Giả sử một ngày nào đó bạn mở email ra và nhận được thông báo từ ngân hàng. Bạn đã
từng nhận email từ ngân hàng này trước đó nhưng email này có vẻ đáng nghi ngờ, đặc
biệt là nó yêu cầu bạn trả lời ngay lập tức nếu không tài khoản của bạn sẽ bị đóng. Bạn
sẽ làm gì?
Những thông báo như thế này hoặc tương tự là những ví dụ của Phishing – lừa đảo trực
tuyến, một phương pháp của identity theft – ăn cắp dữ liệu cá nhân. Ngoài việc ăn trộm
thông tin cá nhân và dữ liệu về tài chính, kẻ chuyên lừa đảo trực tuyến (phisher) có thể
lây nhiễm máy tính với virus và thuyết phục mọi người tham gia một cách vô thức vào
việc rửa tiền.
Hầu hết mọi người gặp lừa đảo trực tuyến với email lừa đảo hoặc giả danh ngân hàng,
công ty tín dụng hoặc các doanh nghiệp như Amazon và eBay. Những email này trông
rất giống thật và cố gắng thuyết phục mọi nạn nhân tiết lộ thông tin cá nhân. Tuy nhiên,
thông báo dạng email chỉ là một phần nhỏ của lừa đảo trực tuyếnTrong lĩnh vực an toàn
máy tính.
10 trang |
Chia sẻ: candy98 | Lượt xem: 740 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Giáo trình Bảo mật mạng - Chương 7: Phising - Nguyễn Tấn Thành, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
CHƯƠNG 7: PHISING
Nguyễn Tấn Thành
Giả sử một ngày nào đó bạn mở email ra và nhận được thông báo từ ngân hàng. Bạn đã
từng nhận email từ ngân hàng này trước đó nhưng email này có vẻ đáng nghi ngờ, đặc
biệt là nó yêu cầu bạn trả lời ngay lập tức nếu không tài khoản của bạn sẽ bị đóng. Bạn
sẽ làm gì?
Những thông báo như thế này hoặc tương tự là những ví dụ của Phishing – lừa đảo trực
tuyến, một phương pháp của identity theft – ăn cắp dữ liệu cá nhân. Ngoài việc ăn trộm
thông tin cá nhân và dữ liệu về tài chính, kẻ chuyên lừa đảo trực tuyến (phisher) có thể
lây nhiễm máy tính với virus và thuyết phục mọi người tham gia một cách vô thức vào
việc rửa tiền.
Hầu hết mọi người gặp lừa đảo trực tuyến với email lừa đảo hoặc giả danh ngân hàng,
công ty tín dụng hoặc các doanh nghiệp như Amazon và eBay. Những email này trông
rất giống thật và cố gắng thuyết phục mọi nạn nhân tiết lộ thông tin cá nhân. Tuy nhiên,
thông báo dạng email chỉ là một phần nhỏ của lừa đảo trực tuyếnTrong lĩnh vực an toàn
máy tính.
1. Phising là gì?
Phising là một hình thức gian lận để có những thông tin nhạy cảm như username,
password, credit card bằng cách giả mạo như là một thực thể đáng tin cậy trong các
giao tiếp trên mạng. Quá trình giao tiếp thường diễn ra tại các trang mạng xã hội nổi
tiếng, các trang web đấu giá, mua bán hàng onlinemà đa số người dùng đều không
cảnh giác với nó. Phising sử dụng email hoặc tin nhắn tức thời, gửi đến người dùng,
yêu cầu họ cung cấp thông tin cần thiết. Người dùng vì sự chủ quan của mình đã cung
cấp thông tin cho một trang web,trông thì có vẽ hợp pháp,nhưng lại là trang web giã
mạo do các hacker lập nên.
Phising là một ví dụ của Social Engineering được sử dụng để lừa đảo người dùng và
khai thác lổ hổng trong việc sử dụng công nghệ kém an ninh của các website hiện hành.
