Chuyển đến nội dung chính

Cách Bảo Vệ Bản Thân Khỏi Các Cuộc Tấn Công Phishing

Phishing là nguyên nhân hàng đầu khiến tài khoản bị đánh cắp. Tìm hiểu cách phishing hiện đại hoạt động, các dấu hiệu cảnh báo và các biện pháp phòng thủ thực sự hiệu quả.

Cập nhật lần cuối: 14 tháng 4, 2026

Tóm tắt

  • Phishing là nguyên nhân hàng đầu dẫn đến việc tài khoản bị chiếm đoạt — kẻ tấn công lừa bạn cung cấp thông tin đăng nhập trên một trang web giả mạo.
  • Các bộ công cụ phishing hiện đại sao chép trang đăng nhập hoàn hảo đến từng pixel và chuyển tiếp mã 2FA của bạn theo thời gian thực.
  • Khóa bảo mật phần cứng (YubiKey, FIDO2) là biện pháp phòng thủ duy nhất được thiết kế để chống lại phishing một cách tuyệt đối.
  • Trình quản lý mật khẩu bảo vệ bạn bằng cách từ chối tự động điền trên sai tên miền.
  • Kiểm tra chính xác tên miền trước khi nhập thông tin đăng nhập và không bao giờ đăng nhập từ liên kết trong email.

Phishing là gì?

Phishing là một cuộc tấn công kỹ thuật xã hội trong đó kẻ tấn công tạo ra một bản sao thuyết phục của một trang web hợp pháp — thường hoàn hảo đến từng pixel — và lừa nạn nhân nhập thông tin đăng nhập vào đó. Ngay khi nạn nhân gửi biểu mẫu, kẻ tấn công thu thập tên người dùng, mật khẩu và bất kỳ yếu tố xác thực thứ hai nào, sau đó sử dụng chúng để chiếm đoạt tài khoản thật trong vài giây.

Từ này xuất phát từ phép ẩn dụ "câu cá" nạn nhân bằng mồi nhử (thường là email). Cách viết được thay đổi để nhấn mạnh rằng kẻ tấn công thường sử dụng số điện thoại (phone — SMS phishing, hay còn gọi là "smishing") và cơ sở hạ tầng trông có vẻ chuyên nghiệp.

Tại sao phishing vẫn là mối đe dọa hàng đầu

Hầu hết các vụ vi phạm tài khoản quy mô lớn ngày nay không liên quan đến việc hack, bẻ khóa mật khẩu hay vượt qua mã hóa. Chúng liên quan đến việc một con người nhập mật khẩu vào một trang web giả mạo. Phishing có những đặc điểm sau:

  • Rẻ tiền — kẻ tấn công có thể gửi hàng triệu email với chi phí của một VPS và một tên miền giả mạo
  • Khó lọc — các bộ công cụ hiện đại xoay vòng tên miền, sử dụng dịch vụ lưu trữ hợp pháp và thích nghi với các bộ lọc theo thời gian thực
  • Hiệu quả — ngay cả những người dùng có ý thức bảo mật cũng có thể bị lừa bởi các cuộc tấn công có chủ đích được thiết kế tốt (spear phishing)
  • Có thể mở rộng — một cuộc tấn công phishing thành công thường mang lại quyền truy cập vào hàng chục dịch vụ liên kết thông qua việc tái sử dụng mật khẩu

Báo cáo Điều tra Vi phạm Dữ liệu Verizon 2024 phát hiện rằng phishing là vectơ truy cập ban đầu trong hơn 36% tổng số vụ vi phạm — nhiều hơn bất kỳ nguyên nhân đơn lẻ nào khác.

Cách phishing hiện đại hoạt động

Phishing đã phát triển vượt xa những email "hoàng tử Nigeria" của những năm 2000. Một cuộc tấn công phishing hiện đại thường bao gồm:

1. Một mồi nhử thuyết phục

Thường là một email, tin nhắn văn bản hoặc tin nhắn trò chuyện tạo ra sự khẩn cấp ("Tài khoản của bạn sẽ bị tạm ngưng"), quyền hạn ("Nhóm bảo mật Microsoft") hoặc sự tò mò ("Ai đó đã gắn thẻ bạn trong một bức ảnh"). Spear-phishing đi xa hơn với các chi tiết cá nhân được lấy từ LinkedIn, dữ liệu vi phạm hoặc thư từ trước đó.

