Smishing là một hình thức tấn công lừa đảo đầu tiên dựa vào việc gửi tin nhắn SMS. Đây là viết tắt của “Lừa đảo qua tin nhắn SMS”. Giống như các hoạt động lừa đảo khác, mục đích của cuộc tấn công là lấy cắp dữ liệu cá nhân, đặc biệt là thông tin chi tiết về ngân hàng.
Tin nhắn có thể tự nhận là đến từ một ngân hàng, cơ quan chính phủ hoặc công ty nổi tiếng và mời người dùng nhấp vào liên kết độc hại hoặc cung cấp thông tin bí mật. Mục đích thường là đánh cắp tiền, thông qua một trang web lừa đảo hoặc bằng cách cài đặt vi-rút vào điện thoại thông minh của nạn nhân.
Như Stuart Jones, một nhà nghiên cứu tại Proofpoint, giải thích, mục tiêu của tin tặc là "lừa nạn nhân chia sẻ thông tin cá nhân, nhấp vào các liên kết độc hại hoặc tải xuống phần mềm hoặc ứng dụng có hại". Đây là một chiến lược đặc biệt đáng gờm, ảnh hưởng đến một lượng lớn người dùng Internet. Theo một nghiên cứu do Diễn đàn Hệ sinh thái Di động (MEF) thực hiện, 39% người tiêu dùng đã trở thành mục tiêu của một vụ lừa đảo qua tin nhắn SMS vào năm 2023. Smishing "vẫn là hình thức lừa đảo qua tin nhắn di động phổ biến nhất, với 37% các cuộc tấn công ở Ấn Độ, 16% ở Hoa Kỳ và 9% ở Brazil", Zimperium cho biết thêm trong một thông cáo báo chí được chia sẻ với 01Net.
Trong những năm gần đây, lừa đảo qua tin nhắn SMS đã gia tăng. Theo nghiên cứu do Proofpoint thực hiện, có khoảng 300.000 đến 400.000 cuộc tấn công SMS được phát hiện mỗi ngày. Kể từ năm 2023, công ty bảo mật đã chứng kiến mức tăng hơn 300% trong các "cuộc tấn công hội thoại". Như tên gọi của nó, loại tấn công mạng này chỉ đơn giản là tham gia vào một cuộc trò chuyện với người dùng Internet, có thể qua tin nhắn SMS, tin nhắn tức thời như WhatsApp hoặc email.
Trong một số trường hợp, tin nhắn ban đầu có thể dẫn đến một cuộc gọi điện thoại. Tội phạm mạng thậm chí còn giả vờ là người khác đang nói chuyện điện thoại. Sau đó, họ cố gắng thao túng người đối thoại để thuyết phục họ làm theo chỉ dẫn của họ. Đây chính là những gì đã xảy ra trong cuộc tấn công mạng cực kỳ tinh vi nhằm vào một nhân viên của Google vào tháng trước. Các tin tặc đã liên lạc với lập trình viên qua điện thoại để thuyết phục anh ta thực hiện quy trình đặt lại mật khẩu cho tài khoản Google của mình. Nhà phát triển gần như đã sập bẫy.
Chúng ta có thể thấy một hình thức lừa đảo qua tin nhắn SMS sẽ bùng nổ trong những tuần tới, cụ thể là lừa đảo giao hàng bưu kiện. Loại lừa đảo này liên quan đến việc giả mạo các dịch vụ giao hàng như La Poste, Colissimo, DPD, Chronopost hoặc UPS. Tin nhắn này cho biết rằng gói hàng đang chờ xử lý, đang được vận chuyển hoặc không thể giao được. Để hoàn tất việc giao hàng, nạn nhân được yêu cầu thanh toán gấp, dưới dạng chi phí vận chuyển, thuế hoặc thuế hải quan. Đây là một chiến thuật rất hiệu quả vì đôi khi cần phải trả phí khi một gói hàng đến hải quan.
