Trước tiên, hãy để tôi kể cho bạn một tình huống thực tế.
Bạn nhận được một email từ "Nhóm Bảo mật Google" thông báo rằng tài khoản của bạn đã bị gắn cờ vì hoạt động đăng nhập đáng ngờ và yêu cầu xác minh danh tính ngay lập tức, nếu không tài khoản của bạn sẽ bị đóng băng trong vòng 24 giờ. Email được định dạng rất đẹp mắt, với logo rõ ràng và thông báo bản quyền trang trọng ở cuối. Hơi hoảng hốt, bạn nhấp vào nút "Xác minh ngay", điều này sẽ chuyển hướng bạn đến một trang web trông giống hệt trang đăng nhập của Google. Bạn nhập địa chỉ email và mật khẩu của mình…
Khi đó, tài khoản Google của bạn sẽ không còn thuộc về bạn nữa.
Đó chính xác là những gì email lừa đảo làm. Chúng không cần phải bẻ khóa mật khẩu của bạn hay có bất kỳ kỹ năng hack tinh vi nào; tất cả những gì chúng cần là bạn nhấp vào liên kết và nhập mật khẩu của mình trong lúc hoảng loạn.
Tại sao email lừa đảo ngày càng khó nhận biết?
Các email lừa đảo từ năm hoặc sáu năm trước khá dễ nhận biết—chúng đầy lỗi ngữ pháp, dịch thuật kém và logo giả mạo rõ ràng. Nhưng mọi thứ giờ đã khác.
Hiện nay, việc tạo ra các email lừa đảo (phishing) vô cùng dễ dàng và chi phí thấp, cùng với các công cụ tinh vi. Kẻ tấn công có thể:
- Sao chép hoàn hảo các mẫu email từ Google, ngân hàng và các công ty chuyển phát nhanh, với độ chính xác đến từng pixel.
- Tên hiển thị người gửi giả mạo, và thậm chí trong một số trường hợp, địa chỉ người gửi cũng giả mạo.
- Tên miền giả mạo rất giống với tên miền thật (ví dụ như
g00gle.com,google-security.com) - Sử dụng các công cụ AI để tạo nội dung bản địa hóa chính xác về ngữ pháp.
- Sử dụng tên thật và một số thông tin cá nhân của bạn một cách có chủ đích để tăng độ tin cậy.
Nói thẳng ra, email lừa đảo ngày nay không còn "dễ nhận biết là giả" nữa. Nhiều người đơn giản là không thể phân biệt được trừ khi họ kiểm tra kỹ.
Những thủ thuật câu cá phổ biến nhất
1. Giả mạo thông báo bảo mật của Google
Đây là chiêu trò kinh điển. Email sẽ thông báo cho bạn "Phát hiện đăng nhập bất thường", "Mật khẩu của bạn đã hết hạn" hoặc "Tài khoản của bạn sẽ sớm bị tạm ngưng", sau đó kèm theo một liên kết để bạn "xác minh danh tính" hoặc "cập nhật mật khẩu".
Thông báo bảo mật chính hãng của Google sẽ gửi email, đó là lý do tại sao nhiều người không thể phân biệt được giữa chúng và thông báo giả mạo. Chúng tôi sẽ giải thích cách phân biệt chúng ở phần sau.
2. Giả vờ là đồng nghiệp hoặc cấp trên
Điều này đặc biệt phổ biến trong môi trường doanh nghiệp. Bạn nhận được một email trông giống như đến từ sếp của bạn, nói rằng, "Tôi đang họp và không thể gọi điện, bạn có thể mua cho tôi một vài thẻ quà tặng và gửi cho tôi mã số thẻ được không?" Hoặc, "Bạn có thể cập nhật dữ liệu trong tệp này và gửi cho tôi được không?" — nhưng thực chất tệp đó là một tệp đính kèm độc hại.
Loại tấn công này được gọi là "Lừa đảo qua email doanh nghiệp" (Business Email Phishing - BEC), và thiệt hại về tài chính thường lớn hơn nhiều so với các vụ lừa đảo thông thường.
3. Thông báo trúng thưởng/hoàn thuế/hoàn tiền
"Chúc mừng bạn đã trúng iPhone 16," "Bạn có khoản hoàn thuế 320 đô la đang chờ xử lý," "Khoản hoàn tiền đơn hàng Amazon của bạn đã được ghi có vào tài khoản, vui lòng xác nhận"—bất kỳ ưu đãi nào được đưa ra mà không báo trước về cơ bản đều là chiêu trò dụ dỗ.
