Nội dung bài viết
#

Voice Phishing là gì? Các kiểu tấn công Vishing phổ biến

Nội dung bài viết

    Vishing là một trong những cuộc tấn công liên lạc với người dùng thông qua thiết bị điện thoại nhằm đánh cắp các dữ liệu cá nhân quan trọng. Làm cách nào để ngăn chặn các cuộc lừa đảo này? Hãy theo dõi bài viết dưới đây để tìm kiếm câu trả lời.

    Vishing là gì?

    Vishing la gi

    Vishing là từ viết tắt của Voice Phishing được sử dụng để chỉ hành vi lừa đảo qua điện thoại. Cụ thể, đó là một dạng tấn công người dùng trong đó tin tặc sẽ liên lạc với nạn nhân thông qua cuộc gọi điện thoại độc hại. Mục đích của chúng là nhằm dụ dỗ các nạn nhân cung cấp các thông tin cá nhân, sau đó chúng sẽ tiến hành thu thập dữ liệu quan trọng khác.

    Thông thường, Vishing sẽ được thực hiện bằng các cuộc gọi thoại khẩn cấp hoặc đáng ngờ. Chẳng hạn như tin tặc sẽ gọi cho nạn nhân để thông báo rằng tài khoản của họ đã bị tấn công. Người dùng cần cung cấp mật khẩu và mã PIN để xác thực lại danh tính hoặc mở tài khoản. Hoặc chúng có thể giả mạo các cơ quan chính phủ như IRS hay cơ quan an sinh xã hội để thông báo rằng người dùng đã vi phạm pháp luật cần đóng tiền phạt.

    Một cuộc tấn công Vishing thành công khi tin tặc sử dụng tốt các kỹ năng thuyết phục người dùng để họ có thể cung cấp thông tin được yêu cầu. Các kỹ năng này có thể là lời thuyết phục tích cực hoặc thậm chí là những lời đe dọa tống tiền.

    Vishing hoạt động như thế nào?

    Để thực hiện một cuộc tấn công Vishing, kẻ lừa đảo sẽ sử dụng một ID giả mạo của doanh nghiệp lớn hoặc tổ chức đáng tin cậy để gọi điện thoại đến người dùng nạn nhân. Trong đó, chúng sẽ tự xưng là những người có chức trách trong công ty như giám đốc điều hành, quản lý nhân sự hoặc đại lý IRS. Sau đó, kẻ lừa đảo sẽ cung cấp các thông tin cấp bách để dụ dỗ người dùng đưa ra các thông tin theo yêu cầu của chúng.

    Hiện nay có nhiều loại tấn công dựa vào những công nghệ kỹ thuật số hiện đại. Nhưng Vishing vẫn dựa vào cách gọi điện thoại với mục đích dụ dỗ và thuyết phục nạn nhân trong thời gian ngắn. Điều này khiến cho người dùng bị mất cảnh giác và chủ động cung cấp các thông tin mà chúng yêu cầu.

    Các loại Vishing phổ biến hiện nay

    Một số loại tấn công Vishing phổ biến hiện nay mà kẻ lừa đảo thường sử dụng để đánh lừa người dùng nạn nhân như sau:

    1. Wardialing

    Wardialing sử dụng một số công nghệ hiện đại để có khả năng tự động quay số điện thoại. Điều này nhằm tìm kiếm các lỗ hổng bảo mật trong cơ sở hạ tầng CNTT. Một số công cụ bảo mật mà kẻ tấn công thường sử dụng để tìm các số được kết nối với modem không an toàn hay còn gọi là Wardialers và Demon Dialer.

    Wardialing là phương pháp tấn công được sử dụng nhiều nhất với tỷ lệ thành công cao. Trong đó, các thông tin PII do kỹ thuật này khai thác sẽ được tin tặc sử dụng cho nhiều mục đích khác nhau.

    2. VoIP-based Attack

    VoIP – Voice over Internet Protocol là giao thức gọi thoại dựa trên Internet. Trong đó, kẻ tấn công sẽ thực hiện phương thức lừa đảo này bằng cách gọi thoại bằng VoIP giả mạo thông qua các thiết bị công nghệ như điện thoại di động, máy tính, điện thoại VoIP hay các WebRTC.

    Bởi vì các cuộc gọi VoIP do kẻ tấn công thực hiện đều giả mạo các tổ chức và doanh nghiệp lớn nên chúng đều bắt nguồn từ 1 mạng. Ngoài ra, VoIP còn yêu cầu người dùng nạn nhân thực hiện các bước xác thực đa yếu tố nhằm thu thập các thông tin của họ.