Vài tuần trước, Chronopost đã trở thành nạn nhân của một cuộc tấn công mạng. Trong quá trình xâm nhập, kẻ tấn công đã có thể đánh cắp một lượng lớn dữ liệu về khách hàng của nhà mạng, chẳng hạn như tên, họ, số điện thoại và địa chỉ bưu chính. Hơn 200.000 người đã bị ảnh hưởng. Trong tay tin tặc, dữ liệu này gây ra mối đe dọa nghiêm trọng đối với tất cả công dân Pháp.
Bằng cách sử dụng dữ liệu bị đánh cắp, bọn tội phạm sẽ có thể dàn dựng các vụ lừa đảo có sức thuyết phục. Giống như mọi hình thức lừa đảo khác, tin nhắn SMS thực sự hiệu quả hơn nếu nó được cá nhân hóa. Bằng cách sử dụng thông tin cá nhân về mục tiêu, chẳng hạn như tên, địa chỉ nhà hoặc số An sinh xã hội, tin tặc có thể tùy chỉnh thông điệp của mình và xoa dịu sự nghi ngờ của người đối thoại. Do đó, tin nhắn được cá nhân hóa có hiệu quả hơn đáng kể. Đây là lý do tại sao vụ hack Chronopost đang gây lo ngại cho các chuyên gia an ninh mạng.
Một cuộc tấn công smishing thường hiệu quả hơn một cuộc tấn công lừa đảo qua email. Nhà nghiên cứu Stuart Jones chỉ ra rằng "nhiều người có mức độ tin tưởng cao vào tính bảo mật của liên lạc di động", điều này giải thích tại sao "tỷ lệ nhấp vào liên kết được gửi qua điện thoại di động cao hơn tới tám lần so với liên kết nhận được qua email". Đây là lý do hợp lý tại sao loại lừa đảo này đặc biệt phổ biến với tin tặc.
Được chúng tôi phỏng vấn, Benoit Grunemwald, chuyên gia an ninh mạng tại ESET Pháp, giải thích rằng tin nhắn smishing cũng "khó xử lý hơn so với lừa đảo qua email". Thật vậy, email lừa đảo không dựa vào "tên miền có thể nhận dạng được người gửi, chẳng hạn như "[emailprotected]".
Rất thường xuyên, tin tặc "có thể lây nhiễm phần mềm gửi tin nhắn lừa đảo vào điện thoại thông minh mà chủ sở hữu không biết". Đây là lý do tại sao "không thể chặn một cách có hệ thống các số điện thoại có thể thuộc về cá nhân hoặc công ty hợp pháp". Benoit Grunemwald nói thêm rằng "một số có thể được liên kết với tin nhắn smishing trong một thời gian, sau đó trở nên sạch sẽ trở lại sau khi phần mềm độc hại được xóa". Trên thực tế, chặn tất cả các số liên quan đến lừa đảo không phải là một lựa chọn. Một thủ tục như vậy thực sự sẽ phạt những người dùng đã bị nhiễm vi-rút.
Thay vào đó, ESET khuyến nghị "nhắm mục tiêu vào các URL có trong các tin nhắn này" thay vì số điện thoại. Hầu hết các tin nhắn được thiết kế để lừa người dùng nhấp vào liên kết độc hại. Thật không may, việc phát hiện các URL độc hại cũng đặc biệt phức tạp.
Nhận thức về tính phổ biến của điện thoại thông minh, các nhà phát triển đã lấy "một số phương pháp được sử dụng để chống lừa đảo qua email" và điều chỉnh chúng để phù hợp với các cuộc tấn công qua SMS, người quản lý ESET cho biết thêm.
Trước hết, điều cần thiết là phải học cách phát hiện mọi nỗ lực tấn công qua SMS. Benoit Grunemwald khuyến khích rằng "có thể nhận ra các dấu hiệu của tin nhắn lừa đảo và có phản xạ đúng đắn có thể hạn chế đáng kể các rủi ro".
Khi bạn nhận được tin nhắn văn bản, hãy dành thời gian đọc kỹ tin nhắn trước khi hành động. Để phát hiện lừa đảo, trước tiên hãy chú ý đến người gửi. Nếu đó là một con số mà bạn không nhận ra, hãy lùi lại một bước. Hãy hết sức cẩn thận nếu số điện thoại liên lạc với bạn là số nước ngoài. Hãy cẩn thận với những số có tiền tố như +44 hoặc +31. Tuy nhiên, đôi khi tin tặc có thể sử dụng số điện thoại của Pháp. Do đó, điều này không đảm bảo rằng bạn có thể tin tưởng người gửi.
