Việc lừa đảo bằng email từ lâu đã là một vấn đề đối với người dùng máy tính để bàn và máy tính xách tay, nhưng việc sử dụng thiết bị di động ngày càng tăng, đặc biệt là khi nhiều người làm việc từ xa đã tạo ra một xu hướng tấn công bổ sung cho tội phạm mạng đang nhắm mục tiêu vào cả điện thoại sử dụng hệ điều hành Android và iOS.

Việc tấn công nhắm mục tiêu vào các ứng dụng email trên máy tính để bàn có thể để lại dấu hiệu rõ ràng giúp người dùng dễ nhận ra, chẳng hạn như có thể xem trước các liên kết và tệp đính kèm hoặc xem địa chỉ email và URL có thể có dấu hiệu đáng nghi ngờ. Tuy nhiên, điều này khó phát hiện hơn trên email di động, phương tiện truyền thông xã hội và ứng dụng nhắn tin vì chúng được thiết kế với màn hình nhỏ hơn.

{keywords}
Cảnh báo thủ đoạn lừa đảo trên điện thoại di động ngày càng gia tăng

Ông Hank Schless - quản lý cấp cao về các giải pháp bảo mật tại Lookout cho biết: “Thật khó để phát hiện những lá cờ đỏ mà chúng ta thường thấy ở máy tính xách tay hoặc PC khi sử dụng thiết bị di động với màn hình di động nhỏ như vậy. Vì chúng ta không thể xem trước các liên kết, xem URL đầy đủ trong trình duyệt trên thiết bị di động và nhanh chóng chạm vào bất cứ thứ gì xuất hiện, các tin tặc đang đầu tư thời gian và sức lực của chúng để làm cho các chiến dịch tấn công này không dễ dàng bị phát hiện”.

Trong nhiều trường hợp, kẻ tấn công có thể thiết kế các trang đăng nhập giả trông gần giống hệt như tổ chức mà chúng đang nhắm mục tiêu, đặc biệt là hiện nay rất nhiều doanh nghiệp dựa vào nền tảng đám mây như Office 365.

Nếu người dùng nhập tên người dùng và mật khẩu của họ vào trang lừa đảo, chúng sẽ chuyển chúng cho kẻ tấn công có thể lợi dụng điều này để có quyền truy cập vào tài khoản công ty của họ.

Các cuộc tấn công lừa đảo trên thiết bị di động nhắm vào tài khoản cá nhân cũng gia tăng, khi những kẻ tấn công khai thác điện thoại thông minh và trình duyệt di động nhằm đánh cắp thông tin đăng nhập, thông tin ngân hàng và dữ liệu cá nhân khác.

Một chiến dịch được phát hiện bởi Lookout đã thấy khách hàng của một ngân hàng lớn ở Canada đã bị kẻ tấn công nhắm đến và đã gửi một tin nhắn văn bản cho cho hàng ngàn khách hàng yêu cầu họ đăng nhập vào tài khoản của họ, hướng họ đến các trang trông gần giống với trang thật.

Những kẻ tấn công cũng đang cố gắng tận dụng đại dịch Covid-19 bằng các chiến dịch lừa đảo trên thiết bị di động , đóng giả là các tổ chức chính phủ và y tế.

Liên quan đến vấn đề này, Hank Schless cho biết thêm: “Các chiến dịch lừa đảo trên thiết bị di động sẽ tiếp tục khó phát hiện hơn và chúng ta có thể mong chờ các kỹ thuật tiên tiến hơn ngoài SMS và email. Ranh giới giữa thiết bị cá nhân và thiết bị làm việc sẽ trở nên mờ nhạt hơn và những kẻ tấn công biết rằng họ có thể sử dụng các nền tảng bên ngoài sự bảo vệ của các chính sách bảo mật của công ty truyền thống để có quyền truy cập vào cơ sở hạ tầng của tổ chức”.

Bảo vệ chống lại các cuộc tấn công lừa đảo trên thiết bị di động có thể khó khăn, nhưng bằng cách nào đó cần phải cảnh báo cho nhân viên về nguy cơ của các chiến dịch này để ngăn chặn chúng. Các tổ chức cũng có thể xem xét sử dụng một hệ thống bảo mật di động nhưng họ cũng cần lưu ý rằng nó không vượt qua giới hạn khi xâm phạm quyền riêng tư của người dùng.

Chia sẻ về giải pháp giúp người dùng hạn chế bị tin tặc tấn công, ông Hank Schless nói: “Một giải pháp lý tưởng đó là không nên kiểm tra nội dung mà thay vào đó chỉ nên cảnh báo cho người đó khi họ gặp phải một liên kết độc hại và tự động chặn kết nối độc hại đó. Những cảnh báo này sẽ giáo dục người dùng điều chỉnh thói quen duyệt web và cuối cùng sẽ giúp giảm thiểu rủi ro chung cho tổ chức của bạn”.

Vũ Phong