TIN TỨC FUNLINK

Tấn công Phishing vào doanh nghiệp: Một cú click sai, toàn bộ hệ thống tê liệt

Tóm tắt

Mức độ nguy hiểm của tấn công Phishing và thống kê thiệt hại mới nhất

Tấn công lừa đảo (Phishing) không còn là khái niệm xa lạ, nhưng mức độ tinh vi và thiệt hại mà nó gây ra cho doanh nghiệp lại đang tăng lên theo cấp số nhân. Một nhân viên bất cẩn, một cú click sai lầm có thể mở toang cánh cửa cho tội phạm mạng, gây tê liệt toàn bộ hệ thống và thiệt hại hàng triệu đô la.

Tấn công Phishing là gì và tại sao nhân viên văn phòng là mục tiêu hàng đầu?

Phishing là hình thức tấn công mạng mà kẻ xấu giả mạo thành một đơn vị uy tín (ngân hàng, cơ quan chính phủ, đối tác, thậm chí là sếp của bạn) để lừa người dùng tiết lộ thông tin nhạy cảm. Các thông tin này bao gồm tên đăng nhập, mật khẩu, thông tin thẻ tín dụng, hoặc mã số an sinh xã hội.

Nhân viên văn phòng chính là “mắt xế yếu” mà tin tặc nhắm đến vì các lý do sau:

  • Tiếp cận trực tiếp đến tài sản doanh nghiệp: Họ có quyền truy cập vào các hệ thống nội bộ, dữ liệu khách hàng, và tài khoản tài chính.
  • Tâm lý chủ quan và áp lực công việc: Việc xử lý hàng trăm email mỗi ngày khiến họ dễ mất cảnh giác, đặc biệt với những email yêu cầu xử lý khẩn cấp.
  • Thiếu kiến thức chuyên sâu về an ninh mạng: Không phải ai cũng được đào tạo để nhận diện các thủ đoạn lừa đảo ngày càng tinh vi.

Thống kê đáng báo động: Thiệt hại do Phishing gây ra cho doanh nghiệp toàn cầu

Những con số không biết nói dối. Theo báo cáo của IBM Cost of a Data Breach 2023, tấn công phishing là một trong những nguyên nhân gây vi phạm dữ liệu tốn kém nhất.

  • Thiệt hại tài chính: Chi phí trung bình của một vụ vi phạm dữ liệu do phishing gây ra lên tới hàng triệu đô la, bao gồm tiền phạt, chi phí khắc phục và tổn thất kinh doanh.
  • Mất mát dữ liệu: Hàng terabyte dữ liệu nhạy cảm của công ty và khách hàng bị đánh cắp, dẫn đến nguy cơ bị tống tiền hoặc bán trên thị trường chợ đen.
  • Ngưng trệ hoạt động: Hệ thống có thể bị tê liệt trong nhiều ngày, thậm chí nhiều tuần để điều tra và khắc phục, gây ảnh hưởng nghiêm trọng đến doanh thu và uy tín.
Infographic thống kê thiệt hại từ tấn công phishing vào doanh nghiệp gồm chi phí tài chính và dữ liệu bị đánh cắp.
Thống kê cho thấy thiệt hại do tấn công phishing gây ra cho doanh nghiệp toàn cầu là cực kỳ lớn.

5 Kịch bản tấn công Phishing phổ biến nhất trong môi trường công sở

Kẻ tấn công liên tục sáng tạo ra các kịch bản mới, nhưng dưới đây là 5 hình thức phổ biến và nguy hiểm nhất mà bất kỳ nhân viên nào cũng có thể gặp phải.

Kịch bản 1: Email giả mạo sếp yêu cầu chuyển khoản khẩn (BEC – Business Email Compromise)

Đây là hình thức tấn công cực kỳ nguy hiểm. Kẻ xấu sẽ giả mạo email của CEO, CFO yêu cầu kế toán thực hiện một giao dịch chuyển tiền “khẩn cấp” và “bảo mật”. Lợi dụng áp lực và sự tin tưởng vào cấp trên, nhiều nhân viên đã sập bẫy, gây thiệt hại tài chính nặng nề.

Kịch bản 2: Email giả mạo hóa đơn, thông báo giao hàng từ đối tác

Email có vẻ ngoài hợp pháp từ các đối tác như FedEx, DHL, hoặc một nhà cung cấp quen thuộc, yêu cầu bạn click vào link để xem hóa đơn hoặc theo dõi đơn hàng. Đường link này thực chất dẫn đến một trang web giả mạo để đánh cắp thông tin đăng nhập hoặc tải mã độc về máy.

Kịch bản 3: Cảnh báo bảo mật giả từ IT yêu cầu cung cấp mật khẩu

“Hệ thống email của bạn sắp đầy” hoặc “Tài khoản của bạn có hoạt động đáng ngờ”. Những cảnh báo giả mạo này yêu cầu bạn nhập mật khẩu để xác minh hoặc nâng cấp. Đội ngũ IT KHÔNG BAO GIỜ yêu cầu mật khẩu của bạn qua email.