Ngoài ra, hãy cẩn thận với những nỗ lực gây sức ép, chẳng hạn như "Tài khoản của bạn sẽ bị khóa", "Yêu cầu hành động ngay lập tức" hoặc "Cảnh báo cuối cùng". Với những công thức như thế này, tin tặc sẽ cố gắng thúc đẩy bạn phản ứng nhanh mà không cần bất kỳ sự thận trọng nào. Ngoài ra hãy chú ý đến URL được chia sẻ. Đôi khi, kẻ lừa đảo sử dụng địa chỉ web tương tự như trang web chính thức nhưng được sửa đổi một chút, chỉ để lừa bạn.
Những tin nhắn này cũng có thể yêu cầu dữ liệu, chẳng hạn như mật khẩu, số thẻ tín dụng hoặc mã xác thực nhận được qua SMS. Hãy nhớ rằng một công ty hợp pháp sẽ không bao giờ yêu cầu thông tin này qua SMS, cho dù đó là ngân hàng, nhà mạng hay nền tảng phát trực tuyến như Netflix.
Trên hết, đừng mắc sai lầm khi nhấp vào liên kết trong SMS, ngay cả khi chỉ vì tò mò. Có khả năng liên kết này sẽ buộc cài đặt vi-rút vào thiết bị của bạn. Để đảm bảo an toàn, hãy bỏ qua mọi liên kết được gửi qua tin nhắn SMS.
Ngoài ra, đừng bao giờ trả lời tin nhắn. Bạn có thể đang phải đối phó với một người có điện thoại thông minh bị hack và họ không hiểu bạn muốn gì ở họ. Các con số này có thể đã bị xâm phạm trong một cuộc tấn công hoán đổi SIM, còn được gọi là lừa đảo thẻ SIM. Như Victor Baallais, một giáo viên và chuyên gia an ninh mạng, giải thích trên X, "việc lăng mạ khi trả lời loại tin nhắn văn bản này là phản tác dụng, bạn phải cảnh báo nạn nhân". Thay vì trả lời tin nhắn bằng lời lăng mạ hoặc câu hỏi, chuyên gia khuyên bạn nên cảnh báo người có số điện thoại bị xâm phạm.
Tuy nhiên, chúng tôi khuyên bạn nên kiềm chế. Một số cuộc tấn công nhắm vào iPhone sử dụng phản hồi của người dùng để đánh lừa cơ chế bảo mật của iMessage. Dịch vụ nhắn tin sẽ tự động chặn các liên kết trong tin nhắn được gửi từ người gửi không xác định để ngăn chặn các nỗ lực lừa đảo. Tin nhắn độc hại sẽ nhắc nhở nạn nhân trả lời, điều này sẽ tự động vô hiệu hóa các hạn chế đối với liên kết lừa đảo. Những kẻ lừa đảo yêu cầu gửi “Y” để được cho là “mở lại liên kết kích hoạt”. Tóm lại, tốt nhất là nên hình thành thói quen không bao giờ phản hồi để tránh rơi vào tay tội phạm mạng.
Cuối cùng, điều quan trọng là phải dành thời gian để thông báo cho các cơ quan có thẩm quyền. Tại Pháp, chúng tôi khuyên bạn nên chuyển tiếp tin nhắn SMS đến số 33700. Sau đó, tin nhắn độc hại sẽ được gửi trực tiếp đến cơ quan chức năng thông qua nhà mạng của bạn. Họ có thể chặn số điện thoại theo từng trường hợp cụ thể.
Chúng tôi hy vọng bài viết về lừa đảo qua tin nhắn văn bản này sẽ giúp bạn tránh được những cái bẫy mà tin tặc giăng ra. Nếu bạn có bất kỳ mẹo nào khác hoặc nếu bạn là nạn nhân của trò lừa đảo như thế này, vui lòng cho chúng tôi biết trong phần bình luận bên dưới.