4. Cảnh báo khẩn cấp
"Tài khoản của bạn sẽ bị xóa vĩnh viễn trong 2 giờ nữa", "Tài khoản của bạn đã bị phát hiện gửi thư rác cho người khác", "Dung lượng lưu trữ Google Drive của bạn đã bị hạn chế do nội dung không phù hợp" - những tin nhắn này sử dụng nỗi sợ hãi để buộc bạn phải hành động ngay lập tức, không cho bạn thời gian suy nghĩ.
5. Lừa đảo qua chia sẻ tài liệu
Chiêu trò này tinh vi hơn. Bạn nhận được một email với nội dung "Người này đã chia sẻ tài liệu với bạn", có định dạng gần như giống hệt thông báo chia sẻ tài liệu thật trên Google Docs. Khi nhấp vào email đó, bạn sẽ được yêu cầu đăng nhập để xem tài liệu—tất nhiên, trang đăng nhập này là giả mạo.
Làm thế nào để xác định một email có phải là email lừa đảo hay không?
Không cần chuyên môn đặc biệt; chỉ cần hình thành những thói quen kiểm tra sau đây.
Hãy nhìn vào địa chỉ người gửi, chứ không phải tên hiển thị.
Đây là bước cơ bản nhưng quan trọng nhất. Tên người gửi hiển thị trong email có thể được thay đổi tùy ý; bất kỳ ai cũng có thể đặt nó thành "Nhóm Bảo mật Google". Nhưng địa chỉ email thực sự của người gửi mới là yếu tố then chốt.
Trong Gmail, hãy nhấp vào mũi tên nhỏ bên cạnh tên người gửi để xem chi tiết và địa chỉ email thực tế. Google chỉ chính thức sử dụng các tên miền như @google.com hoặc @accounts.google.com . Nếu địa chỉ thực tế là security-alert@google-verify.com hoặc noreply@g00gle-support.net , thì đó là email giả mạo.
Di chuột qua liên kết để xem URL thực tế.
Văn bản trên liên kết trong email có thể hoàn toàn khác với URL thực tế mà nó trỏ đến. Một nút có nội dung "Đăng nhập vào Google" thực chất có thể dẫn đến http://accounts-google.security-check.xyz/login .
Trên máy tính, di chuột qua liên kết mà không nhấp chuột và quan sát URL thực tế hiển thị ở góc dưới bên trái trình duyệt hoặc trong một cửa sổ chú thích bật lên. Trên điện thoại di động, nhấn giữ liên kết để xem trước địa chỉ.
Địa chỉ trang đăng nhập chính thức của Google luôn bắt đầu bằng https://accounts.google.com/ . Đừng tin tưởng bất kỳ biến thể nào khác.
Hãy chú ý đến sự khẩn trương trong giọng điệu của bạn.
Các email lừa đảo thường tạo cảm giác khẩn cấp bằng cách sử dụng các cụm từ như "ngay lập tức", "lập tức", "trong vòng 24 giờ" và "nếu không sẽ bị xóa vĩnh viễn", bởi vì mọi người dễ mắc lỗi hơn khi họ đang lo lắng.
Ngay cả khi thông báo từ một công ty uy tín có thời hạn, ngôn từ cũng sẽ nhẹ nhàng hơn và không mang tính đe dọa. Hơn nữa, đối với các vấn đề bảo mật tài khoản thực sự quan trọng, Google sẽ thông báo cho bạn qua nhiều kênh (thông báo đẩy, email sao lưu, tin nhắn SMS đến số điện thoại của bạn), chứ không chỉ một email duy nhất.
Không mở các tệp đính kèm chưa được xác minh.
Đặc biệt tránh mở các tệp có phần mở rộng .exe , .scr , .zip hoặc .js . Ngay cả các tệp .pdf hoặc .docx cũng không nên mở nếu không biết nguồn gốc của chúng. Các tài liệu độc hại có thể khai thác các lỗ hổng phần mềm để thực thi mã độc ngay khi bạn mở chúng.
Nếu bạn thực sự cần xem các tệp đính kèm, bạn có thể mở chúng bằng tính năng xem trước trực tuyến của Google Drive trước, thay vì tải chúng xuống ổ đĩa cục bộ của mình.
Hãy xác minh bằng thông tin do Gmail cung cấp.
