Những kỹ năng nhận diện và phòng chống lừa đảo trực tuyến (phần 2)
Phòng chống lừa đảo trên không gian mạng không chỉ là trách nhiệm của cơ quan quản lý nhà nước mà còn là trách nhiệm chung của toàn xã hội. Mỗi cán bộ, người lao động làm việc tại Bộ VHTTDL cần nắm được những kiến thức và kỹ năng cần thiết để trở thành một người dùng an toàn và thông minh trên không gian mạng.
Hàng ngày, mỗi cán bộ, công chức, viên chức nói chung và của Bộ Văn hóa, Thể thao và Du lịch nói riêng, đều phải tham gia các hoạt động trên môi trường mạng. Do đó, sẽ gặp nhiều nguy cơ về mất an toàn thông tin hoặc sự lừa đảo trực tuyến. Để phát hiện các website, email, tin nhắn, hay cuộc gọi có dấu hiệu đáng ngờ và tránh bị lừa đảo trực tuyến, chúng ta cần chú ý đến một số đặc điểm cảnh báo.
Đối với hình thức lừa đảo Gọi điện trực tiếp: Đối tượng lừa đảo thường cung cấp thông tin không rõ ràng hoặc mập mờ về mục đích của cuộc gọi, danh tính của mình hoặc tổ chức họ đại diện; Cuộc gọi lừa đảo thường cố gắng tạo cảm giác khẩn cấp và sự thiếu cảnh giác của nạn nhân, yêu cầu người nhận thực hiện hành động ngay lập tức, thường là chuyển tiền hoặc cung cấp thông tin cá nhân; Các đối tượng lừa đảo thường yêu cầu người nhận cung cấp thông tin như số thẻ tín dụng, số tài khoản ngân hàng, số chứng minh nhân dân hoặc các thông tin nhạy cảm khác; Hứa hẹn những lợi ích không thực tế, như trúng thưởng, quà tặng hoặc khoản tiền lớn, nhưng yêu cầu người nhận phải trả phí hoặc cung cấp thông tin trước.
Đối với hình thức lừa đảo qua Tin nhắn (SMS)/ Email: Kiểm tra địa chỉ email của người gửi. Thông thường, địa chỉ email của các tổ chức uy tín sẽ có tên miền chính thức, còn email giả mạo thường có tên miền không rõ nguồn gốc hoặc không chính xác; Phần chữ ký và thông tin liên hệ của email không đúng chuẩn format, hoặc đôi khi không có chữ ký và thông tin liên hệ cụ thể như số điện thoại, địa chỉ…; Email lừa đảo thường có lỗi chính tả, ngữ pháp, và cấu trúc câu không chuẩn; Email yêu cầu bạn cung cấp thông tin cá nhân hoặc tài khoản ngân hàng một cách khẩn cấp; Các liên kết trong email có thể dẫn đến trang web giả mạo, di chuột qua liên kết để xem địa chỉ URL thực tế trước khi nhấp vào; Tệp tin có thể chèn mã độc hại (có đuôi như .pdf, .doc, .xlsx, .bat, .zip, .rar, .html, .exe...), đôi khi là tệp tin đính kèm là file nén có mật khẩu bảo vệ, hoặc tệp tin có kích thước lớn khi được giải nén nhằm vượt mặt sự phát hiện của các bộ máy rà quét mã độc trực tuyến (như Virustotal.com); Tin nhắn hứa hẹn bạn thắng giải thưởng lớn hoặc yêu cầu bạn cung cấp thông tin cá nhân để nhận quà.
Đối với hình thức lừa đảo qua Mạng xã hội: Để tạo lòng tin, các đối tượng lừa đảo thường sử dụng hình ảnh chỉn chu, ngoại hình bắt mắt tiếp cận nạn nhân, làm quen một cách bất ngờ. Dụ dỗ tham gia các hội nhóm đầu tư, làm nhiệm vụ đầu tư ít, lợi nhuận cao, các đối tượng đánh vào tâm lý muốn kiếm tiền của nạn nhân; Quảng cáo tuyển dụng hay các dịch vụ hấp dẫn với nhiều ưu đãi hấp dẫn, mức giá không tưởng như tour du lịch, vé máy bay giá rẻ,… hay tuyển dụng "việc nhẹ lương cao", dịch vụ lấy lại tiền bị lừa,… để chào mời khách hàng nhẹ dạ cả tin trên mạng xã hội; Sử dụng công nghệ trí tuệ nhân tạo (AI) tạo ra những video hoặc hình ảnh giả, sao chép chân dung giả người thân, bạn bè để thực hiện các cuộc gọi lừa đảo trực để yêu cầu nạn nhân phải chuyển tiền, hoặc giả danh bạn bè, người thân cần vay tiền gấp.