Những nổ lực mạnh mẽ trong thời gian qua để chống lại Phising bao gồm việc ứng dụng
các công nghệ an ninh mới đến việc đào tạo cho nhân viên, và nâng cao ý thức cộng
đồng.
Kỹ thuật lừa đảo được mô tả chi tiết vào năm 1987, và những ghi chép đầu tiên với
thuật ngữ Phising Nguồn gốc từ Phishing là kết hợp giữa 2 từ Fish - Fishing và
Phreaking. Fishing nghĩa gốc là “câu cá” nhưng đuợc hiểu là “câu” các thông tin của
nguời dùng. Mặt khác, do tính chất của nó cũng gần giống kiểu tấn công Phreaking
(Chữ “Ph” duợc các hacker thay thế cho chữ “F” dể tạo thành phishing do cách phát âm
gần giống) - đuợc biết đến lần đầu tiên bởi hacker John Draper (biệt danh aka Captain
Crunch) khi sử dụng “Blue Box” để tấn công hệ thống diện thoại ở Mỹ nhằm thực hiện
các cuộc gọi đường dài miễn phí hoặc sử dụng đường điện thoại của nguời khác thực
hiện các cuộc gọi bất hợp pháp, vào đầu thập niên 1970 - tên gọi khác là Phone
Phreaking.
Theo thời gian, những cuộc tấn công phishing không còn chỉ nhằm vào các tài khoản
Internet của AOL mà đã mở rộng đến nhiều mục tiêu, đặc biệt là các ngân hàng trực
tuyến, các dịch vụ thuong mại diện tử, thanh toán trên mạng, và hầu hết các ngân
hàng lớn ở Mỹ, Anh, Úc hiện dều bị tấn công bởi phishing. Vì cũng nhắm vào mục tiêu
đánh cắp credit card nên nó còn duợc gọi là Carding.
Do cách tấn công đơn giản nhưng lại hiệu quả cao nên phishing nhanh chóng trở thành
một trong những kiểu lừa dảo phổ biến nhất trên mạng – có đến gần 70% các vụ tấn
công trên mạng năm 2003 có liên quan đến phishing (nguồn: Antiphishing.org).
2. Những Yếu Tố Để Một Cuộc Tấn Công Phising
Thành Công
Phising là một trong những kỹ thuật của Social Engineering, nó cũng chủ yếu dựa vào
điểm yếu của con người. Chính những bất cẩn, sự chủ quan của người sử dụng đã giúp
kẽ tấn công thành công hơn. Vài yếu tố sau đây sẽ giúp cuộc tấn công Phising thành
công tốt đẹp.
Sự thiếu hiểu biết
Sự thiếu hiểu biết về hệ thống mạng và máy tính đã giúp cho các hacker khai thác những
thông tin nhạy cảm.
Bạn cần hiểu rõ quá trình hoạt động của internet, hoặc ít hơn hiểu về cách thức truy cập
một website an toàn. Điển hình nhất bạn cần phải biết việc bấm vào nút Save Password
khi bạn truy cập web tại các điểm công cộng sẽ làm tăng nguy cơ bị xâm phạm tài khoản
cá nhân. Đặc biệt đối với những người thường xuyên mua bán, thanh toán qua mạng,
thì cần phải hiểu rõ việc cung cấp credit card là rất quan trọng, và biết được khi nào nên
cung cấp, khi nào không. Bạn cũng nên tìm hiểu sơ về các giao thức mạng, và phân biệt
được giao thức nào là an toàn. Điển hình là bạn đừng bao giờ giao dịch trực tuyến với
giao thức truy cập web là http, mà phải đảm bảo an toàn với giao thức https.
Những cửa sổ cảnh báo của windows về mức độ an toàn của việc truy cập thông tin,
điều mà mọi người thường hay bỏ qua, lại chính là nguy cơ biến bạn thành nạn nhân.
