CapSolver Diện mạo mới

Lừa đảo qua email

Phishing là một kỹ thuật tấn công mạng lừa đảo được sử dụng để lừa người dùng tiết lộ thông tin nhạy cảm hoặc thực hiện các hành động gây hại.

Định nghĩa

Phishing là một hình thức kỹ thuật xã hội trong đó các tin tặc giả danh các công ty, cá nhân hoặc dịch vụ đáng tin cậy để lấy cắp mật khẩu, chi tiết thanh toán, thông tin đăng nhập tài khoản hoặc dữ liệu nhạy cảm khác. Những cuộc tấn công này thường đến qua email, tin nhắn SMS, cuộc gọi điện thoại, trang web giả mạo, tin nhắn mạng xã hội hoặc tệp đính kèm độc hại. Trong nhiều trường hợp, các chiến dịch phishing tạo ra cảm giác gấp gáp, sợ hãi hoặc phần thưởng để ép nạn nhân nhấp vào liên kết, tải xuống tệp hoặc nhập thông tin cá nhân. Trong môi trường quảng cáo trực tuyến và lừa đảo liên kết, phishing cũng có thể được sử dụng để đánh cắp danh tính người dùng, lạm dụng phương thức thanh toán bị đánh cắp hoặc giả danh các chương trình hợp pháp để tạo ra hoa hồng gian lận.

Ưu điểm

  • Yêu cầu rất ít kỹ năng kỹ thuật so với các phương pháp tấn công mạng khác.
  • Có thể phân phối quy mô lớn thông qua các chiến dịch email, SMS hoặc tin nhắn tự động.
  • Thường thành công bằng cách khai thác hành vi con người thay vì lỗ hổng phần mềm.
  • Có thể điều chỉnh để thực hiện các cuộc tấn công có mục tiêu cao như phishing nhắm mục tiêu hoặc giả danh cấp cao.
  • Có thể kết hợp với phần mềm độc hại, trộm cắp thông tin đăng nhập hoặc các kế hoạch lừa đảo tài chính.

Nhược điểm

  • Các bộ lọc spam hiện đại, công cụ chống phishing và bảo vệ trình duyệt có thể chặn nhiều cuộc tấn công.
  • Người dùng ngày càng được đào tạo để nhận biết các tin nhắn đáng ngờ và trang web giả mạo.
  • Các chiến dịch phishing có thể bị báo cáo, truy tìm và đóng cửa nhanh chóng.
  • Tin tặc có nguy cơ chịu hậu quả pháp lý nếu bị phát hiện.
  • Các nỗ lực phishing kém thiết kế thường dễ bị phát hiện do lỗi chính tả, tên miền giả mạo hoặc yêu cầu bất thường.

Trường hợp sử dụng

  • Gửi email ngân hàng giả mạo yêu cầu người dùng xác minh thông tin đăng nhập tài khoản.
  • Tạo trang đăng nhập giả mạo cho các công cụ doanh nghiệp, dịch vụ đám mây hoặc nền tảng thương mại điện tử.
  • Sử dụng chiến dịch SMS phishing để giả danh các công ty giao hàng hoặc nhà cung cấp thanh toán.
  • Thực hiện các cuộc tấn công phishing nhắm mục tiêu vào nhân viên công ty để đánh cắp thông tin đăng nhập truy cập nội bộ.
  • Giả danh các chương trình liên kết, chương trình khuyến mãi hoặc nhà quảng cáo hợp pháp để thu thập dữ liệu người dùng và thực hiện lừa đảo thanh toán.