Tấn công lừa đảo là gì?

Phishing Attack Ngân hàng số & Thanh toán ~7 phút đọc

Tấn công lừa đảo là gì?

Tấn công lừa đảo (Phishing Attack) là hình thức tấn công mạng trong đó kẻ tấn công giả mạo ngân hàng, tổ chức tài chính hoặc các đơn vị uy tín để dụ dỗ người dùng cung cấp thông tin đăng nhập, mật khẩu, số tài khoản, mã OTP hoặc các dữ liệu tài chính nhạy cảm khác nhằm chiếm đoạt tài sản hoặc đánh cắp danh tính của nạn nhân.

Thuật ngữ "phishing" bắt nguồn từ việc kết hợp "password" và "fishing" (câu cá), mang ý nghĩa "câu" thông tin đăng nhập của người dùng. Trong lĩnh vực ngân hàng số, đây được coi là một trong những mối đe dọa nghiêm trọng nhất đối với cả tổ chức tín dụng và khách hàng cá nhân.

Tại sao Tấn công lừa đảo quan trọng trong ngân hàng?

  • Rủi ro tài chính trực tiếp: Kẻ tấn công chiếm đoạt thông tin đăng nhập có thể truy cập tài khoản ngân hàng, chuyển tiền trái phép hoặc thực hiện giao dịch gian lận, gây thiệt hại tài chính trực tiếp cho khách hàng.
  • Mất uy tín ngân hàng: Khi khách hàng bị lừa đảo qua email hoặc website giả mạo ngân hàng, niềm tin vào hệ thống ngân hàng số bị ảnh hưởng nghiêm trọng.
  • Gia tăng theo xu hướng ngân hàng số: Sự phát triển mạnh mẽ của ngân hàng điện tử và ví điện tử tạo ra bề mặt tấn công rộng hơn cho tội phạm công nghệ.
  • Trách nhiệm pháp lý: Ngân hàng và khách hàng đều có nghĩa vụ pháp lý trong việc bảo vệ thông tin tài khoản; sự cố phishing có thể dẫn đến tranh chấp pháp lý phức tạp.
  • Tác động đến hoạt động kinh doanh: Các vụ lừa đảo quy mô lớn buộc ngân hàng phải đầu tư lớn vào hệ thống bảo mật, tăng chi phí vận hành.

Cách hoạt động của Tấn công lừa đảo

Quy trình chung

Các cuộc tấn công phishing thường trải qua 4 giai đoạn chính:

Giai đoạn 1 - Chuẩn bị: Kẻ tấn công thu thập thông tin về nạn nhân mục tiêu (email, số điện thoại, mạng xã hội) và tạo các công cụ giả mạo (email giả, website giống hệt, tin nhắn SMS giả).

Giai đoạn 2 - Tiếp cận: Kẻ tấn công gửi thông điệp giả mạo đến nạn nhân qua email (email phishing), SMS (smishing), điện thoại (vishing) hoặc mạng xã hội.

Giai đoạn 3 - Thuyết phục: Thông điệp được thiết kế tạo cảm giác cấp bách, lo sợ hoặc hứa hẹn phần thưởng: "Tài khoản của bạn bị khóa trong 24 giờ!", "Bạn đã trúng thưởng 500 triệu đồng!", "Xác minh danh tính ngay để nhận hoàn tiền".

Giai đoạn 4 - Thu thập thông tin: Nạn nhân nhấp vào liên kết giả mạo, nhập thông tin đăng nhập, mã OTP hoặc dữ liệu nhạy cảm → Kẻ tấn công thu thập và sử dụng thông tin để chiếm đoạt tài sản.

Các hình thức phổ biến

Hình thức Kênh tấn công Đặc điểm
Email Phishing Email Gửi hàng loạt email giả mạo nhiều tổ chức
Smishing Tin nhắn SMS Sử dụng tin nhắn ngắn với liên kết rút gọn
Vishing Điện thoại Kẻ tấn công gọi điện đóng vai nhân viên ngân hàng
Spear Phishing Email/SMS cá nhân hóa Nhắm vào đối tượng cụ thể với thông tin chính xác
Clone Phishing Email Sao chép email hợp lệ rồi chèn liên kết độc hại

Ví dụ thực tế

Ví dụ 1 - Tin nhắn SMS giả mạo brandname ngân hàng

Khách hàng C nhận được tin nhắn SMS hiển thị tên Ngân hàng A với nội dung: "NGAN HANG A: Tai khoan 1234567890 cua quy khach bi tam khoa do giao dich bat thuong. Vui long xac minh tai: shorturl.abc/xyz".

Khách hàng C lo sợ nhấp vào liên kết, điền thông tin đăng nhập gồm tên đăng nhập, mật khẩu và mã OTP xác nhận. Ngay lập tức, kẻ tấn công đăng nhập vào tài khoản và chuyển 150 triệu đồng sang tài khoản khác trước khi ngân hàng kịp phát hiện.