Gmail có một số tính năng tích hợp sẵn có thể giúp bạn xác định điều này:
- Cảnh báo người gửi bên ngoài — Nếu bạn đang sử dụng Google Workspace (Enterprise), bạn sẽ thấy thanh cảnh báo màu vàng khi nhận được email từ bên ngoài tổ chức của mình.
- Dấu chấm hỏi ("?" ) sẽ xuất hiện trong khu vực ảnh đại diện nếu người gửi chưa được xác minh.
- Biểu ngữ cảnh báo màu đỏ — Gmail hiển thị cảnh báo màu đỏ ở đầu trang khi phát hiện email đáng ngờ, thông báo cho bạn "Email này có vẻ đáng ngờ."
Hãy chú ý thật kỹ khi bạn đọc những lời khuyên này.
Nếu bạn đã nhấp vào liên kết lừa đảo
Đừng hoảng sợ, nhưng hãy nhanh chóng. Thực hiện theo các bước sau:
Tôi chỉ nhấp vào liên kết mà không nhập bất kỳ thông tin nào.
Không sao đâu. Hãy đóng trang đó lại và xóa bộ nhớ cache cũng như cookie của trình duyệt. Nếu bạn lo lắng về các mã độc hại trên trang web, hãy chạy quét toàn hệ thống bằng phần mềm diệt virus của mình.
Đã nhập mật khẩu
- Hãy đổi mật khẩu ngay lập tức — đăng nhập vào
myaccount.google.comtrên một thiết bị khác mà bạn chắc chắn là an toàn và đổi mật khẩu. - Kiểm tra hoạt động đăng nhập gần đây — trong cài đặt bảo mật, hãy chọn "Thiết bị của bạn" và "Hoạt động bảo mật gần đây", và đăng xuất khỏi bất kỳ thiết bị nào không quen thuộc.
- Kiểm tra các tùy chọn khôi phục — hãy chắc chắn rằng địa chỉ email và số điện thoại dự phòng của bạn không bị thay đổi.
- Hãy kiểm tra cài đặt chuyển tiếp email của bạn — những kẻ tấn công lừa đảo có thể thiết lập chuyển tiếp email tự động đến hộp thư đến của chúng. Vào cài đặt Gmail → Chuyển tiếp & POP/IMAP và kiểm tra xem có địa chỉ chuyển tiếp nào đáng ngờ không.
- Hãy bật xác thực hai bước — nếu bạn chưa bật trước đây, hãy bật ngay bây giờ. Tốt nhất là nên thiết lập mật khẩu hoặc khóa bảo mật.
- Kiểm tra quyền truy cập của ứng dụng bên thứ ba — hãy truy cập
myaccount.google.com/permissionsđể xem có ứng dụng nào lạ được cấp quyền truy cập vào tài khoản của bạn hay không.
Đã nhập thông tin thẻ ngân hàng hoặc thông tin thanh toán
Ngoài các bước trên, bạn nên liên hệ ngay với ngân hàng để khóa các thẻ liên quan và theo dõi lịch sử giao dịch gần đây.
Phòng vệ chủ động: Làm cho việc thu thập email lừa đảo trở nên khó khăn hơn.
Thay vì chỉ dựa vào việc kiểm tra bằng mắt thường để xác định tính xác thực mỗi lần, tốt hơn hết là nên thực hiện các biện pháp phòng ngừa để ngay cả khi email lừa đảo khiến bạn cung cấp mật khẩu, nó cũng không thể đăng nhập vào tài khoản của bạn.
Bật xác thực hai bước
Đây là biện pháp bảo mật tiết kiệm chi phí nhất. Sau khi kích hoạt, ngay cả khi mật khẩu của bạn bị đánh cắp, kẻ tấn công cũng không thể đăng nhập nếu không có số điện thoại của bạn.
Truy cập myaccount.google.com → Bảo mật → Xác minh hai bước và làm theo hướng dẫn để thiết lập. Nên sử dụng Google Authenticator hoặc Passkey; không nên sử dụng mã xác minh qua SMS (tin nhắn SMS có thể bị chặn bởi thẻ SIM).
Đặt mật khẩu
Nó tiến thêm một bước so với xác minh hai bước. Passkey vốn dĩ chống lại được các vụ lừa đảo trực tuyến vì chúng tự động xác minh tên miền của trang web, ngăn chặn các trang web giả mạo kích hoạt quá trình xác minh. Để biết hướng dẫn thiết lập cụ thể, vui lòng tham khảo bài viết trước của chúng tôi , "Google Passkey là gì: Một cách mới để nói lời tạm biệt với mật khẩu truyền thống".