Thói quen duyệt mail không tốt cũng làm cho bạn gặp nhiều nguy hiểm. Có vài lời
khuyên cho bạn, là cẩn thận với những email không có địa chỉ người gửi rõ ràng, không
có tiêu đề, hoặc là nội dung có tính kích động trí tò mò.
Đánh lừa ảo giác
Nghệ thuật của sự đánh lừa ảo giác chính là làm cho nạn nhân không còn phân biệt được
đâu là thật đâu là giả. Chắc hẳn bạn cũng biết trò chơi tìm những điểm khác nhau giữa
hai tấm hình. Kỹ thuật đánh lừa ảo giác sẽ tạo ra một trang web, hoặc một lá thưnhững
thứ mà ngày nào bạn cũng truy cập, nó giống như dấn mức gần như người ta không thể
phát hiện ra sự giả mạo.
Lời khuyên dành cho bạn là cẩn thận với những trang web mà mình thường truy cập,
đặc biệt là những email của ngân hàng, của những người thân, mà nó lại yêu cầu chúng
ta cung cấp thông tin. Bởi những trang đó có nguy cơ giả mạo rất cao. Một ý thư hai, là
bạn hãy tự rõ địa chỉ trang web vào trình duyệt, thay vì click vào đường link từ trang
web khác. Có nghĩa là bạn hãy tự gõ vào trình duyệt địa chỉ https://www.amazone.com
thay vì click vào một liên kết trong email để nó chuyển bạn đến với trang
https://www.amazona.com có nội dung giống hệt trang amazone.
Không chú ý đến những chỉ tiêu an toàn
Như đã nói ở trên, những cảnh báo thường bị người dùng bỏ qua, chính điều đó đã tạo
điều kiện cho hacker tấn công thành công hơn. Người dùng cũng thưởng không chú ý
đến những chỉ tiêu an toàn. Ví dụ khi bạn truy cập một website thanh toán trực tuyến,
bạn phải hiểu những quy định an toàn của website kiểu này, như thông tin Cerificate,
nhà cung cấp, nội dung, và nhiều quy định khác. Windows thường nhận biết những quy
định toàn này, và nếu không đủ nó sẽ cảnh báo cho bạn. Tuy nhiên, vài người dùng cảm
thấy phiền phức với những cảnh báo này và đã tắt chức năng này đi, và thế là bạn trở
thành nạn nhân.
Thỉnh thoảng, chúng ta cũng nên dành thời gian cho việc đọc tin tức về thế giới hacker,
để biết được những thủ đoạn lừa lọc mới phát minh, từ đó có ý thức về sự cảnh giác an
toàn hơn.
3. Những Phương Thức Của Phising
Email and Spam
Kỹ thuật tấn công Phising phổ biến nhất là dùng email. Hacker sẽ tiến hành gửi hành
loạt các thư đến những địa chỉ email hợp lệ. Bằng những kỹ thuật và công cụ khác nhau,
hacker tiến hành thu thập địa chỉ email trước. Việc thu thập địa chỉ email hàng loạt
không hẳn là bất lợi nếu biết sử dụng đúng cách. Điển hình là chiến lược quảng cáo cần
rất nhiều đến sự trợ giúp của hàng loat địa chỉ email này. Tuy nhiên hacker đã lợi dung
việc này để gửi những lá thư có nội dung trông có vẽ hợp lệ. Những nội dung này thường
có tính khẩn cấp, đòi hỏi người nhận thư phải cung cấp thông tin ngay lập tức.
Hacker sử dụng giao thức SMTP kèm theo vài kỹ thuật để giả mạo trường “Mail From”
khiến cho người nhận không có chút nghi ngờ nào. Ví dụ, hacker sẽ giả email được gửi
từ ngân hàng, và yêu cầu người dùng cung cấp thông tin cá nhân để mợ lại tài khoản do
một sự cố nào đó.
Nội dung email được gửi thường sẽ có vài đường link cho bạn liên kết đến một trang
web. Như đã trình bày ở trên, những link này nếu không cẩn thận sẽ cho là link đến một
trang web giả mạo do hacker dựng nên.
Web-based Delivery
Một kỹ thuật tiếp theo của Phising là dựa vào việc phát tán các website lừa đảo. Bạn
thường thấy các website dạng như kiếm tiền online. Chúng yêu cầu bạn cung cấp các
thông tin tài khoản ngân hàng để tiến hành trả tiền công. Bạn không ngần ngại gì khi
đang chờ đợi số tiền công hậu hỉnh. Kết cuộc tiền công không thấy mà tiền trong tài
khoản cũng không còn.
Một hình thức lừa đảo tinh vi hơn cũng liên quan đến việc kiếm tiền online. Theo các
chuyên gia đánh giá có đến 90% là không thể lấy tiền sau một khoản thời gian làm việc
miệt mài của bạn. Cái mà những kẽ lừa đảo thu được không phải là tiền của bạn, mà
chính là công sức đọc quảng cáo của bạn, được trả bởi các công ty quảng cáo.
Một hình thức khác là khiêu khích sự tò mò của người dùng. Bằng cách chèn vào trang
web những banner hoặc những text quảng cáo có ý khiêu khích sự tò mò của người
dùng. Ví dụ như những hình ảnh khiêu dâm, những nội dung đang nóng. Kết quả sau
khi click vào đó thì máy tính của bạn có thể bị nhiểm một loại malware nào đó, phục
vụ cho một cộng tấn công khác.
IRC and Instant Messaging
“Chat” là thuật ngữ quá quen thuộc với mọi người, hay còn gọi là trò chuyện trực tuyến.
Nó rất hữu ích trong giao tiếp. Tuy nhiên, những kẽ lừa đảo đã bắt đầu lợi dụng vào
việc “chat chit” này để tiến hành các hành động lừa đảo. Bằng những kỹ thuật tấn công,
những kẽ lừa đảo tiến hành gửi tin nhắn tức thì đến hàng loạt người dùng. Những nội
dung được gửi thường có liên quan đến hàng loạt người dùng, và cũng lợi dụng vào trí
tò mò của mọi người.
Vì tính không nhất quán của việc trò chuyện online, những người trò chuyện online
thường không thấy mặt nhau nên không thể biết người đang nói chuyện với mình có tin
cậy hay không. Một kỹ thuật tinh vi của kiểu lừa đảo này là giả dạng nick chat. Bằng
cách giả một nick chat của người quen để tiến hành trò chuyện và yêu cầu cung cấp
thông tin hoặc lừa đảo làm một việc gì đó. Gần đây ở Việt Nam nở rộ tình trang lừa đảo
này. Nhiều người dùng chat với bạn bè người thân của mình, và họ được nhờ vã việc
nạp tiền điện thoại di động. Nạn nhân vì thấy nick đang chat là của người quen nên
không chút ngần ngại nào trong việc được nhờ vã này.
Trojaned Hosts
Như đã nói ở phần trước, lừa đảo không những chỉ nhắm đến những thông tin cá nhân
của nạn nhân, mà còn nhiều hình thứ khác. Một kiểu lừa đảo khác là lừa cho nạn nhân
cài vào máy tính của mình một phần mềm gián điệp. Phần mềm gián điệp (tronjan,
keylog) này sẽ phục vụ cho một mục đích tấn công khác.
Điển hình của công việc này là nạn nhân bị nhiễm tronjan và trở thành một máy tính
con trong một cuộc tấn công tổng thế trên diện rộng.
4. Quá Trình Phising
Từ đầu đến cuối của một vụ lừa đảo phising bao gồm các khâu sau.
1. Lên kế hoạch: Những kẻ lừa đảo trực tuyến xác định mục tiêu doanh
nghiệp nào “xứng đáng” là nạn nhân và xác định cách lấy địa chỉ email
khách hàng của doanh nghiệp đó. Chúng thường sử dụng cách gửi nhiều
email và phương pháp thu thập địa chỉ email như những spammer.
2. Thiết lập: Sau khi xác định được doanh nghiệp và nạn nhân, phisher sẽ
tìm cách để phát tán email và thu thập dữ liệu. Thông thường, chúng sử
dụng địa chỉ email và một trang web nào đó.
3. Tấn công: Đây là bước mọi người đều biết – phisher sẽ gửi một thông
báo giả mạo, như đến từ một nguồn đáng tin cậy.
4. Thu thập: Phisher sẽ thu thập thông tin mà nạn nhân điền vào các trang
Web hoặc các cửa sổ pop-up.
5. Ăn cắp dữ liệu cá nhân và lừa đảo: Phisher sử dụng thông tin mà
chúng thu thập được để thực hiện mua bán bất hợp pháp hoặc thậm chí
là thực hiện lừa đảo.
Nếu những kẻ lừa đảo trực tuyến muốn sắp xếp một cuộc tấn công khác,
hắn sẽ xác định tỷ lệ thành công và thất bại của một vụ lừa đảo đã thành
công rồi bắt đầu lại quá trình.
5. Các Kiểu Lừa Đảo Của Phising
Dựa vào những phương thức trên, những kẽ lừa đảo bắt đầu tiến hành quá trình lừa đảo.
Căn cứ theo cách thức hoạt động, người ta phân loại những cuộc tấn công lừa đảo ra
thành các loại sau.
Man-in-the-Middle Attacks
Ở kỹ thuật này, máy tính của attacker được xem như là máy tính trung gian giữa máy
tính của người dùng và website thật. Attecker dựng lên một máy tính trung gian để nhận
dữ liệu của người dùng và chuyển nó cho website thật. Hoặc nhận dữ liệu của website
thật rồi chuyển cho người dùng. Dữ liệu khi chuyển qua lại sẽ được lưu trữ lại tại máy
tính của attecker. Thoạt nghe mô tả này chúng ta nghỉ ngay đến chức năng của Proxy
Server. Đúng vậy, do đó proxy chính là những nơi không tin cậy cho lắm khi chúng ta
truy cập web thông qua nó.
Những kẽ tấn công sẽ dựng lên một Proxy Server với lời mời gọi sử dụng được tung ra
internet. Vì lý do gì đó (để giả ip trong mua bán hàng qua mạng) người dùng sẽ tìm đến
proxy server này để nhở giúp đỡ trong việc truy cập web. Và thế là vô tình người trở
thành con mồi cho bọn hacker.
Những kẽ tấn công ngoài việc dựng lên proxy server rồi dụ con mồi đến còn nghĩ đến
việc tấn công vào các proxy server này để lấy dữ liệu. Bằng những kỹ thuật tấn công
nào khác, hacker xâm nhập hệ thống lưu trữ của proxy để lấy dữ liệu, phân tích và có
được những thứ mà họ cần.
Một cách khác để tấn công trong kỹ thuật này, là tìm cách làm lệch đường đi của gói dữ
liệu. Thay vì phải chuyển gói tin đến cho web server, thì đằng này là chuyển đến máy
tính của hacker trước, rồi sau đó máy tính của hacker sẽ thực hiện công việc chuyển gói
tin đi tiếp. Để làm điều này, hacker có thể sử dụng kỹ thuật DNS Cache Poisoning – là
kỹ thuật làm lệch đường đi của gói dữ liệu bằng cách làm sai kết quả phân giải địa chỉ
của DNS.
Một điểm cần lưu ý rằng, kỹ thuật tấn công này không phân biệt giao thức web là HTTP
hay HTTPS.
