Lừa đảo phishing liên tục biến đổi, đánh vào cảm xúc và lòng tin của nạn nhân

An toàn thông tin - Ngày đăng : 07:59, 21/09/2021

Tấn công lừa đảo (phishing) hiện vẫn là một chiêu thức tấn công mạng được hacker sử dụng nhiều, liên tục biến đổi, đa dạng hóa, đặc biệt nhắm vào các vấn đề thời sự nóng, lợi dụng cảm xúc và lòng tin của “con mồi”.

Khoảng 83% bộ phận CNTT trong các tổ chức Ấn Độ cho biết số lượng email lừa đảo nhắm vào nhân viên của họ tăng mạnh trong năm 2020, theo kết quả cuộc khảo sát toàn cầu có tiêu đề “Phishing Insights 2021” của công ty an ninh mạng Sophos.

“Phishing đã tồn tại hơn 25 năm và hiện vẫn là một kỹ thuật tấn công mạng hiệu quả”, Chester Wisniewski, nhà khoa học nghiên cứu chính tại Sophos, cho biết. Một trong những lý do thành công của thuật phishing là khả năng liên tục phát triển và đa dạng hóa, điều chỉnh các cuộc tấn công phù hợp với các vấn đề hoặc mối quan tâm thời sự, chẳng hạn như đại dịch, lợi dụng cảm xúc và lòng tin của con người.

Các tổ chức có thể xem các cuộc tấn công lừa đảo là một mối đe dọa tương đối thấp, nhưng điều đó đã đánh giá thấp sức mạnh của phishing. Phishing thường là bước đầu tiên trong một cuộc tấn công phức tạp, nhiều giai đoạn. 

Theo Sophos Rapid Response, những kẻ tấn công thường sử dụng email lừa đảo để lừa người dùng cài đặt phần mềm độc hại hoặc chia sẻ thông tin đăng nhập, cung cấp quyền truy cập vào mạng công ty. Từ đó, chúng tiếp tục thực hiện các hành vi lấy cắp thông tin, thâm nhập hệ thống khác.

Các phát hiện cũng cho thấy có người dùng thiếu hiểu biết chung về định nghĩa của phishing. Ví dụ, 67% các nhóm CNTT ở Ấn Độ xem phishing là các email giả mạo, được gửi đi từ một tổ chức giống như hợp pháp và thường được kết hợp với một mối đe dọa hoặc yêu cầu cung cấp thông tin. Khoảng 61% coi các cuộc tấn công lừa  đảo email doanh nghiệp (BEC) là lừa đảo và một nửa số người được hỏi (50%) nghĩ rằng phishing là khi những kẻ tấn công tự chèn mã độc vào một chuỗi email hợp pháp.

Tin tốt là hầu hết các tổ chức ở Ấn Độ (98%) đã triển khai các chương trình nâng cao nhận thức về an ninh mạng để chống lừa đảo. Những người được hỏi cho biết họ sử dụng các chương trình đào tạo dựa trên máy tính (67%), các chương trình đào tạo do con người hướng dẫn (60%) và mô phỏng lừa đảo (51%).

Tất cả các tổ chức được khảo sát ở Delhi, Hyderabad và Kolkata cho biết họ có các chương trình nâng cao nhận thức về an ninh mạng. Tiếp theo là Chennai, 97% các tổ chức ở đây có các chương trình nâng cao nhận thức như vậy, và sau đó là Bengaluru và Mumbai với 96% các cơ quan, tổ chức có chương trình nâng cao nhận thức về an ninh mạng cho nhân viên./.

Bảo Bình