    3. Caller ID Spoofing

    Spoofing là hình thức lừa đảo ẩn danh được kẻ tấn công thực hiện bằng cách giả mạo thông tin được gửi đến màn hình hiển thị cuộc gọi của người dùng. Cụ thể, tin tặc sẽ sử dụng kỹ thuật Neighbor Spoofing để mạo danh một địa chỉ ID đáng tin cậy. Khi cuộc gọi được thực hiện, chúng sẽ cố gắng đánh cắp tiền hoặc dữ liệu quan trọng của người dùng để nhằm mục đích chuộc lợi.

    4. Dumpster Diving

    Dumpster Diving là phương pháp mà kẻ tấn công thường xuyên sử dụng để thu thập thông tin liên hệ của người dùng nạn nhân. Cụ thể, chúng sẽ tìm kiếm các thông tin từ các tài liệu bị xóa bỏ, thiết bị lưu trữ hỏng, lịch cũ hoặc các bản sao để thực hiện các hành vi trái phép đối với nạn nhân như tống tiền hoặc rút tiền từ thẻ ngân hàng.

    5. Microsoft Support

    Đây là phương thức lừa đảo mà kẻ tấn công sử dụng nhằm dụ dỗ người dùng nạn nhân gọi cho Microsoft Support để giải quyết một số vấn đề về kỹ thuật. Nếu như người dùng thực sự gọi theo đường link cung cấp này thì họ đã trở thành nạn nhân của kẻ lừa đảo. Chúng sẽ tiếp nhận cuộc gọi này bằng các phản hồi giọng nói tự động để dụ con mồi vào cuộc tấn công Vishing.

    Phương pháp tấn công Vishing phổ biến

    Bây giờ chúng ta đã thảo luận về các kiểu vishing chính, chúng ta hãy xem xét một số phương pháp phổ biến được sử dụng bởi những kẻ tấn công như vậy.

    Phuong phap tan cong Vishing pho bien

    Mạo danh ngân hàng

    Kẻ tấn công giả mạo mà ngân hàng, nhà cung cấp bảo hiểm hoặc một tổ chức bất kỳ có độ tin cậy cao để dụ dỗ người dùng nạn nhân gửi tiền cho chúng. Tỷ lệ thành công của hình thức lừa đảo này rất cao, bởi vì hầu hết người dùng đều tin tưởng vào các nhà cung cấp dịch vụ ngân hàng của họ. Điều này khiến cho có thể cung cấp ngay các thông tin cá nhân như mã Pin hay mật khẩu khi được yêu cầu.

    Đây cũng là lý do các ngân hàng lớn thường khuyến nghị khách hàng của mình không thực hiện các giao dịch qua đường link trên điện thoại. Thay vào đó là sử dụng các ứng dụng và trang web riêng có độ an toàn cao.

    Mạo danh hỗ trợ kỹ thuật

    Kẻ tấn công giả mạo là các đơn vị cung cấp những giải pháp và dịch vụ kỹ thuật đáng tin cậy. Chúng sẽ gửi thông báo cảnh báo về thiết bị của người dùng nạn nhân và yêu cầu họ liên hệ lại để được hỗ trợ khắc phục kịp thời.

    Một số vấn đề về thiết bị mà kẻ lừa đảo thường gửi về thiết bị người dùng như hệ thống nhiễm virus hay thiết bị đã cài đặt tệp đính kèm độc hại. Sau đó, chúng sẽ dụ dỗ người dùng chi tiền để được giải quyết các vấn đề đó. Một số kẻ tấn công tinh vi bắt chước bộ phận CNTT của công ty để đánh cắp quyền truy cập vào hệ thống công ty.

    Mạo danh đơn vị hỗ trợ tài chính

    Kẻ tấn công giả mạo là các nhà đầu tư đáng tin cậy để gọi điện thoại cho người dùng nạn nhân nhằm mục đích đưa ra các thông tin hấp dẫn về tiền bạc. Chẳng hạn như chính sách gửi tiền ngân hàng nhiều lão hoặc các kế hoạch làm giàu nhanh chóng. Sau khi quảng cáo những lời mời chào hấp dẫn, chúng sẽ chuyển sang bước yêu cầu người dùng nạn nhân trả phí cho giao dịch này.