Tin nhắn có thể tự nhận là đến từ một ngân hàng, cơ quan chính phủ hoặc công ty nổi tiếng và mời người dùng nhấp vào liên kết độc hại hoặc cung cấp thông tin bí mật. Mục đích thường là đánh cắp tiền, thông qua một trang web lừa đảo hoặc bằng cách cài đặt vi-rút vào điện thoại thông minh của nạn nhân.
Như Stuart Jones, một nhà nghiên cứu tại Proofpoint, giải thích, mục tiêu của tin tặc là "lừa nạn nhân chia sẻ thông tin cá nhân, nhấp vào các liên kết độc hại hoặc tải xuống phần mềm hoặc ứng dụng có hại". Đây là một chiến lược đặc biệt đáng gờm, ảnh hưởng đến một lượng lớn người dùng Internet. Theo một nghiên cứu do Diễn đàn Hệ sinh thái Di động (MEF) thực hiện, 39% người tiêu dùng đã trở thành mục tiêu của một vụ lừa đảo qua tin nhắn SMS vào năm 2023. Smishing "vẫn là hình thức lừa đảo qua tin nhắn di động phổ biến nhất, với 37% các cuộc tấn công ở Ấn Độ, 16% ở Hoa Kỳ và 9% ở Brazil", Zimperium cho biết thêm trong một thông cáo báo chí được chia sẻ với 01Net.
Sự bùng nổ của lừa đảo qua tin nhắn SMS
Trong những năm gần đây, lừa đảo qua tin nhắn SMS đã gia tăng. Theo nghiên cứu do Proofpoint thực hiện, có khoảng 300.000 đến 400.000 cuộc tấn công SMS được phát hiện mỗi ngày. Kể từ năm 2023, công ty bảo mật đã chứng kiến mức tăng hơn 300% trong các "cuộc tấn công hội thoại". Như tên gọi của nó, loại tấn công mạng này chỉ đơn giản là tham gia vào một cuộc trò chuyện với người dùng Internet, có thể qua tin nhắn SMS, tin nhắn tức thời như WhatsApp hoặc email.
Trong một số trường hợp, tin nhắn ban đầu có thể dẫn đến một cuộc gọi điện thoại. Tội phạm mạng thậm chí còn giả vờ là người khác đang nói chuyện điện thoại. Sau đó, họ cố gắng thao túng người đối thoại để thuyết phục họ làm theo chỉ dẫn của họ. Đây chính là những gì đã xảy ra trong cuộc tấn công mạng cực kỳ tinh vi nhằm vào một nhân viên của Google vào tháng trước. Các tin tặc đã liên lạc với lập trình viên qua điện thoại để thuyết phục anh ta thực hiện quy trình đặt lại mật khẩu cho tài khoản Google của mình. Nhà phát triển gần như đã sập bẫy.
Lừa đảo giao hàng bưu kiện
Chúng ta có thể thấy một hình thức lừa đảo qua tin nhắn SMS sẽ bùng nổ trong những tuần tới, cụ thể là lừa đảo giao hàng bưu kiện. Loại lừa đảo này liên quan đến việc giả mạo các dịch vụ giao hàng như La Poste, Colissimo, DPD, Chronopost hoặc UPS. Tin nhắn này cho biết rằng gói hàng đang chờ xử lý, đang được vận chuyển hoặc không thể giao được. Để hoàn tất việc giao hàng, nạn nhân được yêu cầu thanh toán gấp, dưới dạng chi phí vận chuyển, thuế hoặc thuế hải quan. Đây là một chiến thuật rất hiệu quả vì đôi khi cần phải trả phí khi một gói hàng đến hải quan.
Vài tuần trước, Chronopost đã trở thành nạn nhân của một cuộc tấn công mạng. Trong quá trình xâm nhập, kẻ tấn công đã có thể đánh cắp một lượng lớn dữ liệu về khách hàng của nhà mạng, chẳng hạn như tên, họ, số điện thoại và địa chỉ bưu chính. Hơn 200.000 người đã bị ảnh hưởng. Trong tay tin tặc, dữ liệu này gây ra mối đe dọa nghiêm trọng đối với tất cả công dân Pháp.