Đối với hình thức lừa đảo thông qua Website: Các đối tượng lừa đảo thường sử dụng những website giả mạo để đánh lừa người dùng. Để phát hiện kịp thời, người dùng cần kiểm tra kỹ địa chỉ URL để đảm bảo nó chính xác và thuộc về trang web chính thức. Các trang web lừa đảo thường có địa chỉ URL tương tự như trang web chính thức nhưng có những thay đổi nhỏ (như thay đổi ký tự, thêm số). Các đường dẫn có dấu hiệu hoặc ký tự bất thường như lỗi chính tả (Sai khác, thiếu hoặc thừa một vài ký tự, hoặc thay thế một vài ký tự với ký tự); Tên miền có tiền tố hoặc hậu tố sử dụng ký tự lạ; Tên miền phụ cố bắt chước tên miền của một trang hợp pháp…
- Độ tin cậy của domain: Các đuôi trang .com, .org, .gov (chính phủ), .edu (giáo dục đào tạo)… thường là những top-level domain có thể tin cậy được, tuy nhiên cũng cần phải cẩn trọng khi truy cập nếu thấy có dấu hiệu khả nghi về việc lấy cắp hay thu thập thông tin dữ liệu cá nhân; Các đuôi top-level domain ít phổ biến như .info, .asia, .vip, .tk, .xyz… thường có độ tin cậy khá thấp; Một số đường dẫn sử dụng tên miền quốc tế (IDN) để đánh lừa nạn nhân hoặc sử dụng dịch vụ rút gọn tên miền; Sử dụng tên miền dài khiến người dùng nhầm lẫn; Đường dẫn open redirector nhằm đánh lừa nạn nhân sau đấy điều hướng nạn nhân sang một trang khác để lừa đảo…
- Thiếu chứng chỉ SSL: Trang web chính thức thường có chứng chỉ SSL, biểu thị bằng khóa an toàn và "https" thay vì "http" trong địa chỉ URL.
- Thiết kế kém chất lượng: Trang web lừa đảo thường có thiết kế kém, hình ảnh không đúng quy chuẩn thương hiệu, lỗi chính tả, và thiếu chuyên nghiệp. Nguyên nhân là do các trang web giả mạo thường không kiểm duyệt kỹ nội dung. Hoặc các trang này được tạo bởi đối tượng ở nước ngoài không thành thạo ngôn ngữ được sử dụng để lừa đảo.
- Cảnh báo, đe dọa, quảng cáo: Website lừa đảo khi truy cập thường xuất hiện cảnh báo, đe dọa hoặc các chương trình trúng thưởng với phần quà hấp dẫn mục đích dẫn dụ người dùng truy cập các liên kết không an toàn.
- Chứng nhận Tín nhiệm mạng: Tín nhiệm mạng chứng nhận độ tin cậy về ATTT cho các đối tượng trên không gian mạng. Các website của cơ quan nhà nước đều sẽ được cấp chứng nhận tín nhiệm mạng. Người dùng cần đối chiếu kỹ càng với tín nhiệm mạng để đảm bảo website truy cập đủ tin cậy.
- Chứng nhận của Bộ Công Thương: Doanh nghiệp bắt buộc phải khai báo tên miền và trang web với Bộ Công Thương. Nếu không có chứng nhận này thì trang web chưa đủ độ tin cậy.
- Yêu cầu thông tin cá nhân ngay lập tức: Trang web yêu cầu bạn nhập thông tin cá nhân hoặc tài khoản ngân hàng ngay lập tức mà không có bất kỳ lý do hợp lý nào.
Đối với hình thức lừa đảo thông qua Phần mềm, ứng dụng giả mạo: Sử dụng các phần mềm, ứng dụng giả mạo là một trong những phương thức lừa đảo của các đối tượng, bởi vậy người dùng cần xây dựng kỹ năng phát hiện kịp thời. Nếu ứng dụng không được tải từ các cửa hàng ứng dụng chính thức như Google Play, CH Play hoặc App Store, đó có thể là dấu hiệu của ứng dụng giả mạo. Nếu ứng dụng được tải về dưới dạng đuôi file .apk (Dichvucong.apk) hoặc .mobileconfig thì tuyệt đối không nên cài đặt. Nếu ứng dụng yêu cầu quyền truy cập vào các thông tin hoặc chức năng không liên quan đến mục đích chính của nó (như quyền truy cập danh bạ, tin nhắn, vị trí), đây có thể là dấu hiệu của phần mềm độc hại; Ứng dụng giả mạo thường có giao diện kém chất lượng hoặc không chuyên nghiệp, nội dung chứa lỗi chính tả; Nếu tính năng của ứng dụng không rõ ràng hoặc không giống như quảng cáo, có thể là dấu hiệu của phần mềm giả mạo; Nhà phát triển ứng dụng không có trang web chính thức hoặc thông tin liên hệ rõ ràng./.