Ví dụ 2 - Trang web giả mạo ứng dụng ngân hàng

Kẻ tấn công tạo trang web có giao diện giống hệt ứng dụng Ngân hàng B, sử dụng tên miền tương tự như "ngaanhhangbb.com" (gõ sai chính tả). Khách hàng D tìm kiếm "app Ngân hàng B" trên Google, nhấp vào kết quả quảng cáo và tải ứng dụng giả mạo. Khi đăng nhập, toàn bộ thông tin tài khoản được gửi đến máy chủ của kẻ tấn công.

Ví dụ 3 - Vishing qua điện thoại

Người gọi tự xưng là nhân viên phòng chống gian lận Ngân hàng A, thông báo khách hàng E có giao dịch đáng ngờ 200 triệu đồng tại Hà Nội (trong khi khách hàng ở TP. Hồ Chí Minh). Kẻ tấn công yêu cầu khách hàng E xác nhận danh tính bằng cách đọc mã OTP gửi về điện thoại để "hủy giao dịch". Thực tế, đó là mã xác nhận chuyển tiền mà kẻ tấn công đang thực hiện.

Phân biệt với thuật ngữ liên quan

Tiêu chí Phishing (Lừa đảo) Malware (Phần mềm độc hại) Social Engineering (Kỹ thuật xã hội)
Bản chất Giả mạo danh tính để lấy thông tin Cài phần mềm gây hại vào thiết bị Thao túng tâm lý con người
Mục tiêu Thông tin đăng nhập, tài chính Kiểm soát thiết bị, dữ liệu Thuyết phục nạn nhân tự nguyện hành động
Phương thức Email, SMS, điện thoại, website giả File đính kèm, tải về, lỗ hổng phần mềm Đe dọa, hứa hẹn, lừa đảo tâm lý
Phòng ngừa Kiểm tra nguồn gốc, không click linh tinh Cài phần mềm bảo mật, cập nhật Đào tạo nhận thức, xác minh đa yếu tố
Vai trò trong ngân hàng Đánh cắp thông tin khách hàng Phá hủy hệ thống, theo dõi Hỗ trợ các hình thức tấn công khác

Phân biệt Spear Phishing và Bulk Phishing:

  • Bulk Phishing: Gửi hàng loạt email đến nhiều người với nội dung chung, không cá nhân hóa, dễ nhận diện.
  • Spear Phishing: Nghiên cứu kỹ đối tượng mục tiêu, sử dụng tên thật, thông tin cá nhân để tạo độ tin cậy cao hơn, khó phát hiện hơn.

Câu hỏi thường gặp trong đề thi

  1. Hình thức tấn công lừa đảo trong đó kẻ tấn công sử dụng tin nhắn SMS để đánh cắp thông tin khách hàng ngân hàng được gọi là gì?

  2. Theo quy định tại Điều 174 Bộ luật Hình sự 2015 (sửa đổi 2017), khung hình phạt cao nhất đối với tội lừa đảo chiếm đoạt tài sản qua tấn công phishing là bao nhiêu năm tù?

  3. Biện pháp nào sau đây giúp nhận biết email phishing giả mạo ngân hàng?

  4. Thông tư 16/2020/TT-NHNN quy định trách nhiệm của tổ chức tín dụng trong việc bảo mật thông tin khách hàng bao gồm những nội dung gì?

  5. Trong các hình thức tấn công phishing, hình thức nào nhắm vào đối tượng cụ thể với thông tin được cá nhân hóa?

Tổng kết

Tấn công lừa đảo (Phishing Attack) là mối đe dọa hàng đầu trong lĩnh vực ngân hàng số, đòi hỏi cả tổ chức tín dụng và khách hàng phải nâng cao nhận thức và áp dụng biện pháp phòng tránh hiệu quả. Việc hiểu rõ các hình thức phishing (email, SMS, voice), cách nhận diện email và website giả mạo, cùng các quy định pháp lý liên quan là kiến thức bắt buộc đối với bất kỳ ứng viên nào muốn thi tuyển vào các vị trí trong ngành ngân hàng.

Khi ôn tập cho kỳ thi tuyển dụng ngân hàng, thí sinh cần đặc biệt lưu ý phân biệt các loại hình tấn công mạng, nắm vững quy định pháp luật Việt Nam về an ninh mạng và bảo mật thông tin, cũng như hiểu rõ trách nhiệm của các bên liên quan khi xảy ra sự cố bảo mật. Chúc các bạn ôn thi hiệu quả!

🎓

Luyện thi với kiến thức này

Thuật ngữ này thường xuất hiện trong đề thi tuyển dụng ngân hàng

Chia sẻ thuật ngữ này:

🔗 Thuật ngữ liên quan 8