2. Trang web giả mạo hoàn hảo đến từng pixel

Kẻ tấn công sử dụng các bộ công cụ phishing có sẵn để sao chép HTML, CSS và JavaScript của trang web mục tiêu. Nhiều bộ công cụ được bán dưới dạng dịch vụ (phishing-as-a-service), với bảng điều khiển hoạt động đầy đủ và hỗ trợ khách hàng.

3. Proxy thời gian thực cho 2FA

Phần nguy hiểm: các bộ công cụ hiện đại không chỉ thu thập mật khẩu của bạn. Chúng hoạt động như một proxy trung gian chuyển tiếp mọi thứ bạn nhập — bao gồm cả mã TOTP — đến trang web thật trong vài giây, vượt qua hầu hết các biện pháp 2FA. Kỹ thuật này được gọi là adversary-in-the-middle (AiTM) và được sử dụng trong các công cụ như Evilginx2 và Modlishka.

4. Đánh cắp token phiên

Khi bạn xác thực thông qua proxy, kẻ tấn công thu thập cookie phiên của bạn và có thể sử dụng nó để duy trì đăng nhập ngay cả sau khi bạn thay đổi mật khẩu. Đây là lý do tại sao phản ứng với phishing luôn bao gồm việc thu hồi các phiên đang hoạt động, không chỉ đổi mật khẩu.

Những gì thực sự ngăn chặn phishing

Khóa bảo mật phần cứng (FIDO2 / WebAuthn)

Đây là danh mục phòng thủ duy nhất chống phishing theo thiết kế. Khi bạn đăng nhập bằng khóa FIDO2, khóa của bạn xác minh mật mã tên miền chính xác của trang web yêu cầu xác thực. Một trang web giả mạo — dù hoàn hảo về mặt hình ảnh đến đâu — có tên miền khác, vì vậy khóa từ chối phản hồi. Quá trình bắt tay mật mã đơn giản là không hoàn thành.

Google nổi tiếng đã bắt buộc YubiKey cho tất cả hơn 85.000 nhân viên vào năm 2017 và báo cáo không có cuộc tấn công phishing thành công nào vào tài khoản công ty trong những năm sau đó.

Passkey

Passkey là sự phát triển thân thiện với người tiêu dùng của FIDO2. Chúng sử dụng cùng một mật mã liên kết với tên miền và được tích hợp vào iOS, Android, macOS và Windows. Nếu một trang web bạn sử dụng hỗ trợ passkey, việc kích hoạt nó sẽ giúp tài khoản đó chống phishing hoàn toàn.

Trình quản lý mật khẩu

Trình quản lý mật khẩu là tuyến phòng thủ thứ hai của bạn vì nó chỉ tự động điền thông tin đăng nhập trên tên miền chính xác nơi chúng được lưu. Nếu bạn truy cập paypaI.com (chữ I hoa) thay vì paypal.com, trình quản lý của bạn sẽ lặng lẽ từ chối điền vào biểu mẫu. Sự từ chối đó là một cảnh báo rõ ràng rằng có điều gì đó không ổn.

Lọc email và DNS

Các nhà cung cấp email sử dụng DMARC, SPF và DKIM để phát hiện địa chỉ người gửi bị giả mạo. Hầu hết các nhà cung cấp hiện đại đều bắt được các nỗ lực rõ ràng, nhưng các cuộc tấn công có chủ đích vẫn có thể lọt qua. Hãy bật nút "báo cáo phishing" trong ứng dụng thư của bạn để giúp cải thiện các bộ lọc.

Các dấu hiệu cảnh báo cần chú ý

Khi bạn nhận được tin nhắn yêu cầu đăng nhập, xác minh hoặc hành động khẩn cấp:

  • Tính khẩn cấp và đe dọa — "Tài khoản của bạn sẽ bị đóng trong 24 giờ"
  • Lời chào chung chung — "Kính gửi khách hàng" thay vì tên của bạn
  • Tên miền giả mạopaypaI.com, app1e.com, secure-microsoft-login.net
  • Tệp đính kèm bất ngờ — đặc biệt là các tệp .zip, .html hoặc .pdf yêu cầu bạn đăng nhập để xem
  • Lỗi ngữ pháp hoặc định dạng — các công ty lớn luôn kiểm tra chính tả email của họ
  • Liên kết không khớp — di chuột qua liên kết và kiểm tra xem đích đến có khớp với văn bản hay không

Nếu có điều gì đó cảm thấy không ổn, hãy đóng email. Tự điều hướng đến trang web. Nếu có vấn đề thật sự, bạn sẽ thấy khi đăng nhập theo quy trình thông thường.