Kịch bản 4: Thư mời tham gia sự kiện, khảo sát chứa link độc hại

Những email này đánh vào tâm lý tò mò hoặc mong muốn nhận được phần thưởng. Chúng mời bạn tham gia một sự kiện trực tuyến hấp dẫn hoặc hoàn thành khảo sát để nhận quà, nhưng đường link tham gia lại là một cái bẫy.

Kịch bản 5: Lừa đảo qua các ứng dụng chat công việc (Slack, Teams, Zalo)

Phishing không chỉ giới hạn ở email. Kẻ xấu có thể chiếm tài khoản của một đồng nghiệp và gửi cho bạn một file hoặc đường link độc hại qua Slack, Microsoft Teams với lời nhắn “Xem file này gấp nhé”. Vì tin tưởng đồng nghiệp, bạn sẽ dễ dàng click mà không nghi ngờ.

So sánh email tấn công phishing giả mạo sếp và email thật để nhận biết dấu hiệu lừa đảo.
Các dấu hiệu như tên miền lạ, lỗi chính tả, và lời lẽ hối thúc là chìa khóa để nhận diện một email lừa đảo.

Hướng dẫn 3 bước kiểm tra nhanh một email nghi ngờ lừa đảo cho nhân viên

Trước khi click vào bất cứ thứ gì, hãy dành 30 giây để thực hiện 3 bước kiểm tra “vàng” sau đây.

Bước 1: Kiểm tra kỹ địa chỉ người gửi – Đừng chỉ nhìn vào tên hiển thị

Tên hiển thị có thể dễ dàng bị giả mạo. Hãy luôn kiểm tra địa chỉ email đầy đủ. Kẻ lừa đảo thường sử dụng tên miền gần giống với tên miền thật (ví dụ: [email protected] thay vì [email protected]) hoặc những tên miền công cộng như @gmail.com.

Bước 2: Rà chuột (không click) lên các đường link để xem URL thật sự

Di chuyển con trỏ chuột lên trên đường link hoặc nút bấm trong email nhưng tuyệt đối không click. Hầu hết các trình duyệt email sẽ hiển thị địa chỉ URL đầy đủ ở góc dưới bên trái màn hình. Nếu URL này trông khác lạ hoặc không liên quan đến nội dung email, đó là một dấu hiệu lừa đảo.

Bước 3: Cảnh giác với các yêu cầu khẩn cấp và tệp đính kèm lạ

Kẻ tấn công luôn cố gắng tạo ra cảm giác cấp bách để bạn hành động mà không suy nghĩ. Bất kỳ yêu cầu nào đòi hỏi “hành động ngay lập tức”, “khẩn cấp” đều đáng ngờ. Tương tự, không bao giờ mở các tệp đính kèm không mong muốn, đặc biệt là các file có đuôi .zip, .exe, hoặc các file Office chứa macro.

Doanh nghiệp cần làm gì để xây dựng “lá chắn thép” chống Phishing?

Phòng chống phishing đòi hỏi một chiến lược đa tầng, kết hợp giữa công nghệ, con người và quy trình.

Triển khai các giải pháp công nghệ: Email Security Gateway

Đây là lớp phòng thủ đầu tiên, hoạt động như một bộ lọc thông minh. Các giải pháp Email Security Gateway sử dụng công nghệ máy học để phân tích và chặn các email lừa đảo, chứa mã độc, hoặc spam trước khi chúng kịp đến hộp thư của nhân viên.

Yếu tố con người: Tầm quan trọng của đào tạo nhận thức an toàn (Security Awareness Training)

Công nghệ mạnh đến đâu cũng có thể bị qua mặt. Con người chính là lớp phòng thủ quan trọng nhất. Doanh nghiệp cần tổ chức các chương trình đào tạo nhận thức an toàn thông tin định kỳ, giúp nhân viên:

  • Hiểu rõ các hình thức lừa đảo phổ biến.
  • Biết cách nhận diện email, tin nhắn đáng ngờ.
  • Thực hành các quy trình báo cáo sự cố an toàn.

Thực hành: Hướng dẫn chi tiết cách tổ chức diễn tập phishing nội bộ

Một trong những phương pháp đào tạo hiệu quả nhất là tổ chức các chiến dịch giả lập tấn công phishing. Việc này giúp đo lường mức độ nhận thức của nhân viên và cung cấp các bài học thực tế trong một môi trường an toàn.

Sơ đồ 3 lớp phòng thủ chống tấn công phishing vào doanh nghiệp: Công nghệ, Con người, Quy trình.
Mô hình 3 lớp phòng thủ toàn diện là chìa khóa để bảo vệ doanh nghiệp trước các cuộc tấn công phishing.

Nâng cao nhận thức an toàn thông tin để bảo vệ doanh nghiệp của bạn

Trong cuộc chiến chống lại tội phạm mạng, kiến thức và sự cảnh giác là vũ khí tối thượng. Mỗi nhân viên đều là một “người lính” trên mặt trận an ninh mạng.

Đừng để một cú click trở thành thảm họa – Đăng ký nhận tư vấn về giải pháp đào tạo cho nhân viên ngay hôm nay

Đầu tư vào đào tạo nhận thức an toàn thông tin không phải là chi phí, mà là khoản đầu tư quan trọng nhất để bảo vệ tài sản, dữ liệu và uy tín của doanh nghiệp trước các mối đe dọa phishing ngày càng gia tăng.

admin

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *