Một cú nhấp chuột - cái bẫy không dễ tránh

Các chuyên gia an ninh mạng cho biết, hiện nay, chỉ mất trung bình 60 giây để một cuộc tấn công mạng thành công, dẫn tới việc người dùng bị chiếm đoạt tài khoản, mật khẩu, hoặc lây nhiễm mã độc. Tin tặc không chỉ giả mạo các thương hiệu lớn như Google để tấn công qua Gmail, mà còn sử dụng phần mềm độc hại đánh cắp thông tin cá nhân, vượt qua mã xác thực hai lớp (2FA) và thậm chí khai thác trí tuệ nhân tạo (AI) để nâng cấp mức độ nguy hiểm của các cuộc tấn công.

Đừng nhấp vào bất kỳ liên kết hay tập tin nào từ email, tin nhắn không rõ nguồn gốc. Ảnh: Forbes/Getty

Không dừng lại ở đó, các tổ chức tội phạm mạng còn vận hành "nông trại smartphone" - hệ thống điện thoại giả lập để tấn công đồng loạt vào người dùng Android và iPhone. Theo báo cáo của FBI, trong năm 2024 đã có 859.532 đơn khiếu nại về tội phạm mạng, với tổng thiệt hại lên tới 16 tỷ USD.

Ông Kash Patel - Giám đốc FBI nhấn mạnh: “Việc báo cáo là bước đầu tiên và quan trọng trong cuộc chiến chống lại tội phạm mạng. Thông tin từ người bị hại giúp lực lượng chức năng điều tra, ngăn chặn nhiều hành vi gian lận và lừa đảo.” Tuy nhiên, một biện pháp phòng vệ cơ bản mà FBI nhắc nhở tất cả người dùng là: "Đừng nhấp vào bất kỳ thứ gì" trong email hoặc tin nhắn lạ.

Theo nghiên cứu, phishing (lừa đảo qua mạng) ngày càng khó đối phó vì nó khai thác tâm lý sợ hãi, cấp bách và sự cả tin của con người. Những email lừa đảo này có thể trông như được gửi từ các nguồn tin cậy, thậm chí dùng chính tên miền hợp pháp để qua mặt người dùng.

Một khi người dùng nhấp vào liên kết độc hại, nhiều hình thức tấn công có thể xảy ra. Ví dụ, thiết bị có thể bị cài phần mềm gián điệp ngay lập tức (drive-by download) hoặc tin tặc có thể thực hiện kỹ thuật "kẻ tấn công ở giữa" (attacker-in-the-middle) để chiếm quyền truy cập vào phiên đăng nhập và tài khoản trực tuyến mà không cần biết mật khẩu hay mã 2FA.

FBI cảnh báo: “Bạn có thể nhận được email trông như từ một doanh nghiệp hợp pháp, yêu cầu cập nhật hoặc xác minh thông tin cá nhân. Email có thể đủ thuyết phục để khiến bạn làm theo yêu cầu đó.” Trong môi trường thực tế, việc cưỡng lại cám dỗ nhấp chuột là điều rất khó, đặc biệt khi các đối tượng tấn công ngày càng tinh vi trong việc đánh vào tâm lý người dùng.

Xác thực liên kết để ngăn chặn tấn công

Theo ông Paul Walsh - đồng sáng lập Sáng kiến Web di động (W3C Mobile Web Initiative) kiêm CEO của MetaCert, giải pháp lâu dài cho vấn nạn phishing là xác thực liên kết (URL) trước khi người dùng tiếp cận. Ông nhấn mạnh: “Việc không xác thực URL trước khi gửi đến người dùng chính là vấn đề lớn nhất của an ninh mạng hiện nay.”

Tuy nhiên, cho tới khi việc xác thực URL được triển khai rộng rãi trên tất cả nền tảng email, dịch vụ nhắn tin và thiết bị, thì cảnh báo “đừng nhấp vào bất cứ thứ gì” từ FBI vẫn là biện pháp phòng vệ đơn giản mà hiệu quả nhất.

Vì vậy, nếu nhận được email hoặc tin nhắn lạ, người dùng cần bình tĩnh, suy nghĩ kỹ trước khi hành động, tránh biến cú nhấp chuột vô thức thành cửa ngõ mở rộng cho tội phạm mạng xâm nhập.