    Để tăng tỷ lệ lừa đảo thành công, những tin tặc này sẽ hướng đến vấn đề tài chính mà người dùng đang gặp phải để dụ dỗ giao dịch. Hoặc là chúng sẽ sử dụng phương pháp Dumpster Diving để tìm kiếm các thông tin liên quan hỗ trợ cho cuộc tấn công trở nên đáng tin cậy hơn. Chẳng hạn như chúng sẽ thu thập các biên lai tại ATM để tìm hiểu về vấn đề tài chính hiện tại của người dùng nạn nhân.

    Mạo danh SSA và Medicare

    Kẻ tấn công giả mạo là các quan chức của Medicare hoặc SSA có độ uy tín cao cung cấp các dịch vụ được sử dụng phổ biến trong cuộc sống. Thay vì giả mạo các doanh nghiệp nhỏ chỉ nhắm được số lượng nhỏ mục tiêu tấn công. Những kẻ lừa đảo này nhắm đến Medicare và SSA với số lượng người dùng lớn.

    Cụ thể, những kẻ tấn công này sẽ mạo danh là nhân viên của tổ chức tiến hành gọi điện thoại đến người dùng và cho biết rằng họ đang gặp rắc rối về các dịch vụ này. Hãy cung cấp các thông tin cá nhân để được xác minh lại.

    Mạo danh tiếp thị qua điện thoại

    Các cuộc tấn công tiếp thị qua điện thoại là những tác nhân đe dọa mà tin tặc giả mạo các tổ chức, doanh nghiệp hoặc nhân viên bán hàng của nhà tiếp thị. Chúng sẽ quảng bá đến nạn nhân các sản phẩm có giá cả hấp dẫn, những cuộc thi lớn và những chương trình ưu đãi lớn có thời hạn.

    Nếu như người dùng nạn nhân đồng ý tham gia mua sản phẩm, đăng ký dự thi hoặc nhận ưu đãi thì cần chuyển tiền trước thông qua số tài khoản mà chúng cung cấp. Sau khi nhận được tiền, kẻ lừa đảo sẽ chặn người dùng và không có bất kỳ sản phẩm nào được gửi về cho họ.

    Mạo danh đại diện chính phủ

    Kẻ tấn công giả mạo là quan chức chính phủ lớn như Inland Revenue Department hay Fictional FBI ảo. Mục đích để gọi điện thoại đến người dùng nạn nhân yêu cầu họ cung cấp các thông tin cá nhân hoặc quyên góp tiền. Để dụ dỗ nạn nhân, chúng sẽ đưa ra các lời cam kết ảo như người dùng sẽ nhận được các khoản phí bổ sung khi trả trước tiền thuế. Hoặc đe dọa người dùng thanh toán hóa đơn nếu không sẽ phải chịu các hình phạt pháp lý.

    Tổng kết

    Voice Phishing là cuộc tấn công nguy hiểm mà kẻ lừa đảo thực hiện thông qua hình thức gọi điện thoại. Hãy tìm hiểu kỹ về các kỹ thuật lừa đảo này và áp dụng các phương pháp ngăn chặn để bảo vệ thông tin cá nhân an toàn.

    Nếu còn gặp bất cứ vướng mắc gì về Voice Phishing, hãy để lại ở bên bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm nhất.

    P/s: Bạn cũng có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành công.

    Mua tên miền .VN tại BKHOST

    Giá chỉ từ 750k/năm. Kiểm tra tên miền .VN đẹp và đăng ký ngay hôm nay!

    check tên miền việt nam

    Tôi là Trịnh Duy Thanh, CEO & Founder Công ty Cổ Phần Giải Pháp Mạng Trực Tuyến Việt Nam - BKHOST. Với sứ mệnh mang tới các dịch vụ trên Internet tốt nhất cho các cá nhân và doanh nghiệp trong nước và quốc tế, tôi luôn nỗ lực hết mình nâng cấp đầu tư hệ thống phần cứng, nâng cao chất lượng dịch vụ chăm sóc khách hàng để đem đến những sản phẩm hoàn hảo nhất cho người tiêu dùng. Vì vậy, tôi tin tưởng sẽ đem đến các giải pháp CNTT mới nhất, tối ưu nhất, hiệu quả nhất và chi phí hợp lý nhất cho tất cả các doanh nghiệp.
    Bình luận
    Trượt lên đầu trang
    Miễn phí cước gọi
    Chat ngay qua Zalo
    Chat ngay qua Messenger
    Bạn đã hài lòng với trải nghiệm trên Bkhost.vn?
    Cảm ơn lượt bình chọn của bạn, Chúc bạn 1 ngày tốt lành !