Tám với Ai
New member
Phishing ngày càng tinh vi, nhắm vào doanh nghiệp nhỏ và vừa qua email, tin nhắn và deepfake. Một cú nhấp sai có thể khiến mất tiền, lộ dữ liệu và bị cơ quan quản lý chú ý.
Phishing không còn chỉ là những email lỗi chính tả hay logo vụng về. Với AI, tội phạm tạo được email cá nhân hóa hoàn hảo, giả giọng quản lý, dựng cuộc họp video deepfake và làm trang web giả giống hệt bản chính — tất cả trong vài phút.
Doanh nghiệp nhỏ và vừa thường là mục tiêu hấp dẫn vì ít biện pháp bảo vệ hơn so với tập đoàn lớn. Tội phạm thích “đi nhẹ” vào hệ thống có quy trình lỏng lẻo, ít kiểm soát nội bộ và nhân viên không được đào tạo bài bản.
Không thể phòng ngừa hoàn toàn, nhưng doanh nghiệp có thể giảm rủi ro đáng kể bằng tổ chức, công nghệ và quy trình đúng đắn. Hãy kiểm tra quy trình thanh toán, đào tạo nhân viên và cập nhật biện pháp xác thực ngay hôm nay để tránh là mục tiêu tiếp theo.
Nguồn: https://www.techradar.com/pro/is-your-business-prepared-for-these-growing-phishing-scams
Phishing không còn chỉ là những email lỗi chính tả hay logo vụng về. Với AI, tội phạm tạo được email cá nhân hóa hoàn hảo, giả giọng quản lý, dựng cuộc họp video deepfake và làm trang web giả giống hệt bản chính — tất cả trong vài phút.
Chiêu thức đang phát triển
- SIM-swap: Kẻ tấn công thuyết phục nhà mạng chuyển số điện thoại sang SIM của chúng, chiếm mã xác thực qua SMS và cuộc gọi.
- Deepfake giọng nói và video: Gọi điện, họp video giả mạo lãnh đạo để yêu cầu chuyển tiền hoặc bật mật khẩu.
- Smishing (SMS phishing): Tin nhắn ngắn mang vẻ chính đáng khiến người nhận dễ hành động vội vàng.
- Quishing (QR phishing): QR code chứa link độc hại dẫn tới trang đăng nhập giả, nhiều bộ lọc không phát hiện được.
- Business Email Compromise (BEC): Xâm nhập công cụ cộng tác như Teams/Slack để giả đồng nghiệp yêu cầu thay đổi thanh toán hoặc cung cấp dữ liệu nhạy cảm.
- MFA fatigue: Spam yêu cầu xác thực khiến người dùng mệt mỏi và vô tình chấp nhận.
- Phishing-as-a-Service (PhaaS): Bộ công cụ phishing và AI bán trên chợ đen giúp kẻ xấu không cần kỹ năng kỹ thuật cao vẫn tấn công được.
Doanh nghiệp nhỏ và vừa thường là mục tiêu hấp dẫn vì ít biện pháp bảo vệ hơn so với tập đoàn lớn. Tội phạm thích “đi nhẹ” vào hệ thống có quy trình lỏng lẻo, ít kiểm soát nội bộ và nhân viên không được đào tạo bài bản.
Ví dụ thực tế
Một nhân viên tài chính tại một tập đoàn lớn đã chuyển 25 triệu USD sau khi tham gia cuộc gọi video tưởng là cuộc họp bình thường — tất cả người tham gia đều là AI giả mạo.Biện pháp phòng ngừa thiết thực
- Đào tạo liên tục: Tổ chức mô phỏng phishing, cập nhật nhân viên về chiêu thức mới và quy trình xác minh.
- Xác thực mạnh hơn: Dùng MFA dựa trên khóa phần cứng hoặc app xác thực thay vì SMS; áp dụng chính sách khóa SIM với nhà mạng.
- Nguyên tắc xác minh đa kênh: Luôn xác nhận yêu cầu chuyển tiền/đổi tài khoản qua cuộc gọi hoặc kênh độc lập với kênh gửi yêu cầu.
- Giảm quyền hạn: Áp dụng nguyên tắc ít quyền nhất, tách nhiệm vụ thanh toán và phê duyệt nhiều mắt xích.
- Bảo vệ thiết bị và email: Triển khai bảo mật đầu cuối, lọc email nâng cao và kiểm tra URL/QR trước khi truy cập.
- Sao lưu và kế hoạch sự cố: Có backup mãn tính, quy trình phản ứng nhanh khi phát hiện xâm nhập và thông báo kịp thời cho đối tác/tổ chức quản lý.
- Giám sát và kiểm toán: Kiểm tra logs, cảnh báo bất thường và rà soát quyền truy cập định kỳ.
Không thể phòng ngừa hoàn toàn, nhưng doanh nghiệp có thể giảm rủi ro đáng kể bằng tổ chức, công nghệ và quy trình đúng đắn. Hãy kiểm tra quy trình thanh toán, đào tạo nhân viên và cập nhật biện pháp xác thực ngay hôm nay để tránh là mục tiêu tiếp theo.
Nguồn: https://www.techradar.com/pro/is-your-business-prepared-for-these-growing-phishing-scams
Bài viết liên quan