URL Obfuscation Attacks
Làm giả URL là kỹ thuật tiếp theo mà chúng ta sẽ bàn đến. Trong kỹ thuật, attacker sẽ
làm giả URL của một trang web được nhiều người truy cập. Bằng cách nào đó, URL
này được gửi đến cho người dùng, vì thiếu tính cẩn thận nên người dùng đã truy cập
vào web này. Ví dụ như thay vì truy cập thì lại truy cập vào
website
Kỹ thuật của việc làm thay đổi một chút xíu về URL như thế được gọi là “dotless ip
addresses”, Mọi người nghĩ rằng việc này đơn giãn, tuy nhiên nó không dẽ chút nào
đâu. Bạn có thể tìm hiểu về kỹ thuật này tại địa chỉ
Obfuscation.html
Cross-site Scripting Attacks
Cross-Site Scripting (XSS) là một trong những kĩ thuật tấn công phổ biến nhất hiên nay,
đồng thời nó cũng là một trong những vấn đề bảo mật quan trọng đối với các nhà phát
triển web và cả những người sử dụng web. Bất kì một website nào cho phép người sử
dụng đăng thông tin mà không có sự kiểm tra chặt chẽ các đoạn mã nguy hiểm thì đều
có thể tiềm ẩn các lỗi XSS.
Cross-Site Scripting hay còn được gọi tắt là XSS (thay vì gọi tắt là CSS để tránh nhầm
lẫn với CSS-Cascading Style Sheet của HTML) là một kĩ thuật tấn công bằng cách chèn
vào các website động (ASP, PHP, CGI, JSP ...) những thẻ HTML hay những đoạn mã
script nguy hiểm có thể gây nguy hại cho những người sử dụng khác. Trong đó, những
đoạn mã nguy hiểm đựơc chèn vào hầu hết được viết bằng các Client-Site Script như
JavaScript, JScript, DHTML và cũng có thể là cả các thẻ HTML. Kĩ thuật tấn công XSS
đã nhanh chóng trở thành một trong những lỗi phổ biến nhất của Web Applications và
mối đe doạ của chúng đối với người sử dụng ngày càng lớn.
Về cơ bản XSS cũng như SQL Injection hay Source Injection, nó cũng là các yêu cầu
(request) được gửi từ các máy client tới server nhằm chèn vào đó các thông tin vượt quá
tầm kiểm soát của server. Nó có thể là một request được gửi từ các form dữ liệu hoặc
cũng có thể đó chỉ là các URL như là
was
found !');
Và rất có thể trình duyệt của bạn sẽ hiện lên một thông báo "XSS was found !".
Các đoạn mã trong thẻ script không hề bị giới hạn bởi chúng hoàn toàn có thể thay thế
bằng một file nguồn trên một server khác thông qua thuộc tính src của thẻ script. Cũng
chính vì lẽ đó mà chúng ta chưa thể lường hết được độ nguy hiểm của các lỗi XSS.
Nhưng nếu như các kĩ thuật tấn công khác có thể làm thay đổi được dữ liệu nguồn của
web server (mã nguồn, cấu trúc, cơ sở dữ liệu) thì XSS chỉ gây tổn hại đối với website
ở phía client mà nạn nhân trực tiếp là những người khách duyệt site đó. Tất nhiên đôi
khi các hacker cũng sử dụng kĩ thuật này đề deface các website nhưng đó vẫn chỉ tấn
công vào bề mặt của website. Thật vậy, XSS là những Client-Side Script, những đoạn
mã này sẽ chỉ chạy bởi trình duyệt phía client do đó XSS không làm ảnh hưởng đến hệ
thống website nằm trên server. Mục tiêu tấn công của XSS không ai khác chính là những
người sử dụng khác của website, khi họ vô tình vào các trang có chứa các đoạn mã nguy
hiểm do các hacker để lại họ có thể bị chuyển tới các website khác, đặt lại homepage,
hay nặng hơn là mất mật khẩu, mất cookie thậm chí máy tính bạn có thể sẽ bị cài các
loại virus, backdoor, worm
Hidden Attacks
Attacker sử dụng các ngôn ngữ lập trình HTML, DHTML, hoặc ngôn ngữ dạng script
khác để chèn vào trình duyệt của người dùng. Hoặc sử dụng các ký tự đặc biệt để đánh
lừa người dùng.
