập lừa đảo thí kẻ tấn công có thể dẫn bạn đến trang web riêng, tại đó, bạn có thể tiếp xúc với phần mềm độc hại hoặc được yêu cầu nhập thông tin riêng tư.

Trước khi kết nối với điểm truy cập, hãy đảm bảo điểm truy cập bạn định sử dụng là hợp pháp. Nếu bạn không thấy tên điểm truy cập được đăng tại một nơi rõ ràng, hãy hỏi nhân viên tại địa điểm đó.

Vô hiệu hóa các điểm truy cập vào thiết bị

Dù đã kết nối với điểm truy cập WiFi công cộng hợp pháp, bạn vẫn có thể gặp nguy hiểm khi sử dụng cùng mạng với kẻ tấn công. Mạng WiFi công cộng kém an toàn hơn mạng riêng như mạng tại nhà hoặc văn phòng của bạn.

Bảo vệ bản thân bằng cách tắt chia sẻ tệp trong phạm vi mạng và kích hoạt tường lửa trước khi kết nối. Kể cả khi đã thực các biện pháp phòng ngừa này, bạn vẫn không nên gửi hoặc nhận nội dung nhạy cảm bằng mạng WiFi công cộng.

Chỉ gửi và nhận dữ liệu nhạy cảm trên VPN

Mạng riêng ảo thiết lập kết nối an toàn giữa thiết bị của bạn và máy chủ của công ty VPN. Từ đó, máy chủ VPN chuyển tiếp thông tin của bạn lên internet. Nếu kẻ tấn công truy cập được dữ liệu bạn đang truyền và nhận qua điểm truy cập WiFi công cộng, dữ liệu đó được mã hóa và vô dụng với kẻ đó.

Techradar và PC Mag là hai trang phù hợp để bắt đầu nếu bạn muốn tìm hiểu về cách chọn VPN.

Nếu không có VPN, tùy chọn an toàn nhất là tránh truyền thông tin nhạy cảm qua WiFi công cộng.

Làm theo hướng dẫn của chính phủ nếu thông tin cá nhân của bạn bị xâm phạm

Thông tin nhận dạng cá nhân (PII) gồm dữ liệu có thể sử dụng để xác định một người cụ thể hoặc thậm chí mạo danh người đó. PII bao gồm các loại thông tin sau:

• họ tên
• địa chỉ email
• địa chỉ đường phố
• số điện thoại
• số thẻ tín dụng
• số chứng minh thư nhân dân như SIN, SSN hoặc hộ chiếu
• bằng lái xe
• ngày sinh

Nếu bạn đã cung cấp thông tin nhận dạng cá nhân qua kênh khả nghi hoặc tài khoản Shopify bị xâm phạm, hãy tham khảo hướng dẫn từ chính phủ, như thông tin này từ chính phủ Canada và Hoa Kỳ.

Canada

Điều cần làm:

• RCMP - Hướng dẫn hỗ trợ nạn nhân bị ăn cắp danh tính và lừa đảo danh tính

Nộp báo cáo:

• Trung tâm chống lừa đảo Canada - Báo cáo sự cố

Hoa Kỳ

Điều cần làm:

• FTC - Báo cáo gian lận
• FTC - Ăn cắp danh tính: Các bước cần làm

Nộp báo cáo:

• Phòng tội phạm mạng của FBI