Bằng cách sử dụng dữ liệu bị đánh cắp, bọn tội phạm sẽ có thể dàn dựng các vụ lừa đảo có sức thuyết phục. Giống như mọi hình thức lừa đảo khác, tin nhắn SMS thực sự hiệu quả hơn nếu nó được cá nhân hóa. Bằng cách sử dụng thông tin cá nhân về mục tiêu, chẳng hạn như tên, địa chỉ nhà hoặc số An sinh xã hội, tin tặc có thể tùy chỉnh thông điệp của mình và xoa dịu sự nghi ngờ của người đối thoại. Do đó, tin nhắn được cá nhân hóa có hiệu quả hơn đáng kể. Đây là lý do tại sao vụ hack Chronopost đang gây lo ngại cho các chuyên gia an ninh mạng.
Một vụ lừa đảo khó có thể ngăn chặn
Một cuộc tấn công smishing thường hiệu quả hơn một cuộc tấn công lừa đảo qua email. Nhà nghiên cứu Stuart Jones chỉ ra rằng "nhiều người có mức độ tin tưởng cao vào tính bảo mật của liên lạc di động", điều này giải thích tại sao "tỷ lệ nhấp vào liên kết được gửi qua điện thoại di động cao hơn tới tám lần so với liên kết nhận được qua email". Đây là lý do hợp lý tại sao loại lừa đảo này đặc biệt phổ biến với tin tặc.
Được chúng tôi phỏng vấn, Benoit Grunemwald, chuyên gia an ninh mạng tại ESET Pháp, giải thích rằng tin nhắn smishing cũng "khó xử lý hơn so với lừa đảo qua email". Thật vậy, email lừa đảo không dựa vào "tên miền có thể nhận dạng được người gửi, chẳng hạn như "[emailprotected]".
Rất thường xuyên, tin tặc "có thể lây nhiễm phần mềm gửi tin nhắn lừa đảo vào điện thoại thông minh mà chủ sở hữu không biết". Đây là lý do tại sao "không thể chặn một cách có hệ thống các số điện thoại có thể thuộc về cá nhân hoặc công ty hợp pháp". Benoit Grunemwald nói thêm rằng "một số có thể được liên kết với tin nhắn smishing trong một thời gian, sau đó trở nên sạch sẽ trở lại sau khi phần mềm độc hại được xóa". Trên thực tế, chặn tất cả các số liên quan đến lừa đảo không phải là một lựa chọn. Một thủ tục như vậy thực sự sẽ phạt những người dùng đã bị nhiễm vi-rút.
Thay vào đó, ESET khuyến nghị "nhắm mục tiêu vào các URL có trong các tin nhắn này" thay vì số điện thoại. Hầu hết các tin nhắn được thiết kế để lừa người dùng nhấp vào liên kết độc hại. Thật không may, việc phát hiện các URL độc hại cũng đặc biệt phức tạp.
Nhận thức về tính phổ biến của điện thoại thông minh, các nhà phát triển đã lấy "một số phương pháp được sử dụng để chống lừa đảo qua email" và điều chỉnh chúng để phù hợp với các cuộc tấn công qua SMS, người quản lý ESET cho biết thêm.
Mẹo của chúng tôi để bảo vệ bạn khỏi lừa đảo qua SMS
Trước hết, điều cần thiết là phải học cách phát hiện mọi nỗ lực tấn công qua SMS. Benoit Grunemwald khuyến khích rằng "có thể nhận ra các dấu hiệu của tin nhắn lừa đảo và có phản xạ đúng đắn có thể hạn chế đáng kể các rủi ro".
Khi bạn nhận được tin nhắn văn bản, hãy dành thời gian đọc kỹ tin nhắn trước khi hành động. Để phát hiện lừa đảo, trước tiên hãy chú ý đến người gửi. Nếu đó là một con số mà bạn không nhận ra, hãy lùi lại một bước. Hãy hết sức cẩn thận nếu số điện thoại liên lạc với bạn là số nước ngoài. Hãy cẩn thận với những số có tiền tố như +44 hoặc +31. Tuy nhiên, đôi khi tin tặc có thể sử dụng số điện thoại của Pháp. Do đó, điều này không đảm bảo rằng bạn có thể tin tưởng người gửi.