Hãy luôn bật các tính năng bảo mật của Gmail.
Gmail có nhiều tính năng bảo mật được bật mặc định; đừng tắt chúng một cách không cần thiết.
- Lọc thư rác
- Phát hiện email lừa đảo
- Quét các tệp đính kèm đáng ngờ
- Bảo vệ duyệt web an toàn (hệ thống kiểm tra độ an toàn của trang web mục tiêu khi người dùng nhấp vào liên kết).
Các tính năng này có thể chặn hơn 99% email lừa đảo. Tuy nhiên, một số lượng nhỏ email lừa đảo vẫn lọt qua và vào hộp thư đến, vì vậy việc kiểm tra thủ công vẫn rất quan trọng.
Thường xuyên kiểm tra trạng thái bảo mật tài khoản.
Google cung cấp công cụ "kiểm tra bảo mật" tại myaccount.google.com/security-checkup . Công cụ này sẽ giúp bạn kiểm tra:
- Gần đây có thiết bị nào đăng nhập khả nghi không?
- Việc cấp quyền cho ứng dụng của bên thứ ba như vậy có bình thường không?
- Đã bật xác thực hai bước
- Thông tin khôi phục đã đầy đủ chưa?
Tôi đề nghị bạn dành hai phút để xem nó mỗi tháng.
Hãy cẩn thận khi sử dụng Wi-Fi công cộng.
Việc đăng nhập vào email của bạn bằng Wi-Fi công cộng tại quán cà phê, sân bay hoặc khách sạn tiềm ẩn nhiều rủi ro hơn so với ở nhà. Nếu bắt buộc phải sử dụng mạng công cộng, bạn nên sử dụng VPN.
Những điều cần lưu ý thêm dành cho người dùng doanh nghiệp
Nếu bạn đang sử dụng Google Workspace (Gmail dành cho doanh nghiệp), quản trị viên cũng có thể thực hiện các thao tác sau để bảo vệ toàn bộ tổ chức:
- Kích hoạt xác thực hai bước —Thiết lập tùy chọn này trong bảng điều khiển quản trị; tất cả nhân viên phải kích hoạt tính năng này.
- Triển khai chính sách DMARC — Ngăn chặn người khác mạo danh tên miền doanh nghiệp của bạn và gửi email lừa đảo đến khách hàng hoặc nhân viên của bạn.
- Để kích hoạt tính năng bảo vệ chống lừa đảo nâng cao , hãy truy cập vào bảng điều khiển quản trị Workspace → Bảo mật → Gmail → Bảo mật. Tại đó, bạn sẽ tìm thấy một số tùy chọn bảo vệ nâng cao.
- Thường xuyên đào tạo nhân viên về email lừa đảo — nâng cao nhận thức về an ninh mạng quan trọng hơn bất kỳ phương tiện kỹ thuật nào.
Cách báo cáo email lừa đảo
Đừng chỉ xóa nó đi; hãy dành hai giây để báo cáo nhằm giúp Google cải thiện thuật toán lọc và bảo vệ những người khác khỏi bị ảnh hưởng.
- Mở email đó ra
- Nhấp vào biểu tượng ba chấm ở góc trên bên phải.
- Chọn "Báo cáo là email lừa đảo"
Đơn giản vậy thôi. Google cập nhật cơ sở dữ liệu chữ ký email lừa đảo dựa trên dữ liệu được báo cáo, giúp việc chặn tự động các email tương tự trong tương lai trở nên dễ dàng hơn.
Hãy nhớ một nguyên tắc chung.
Cuối cùng, đây là nguyên tắc thực tế nhất để đánh giá email: Khi bạn nhận được một email mà bạn không chắc chắn, hãy nhớ điều này:
Các tổ chức hợp pháp sẽ không bao giờ yêu cầu bạn nhập mật khẩu thông qua một liên kết trong email.
Dù email có vẻ xác thực hay khẩn cấp đến đâu, nếu nó yêu cầu bạn nhấp vào liên kết để đăng nhập hoặc nhập thông tin nhạy cảm, đừng làm theo. Cách đúng đắn là mở trình duyệt, tự nhập địa chỉ trang web chính thức, đăng nhập và tự kiểm tra email. Khi bạn hình thành thói quen này, nguy cơ nhận email lừa đảo sẽ giảm xuống gần như bằng không.