Phải làm gì nếu bạn đã bị lừa

Hãy hành động nhanh chóng — tốc độ quan trọng vì kẻ tấn công bắt đầu sử dụng thông tin đăng nhập trong vài phút.

  1. Thay đổi mật khẩu ngay lập tức trên một thiết bị khác (chẳng hạn điện thoại, nếu bạn bị lừa trên laptop)
  2. Thu hồi tất cả các phiên đang hoạt động trong cài đặt tài khoản — điều này sẽ đuổi bất kỳ ai đang sử dụng token phiên bị đánh cắp
  3. Bật 2FA nếu chưa được bật, và sử dụng khóa phần cứng hoặc passkey nếu có thể
  4. Kiểm tra hoạt động trái phép — email đã gửi, lần đăng nhập gần đây, thay đổi thanh toán, quy tắc chuyển tiếp mới
  5. Thông báo cho tổ chức bị ảnh hưởng nếu đó là tài khoản tài chính hoặc công việc
  6. Kiểm tra các tài khoản khác sử dụng cùng mật khẩu — ngay cả khi bạn chắc chắn không tái sử dụng mật khẩu, hãy kiểm tra

Kết luận

Phishing phát triển mạnh vì nó vượt qua công nghệ và nhắm vào con người. Các biện pháp phòng thủ tốt nhất kết hợp ba lớp: trình quản lý mật khẩu (từ chối tự động điền trên tên miền sai), 2FA chống phishing (khóa phần cứng hoặc passkey liên kết với tên miền thật) và sự hoài nghi lành mạnh (không bao giờ đăng nhập từ liên kết trong email).

Hãy bật cả ba biện pháp trên tài khoản quan trọng nhất của bạn — email — trước tiên. Từ đó, phần còn lại của cuộc sống số của bạn sẽ trở nên an toàn hơn đáng kể.

Cách Bảo Vệ Bản Thân Khỏi Phishing

Danh sách kiểm tra thực tế, có thứ tự để củng cố tài khoản của bạn chống lại các cuộc tấn công phishing.

  1. Sử dụng trình quản lý mật khẩu:Cài đặt một trình quản lý mật khẩu uy tín (1Password, Bitwarden, Proton Pass) và để nó tự động điền thông tin đăng nhập. Nó sẽ từ chối tự động điền trên các tên miền giả mạo, mang lại cho bạn một bộ phát hiện phishing tích hợp sẵn.
  2. Bật 2FA chống phishing:Thêm khóa phần cứng FIDO2 (YubiKey, Google Titan) hoặc passkey vào các tài khoản quan trọng nhất của bạn — email trước tiên, sau đó là ngân hàng, lưu trữ đám mây và trình quản lý mật khẩu. Đây là các phương thức 2FA duy nhất thực sự ngăn được phishing hiện đại.
  3. Không bao giờ đăng nhập từ liên kết trong email:Khi nhận được email yêu cầu đăng nhập, hãy đóng email và tự điều hướng đến trang web thông qua bookmark hoặc gõ URL. Liên kết trong email có thể là bản sao hoàn hảo; bookmark trong trình duyệt của bạn thì không.
  4. Kiểm tra chính xác tên miền trước khi nhập thông tin:Trước khi nhập bất kỳ mật khẩu nào, hãy nhìn vào URL đầy đủ trên thanh địa chỉ. Tìm kiếm https, cách viết đúng và không có tên miền phụ lạ như paypal.com.secure-login.net.
  5. Báo cáo và tiếp tục:Báo cáo nỗ lực phishing cho nhà cung cấp email của bạn (hầu hết đều có nút "Báo cáo phishing"). Sau đó tiếp tục ngày của bạn — phishing chỉ nguy hiểm nếu bạn bị lừa, và nhận thức là phần lớn cuộc chiến này.

Các Câu Hỏi Thường Gặp