Ngoài ra, hãy cẩn thận với những nỗ lực gây sức ép, chẳng hạn như "Tài khoản của bạn sẽ bị khóa", "Yêu cầu hành động ngay lập tức" hoặc "Cảnh báo cuối cùng". Với những công thức như thế này, tin tặc sẽ cố gắng thúc đẩy bạn phản ứng nhanh mà không cần bất kỳ sự thận trọng nào. Ngoài ra hãy chú ý đến URL được chia sẻ. Đôi khi, kẻ lừa đảo sử dụng địa chỉ web tương tự như trang web chính thức nhưng được sửa đổi một chút, chỉ để lừa bạn.
Những tin nhắn này cũng có thể yêu cầu dữ liệu, chẳng hạn như mật khẩu, số thẻ tín dụng hoặc mã xác thực nhận được qua SMS. Hãy nhớ rằng một công ty hợp pháp sẽ không bao giờ yêu cầu thông tin này qua SMS, cho dù đó là ngân hàng, nhà mạng hay nền tảng phát trực tuyến như Netflix.
Trên hết, đừng mắc sai lầm khi nhấp vào liên kết trong SMS, ngay cả khi chỉ vì tò mò. Có khả năng liên kết này sẽ buộc cài đặt vi-rút vào thiết bị của bạn. Để đảm bảo an toàn, hãy bỏ qua mọi liên kết được gửi qua tin nhắn SMS.
Ngoài ra, đừng bao giờ trả lời tin nhắn. Bạn có thể đang phải đối phó với một người có điện thoại thông minh bị hack và họ không hiểu bạn muốn gì ở họ. Các con số này có thể đã bị xâm phạm trong một cuộc tấn công hoán đổi SIM, còn được gọi là lừa đảo thẻ SIM. Như Victor Baallais, một giáo viên và chuyên gia an ninh mạng, giải thích trên X, "việc lăng mạ khi trả lời loại tin nhắn văn bản này là phản tác dụng, bạn phải cảnh báo nạn nhân". Thay vì trả lời tin nhắn bằng lời lăng mạ hoặc câu hỏi, chuyên gia khuyên bạn nên cảnh báo người có số điện thoại bị xâm phạm.
Tuy nhiên, chúng tôi khuyên bạn nên kiềm chế. Một số cuộc tấn công nhắm vào iPhone sử dụng phản hồi của người dùng để đánh lừa cơ chế bảo mật của iMessage. Dịch vụ nhắn tin sẽ tự động chặn các liên kết trong tin nhắn được gửi từ người gửi không xác định để ngăn chặn các nỗ lực lừa đảo. Tin nhắn độc hại sẽ nhắc nhở nạn nhân trả lời, điều này sẽ tự động vô hiệu hóa các hạn chế đối với liên kết lừa đảo. Những kẻ lừa đảo yêu cầu gửi “Y” để được cho là “mở lại liên kết kích hoạt”. Tóm lại, tốt nhất là nên hình thành thói quen không bao giờ phản hồi để tránh rơi vào tay tội phạm mạng.
Làm thế nào để thông báo cho chính quyền?
Cuối cùng, điều quan trọng là phải dành thời gian để thông báo cho các cơ quan có thẩm quyền. Tại Pháp, chúng tôi khuyên bạn nên chuyển tiếp tin nhắn SMS đến số 33700. Sau đó, tin nhắn độc hại sẽ được gửi trực tiếp đến cơ quan chức năng thông qua nhà mạng của bạn. Họ có thể chặn số điện thoại theo từng trường hợp cụ thể.
Chúng tôi hy vọng bài viết về lừa đảo qua tin nhắn văn bản này sẽ giúp bạn tránh được những cái bẫy mà tin tặc giăng ra. Nếu bạn có bất kỳ mẹo nào khác hoặc nếu bạn là nạn nhân của trò lừa đảo như thế này, vui lòng cho chúng tôi biết trong phần bình luận bên dưới.