Những phương thức thường được attacker sử dụng là làm ẩn các frame. Các Frame sẽ
được attacker làm ẩn đi trên trình duyệt của người dùng, qua đó attacker có thể chèn
vào những đoạn mã đọc. Một cách khác để tấn công là ghi đè nội dung trang web hoặc
thay đổi hình ảnh trên trang web. Qua những nội dung bị thay đổi này, attaker sẽ chèn
những đoạn mã độc hại vào đó.
6. Chống Lừa Đảo Trực Tuyến
Các bước bạn thường dùng để bảo vệ máy tính của bạn như sử dụng firewall và phần
mềm diệt virus, cũng có thể giúp bạn tránh khỏi lừa đảo trực tuyến. Bạn có thể hiển thị
chứng chỉ số SSL của trang Web và bản kê in sẵn của ngân hàng hoặc thẻ tín dụng để
có thêm những biện pháp bảo mật.
Ngoài ra, phisher có xu hướng để lại một số dấu hiệu trong email thông báo và địa chỉ
Web. Khi bạn đọc email, hãy chú ý tới:
1. Các câu chào chung chung, như “Dear Customer”. Nếu ngân hàng bạn đang gửi
tiền gửi cho bạn một thông báo chính thức, sẽ có tên đầy đủ của bạn trong đó
(gần đây một số phisher đã chuyển sang kiểu lừa mới - spear phishing – bao gồm
thông tin cá nhân của bạn)
2. Đe dọa về tài khoản của bạn và yêu cầu người dùng phải có hành động ngay, ví
dụ như “hãy trả lời trong vòng 5 ngày, nếu không chúng tôi sẽ đóng tài khoản
của bạn”.
3. Yêu cầu thông tin cá nhân. Hầu hết các doanh nghiệp không yêu cầu bạn cung
cấp thông tin cá nhân thông qua điện thoại hoặc email trước khi lừa đảo trực
tuyến trở nên phổ biến.
4. Những đường link khả nghi. Đường link dài hơn bình thường, sai chính tả cũng
có thể là dấu hiệu của lừa đảo trực tuyến. Sẽ an toàn hơn nếu bạn địa chỉ của
trang Web trong trình duyệt, hơn là kích vào bất kì đường link nào trong email.
5. Sai chính tả trầm trọng
May mắn thay, các doanh nghiệp và chính phủ vẫn đang chiến đấu với nạn lừa đảo trực
tuyến. Cuối năm 2006, chính phủ Mỹ đã hướng dẫn các ngân hàng sử dụng các phương
pháp bảo mật, bao gồm cả mật khẩu lẫn các phương pháp như thẻ bài xác nhận, máy
quét vân tay, đối với giao dịch trực tuyến. Rất nhiều nhà cung cấp dịch vụ Internet (ISP)
và lập trình viên đã cung cấp những thanh công cụ phishing giúp nhận dạng bảo mật,
thông báo cho bạn những địa chỉ bạn muốn truy cập đã được đằng kí và xử lý. Họ cũng
cung cấp những công cụ thông báo hiện tượng phishing. Các phần mềm khác sử dụng
các dấu hiệu nhận biết để xác nhận bạn đã truycập địa chỉ hợp pháp.
Đối mặt với phishing
Nếu nhận được một email mà bạn tin là của những kẻ lừa đảo trực tuyến, bạn không
nên: trả lời lại, kích vào đường link có trong email hoặc điền những thông tin cá nhân.
Thay vào đó, bạn nên tìm cách thông báo với doanh nghiệp đang bị chúng giả mạo. sử
dụng trang Web hoặc số điện thoại của họ hơn là đi theo các đường link trong email giả
mạo.
Nếu bạn tin rằng mình đã gửi thong tin cá nhân