top of page

5 dấu hiệu email giả mạo bạn đang phớt lờ và 3 bước tự vệ đơn giản nhưng hiệu quả đến 90%

71% người dùng click vào link độc hại dù biết rủi ro. Xem ngay 5 dấu hiệu nhận biết email giả mạo (Phishing) tinh vi dịp cuối năm và giải pháp để chủ động phòng tránh.


Theo báo cáo mới nhất từ Hiệp hội An ninh mạng quốc gia (NCA), các tổ chức và doanh nghiệp tại Việt Nam đã hứng chịu gần 60.000 cuộc tấn công lừa đảo, gây thiệt hại ước tính lên đến 18.900 tỷ đồng.


Điều đáng báo động là dù các cảnh báo được đưa ra liên tục, báo cáo State of the Phish 2024 của Proofpoint chỉ ra rằng 71% người dùng vẫn thừa nhận đã click vào liên kết hoặc thực hiện hành động rủi ro trong email, mặc dù 96% trong số đó hiểu rõ mối nguy hiểm.


71% người dùng vẫn thừa nhận đã click vào liên kết hoặc thực hiện hành động rủi ro trong email
71% người dùng vẫn thừa nhận đã click vào liên kết hoặc thực hiện hành động rủi ro trong email

Vấn đề không nằm ở kiến thức lý thuyết, mà nằm ở "phản xạ thực chiến". Dưới áp lực của mùa quyết toán, thưởng Tết và các giao dịch dồn dập cuối năm, nhân sự doanh nghiệp rất dễ bỏ qua các dấu hiệu cảnh báo nhỏ nhất.


Dưới đây là 5 dấu hiệu nhận biết email giả mạo (Phishing Email) thường bị bỏ qua, cùng các giải pháp kỹ thuật để doanh nghiệp tự vệ trước làn sóng tấn công này.


1. Địa chỉ người gửi và domain không đồng nhất: Chiêu bài "Bình cũ rượu mới" của email giả mạo


Kẻ tấn công thường sử dụng kỹ thuật giả mạo tên hiển thị. Email có thể hiển thị tên rất uy tín như "IT Support", "CEO Nguyen Van A", hay "Tong Cuc Thue", nhưng địa chỉ email thực sự phía sau lại hoàn toàn khác.


Địa chỉ người gửi và domain không đồng nhất
Địa chỉ người gửi và domain không đồng nhất trong email giả mạo

Một nhân viên kế toán đang vội vã xử lý hóa đơn điện tử rất dễ bị đánh lừa bởi một email có tên "Invoice Support" mà không để ý rằng địa chỉ gửi đến là hotro-hoadon@gmail.com thay vì domain chính thức của nhà cung cấp. Đặc biệt nguy hiểm là các domain "typosquatting" – sai một ký tự nhỏ, ví dụ: @microsoft-support.co thay vì @microsoft.com.


Hành động nên thực hiện:

  • Luôn kiểm tra kỹ phần sau dấu @ trước khi phản hồi email giả mạo

  • Trong môi trường doanh nghiệp sử dụng Microsoft 365 hoặc Google Workspace, nên bật tính năng hiển thị chi tiết địa chỉ người gửi và cấu hình các bộ lọc để cảnh báo khi nhận email từ domain bên ngoài.


2. Liên kết ẩn hoặc rút gọn: Cái bẫy vô hình


Theo báo cáo Human Factor Report Vol. 2 (2025) của Proofpoint, URL độc hại hiện được sử dụng nhiều gấp 4 lần so với tệp đính kèm chứa mã độc trong các chiến dịch phishing.


Lý do rất đơn giản: Các hệ thống lọc email truyền thống thường quét tệp đính kèm rất kỹ nhưng lại lỏng lẻo hơn với các đường link, đặc biệt là link sạch lúc gửi nhưng sau đó được kẻ tấn công chuyển hướng (redirect) sang trang lừa đảo.


URL độc hại hiện được sử dụng nhiều gấp 4 lần so với tệp đính kèm chứa mã độc trong các chiến dịch phishing.
URL độc hại hiện được sử dụng nhiều gấp 4 lần từ email giả mạo

Tại Việt Nam, xu hướng này thường xuất hiện dưới dạng các email thông báo cập nhật phần mềm kê khai thuế, bảo hiểm xã hội hoặc xem bảng lương thưởng cuối năm.


Hành động nên thực hiện:

  • Trước khi nhấp chuột, hãy thực hiện thao tác "hover" (rê chuột nhưng không click) vào liên kết để xem địa chỉ đích thực sự. Nếu văn bản hiển thị là "Truy cập Tổng cục Thuế" nhưng đường dẫn lại trỏ về bit.ly/xyz123 hoặc một trang web lạ lẫm, đó là dấu hiệu đỏ.


3. Nội dung khẩn cấp hoặc đe dọa "Khóa tài khoản"


Kẻ tấn công đánh vào tâm lý sợ hãi và tính cấp bách.


Các tiêu đề như "Tài khoản ngân hàng của bạn sẽ bị khóa trong 24h", "Cảnh báo truy cập trái phép", hay "Yêu cầu xác minh giao dịch ngay lập tức" làm tê liệt khả năng phán đoán logic của nạn nhân.

Trong bối cảnh cuối năm, các email giả mạo thường xoay quanh chủ đề: "Chậm nộp tờ khai thuế sẽ bị phạt", hoặc "Xác nhận thông tin để nhận thưởng Tết".


Cảnh giác trước các email có nội dung khẩn cấp
Cảnh giác trước các email có nội dung khẩn cấp

Hành động nên thực hiện:

  • Nếu một email yêu cầu hành động ngay lập tức trong vòng 12-24 giờ, hãy dừng lại. Không click vào bất kỳ link nào trong email đó. Hãy xác minh bằng cách gọi điện trực tiếp cho bộ phận liên quan hoặc truy cập trang chủ dịch vụ bằng cách gõ địa chỉ thủ công vào trình duyệt.


4. Bố cục, phông chữ hoặc chữ ký thiếu chuyên nghiệp


Trước đây, email giả mạo thường sai chính tả hoặc vỡ font. Tuy nhiên, với sự hỗ trợ của AI, các email lừa đảo ngày nay có ngữ pháp hoàn hảo và văn phong rất tự nhiên.


Tuy nhiên, vẫn có những "kẽ hở" mà AI thường bỏ sót:

  • Logo doanh nghiệp bị mờ, méo hoặc sai tỷ lệ cũ.

  • Chữ ký email thiếu thông tin liên hệ cụ thể hoặc thiếu phần Disclaimer bảo mật tiêu chuẩn của công ty.

  • Sử dụng các lời chào chung chung như "Kính gửi Khách hàng" thay vì tên riêng cụ thể.


Bố cục, phông chữ hoặc chữ ký thiếu chuyên nghiệp
Bố cục, phông chữ hoặc chữ ký thiếu chuyên nghiệp

Doanh nghiệp cần lưu ý rằng hacker đôi khi chỉ copy giao diện (HTML template) của các thương hiệu lớn nhưng các chi tiết nhỏ về branding thường không đồng nhất.


5. Email giả mạo thường yêu cầu cung cấp mật khẩu, OTP hoặc thông tin nhạy cảm


Nguyên tắc bất di bất dịch trong an ninh mạng: Không có bộ phận IT, Ngân hàng hay Cơ quan chức năng nào yêu cầu người dùng gửi Mật khẩu hoặc mã OTP qua email.


Các cuộc tấn công lừa đảo qua email doanh nghiệp thường nhắm vào nhân sự cấp cao hoặc bộ phận tài chính, yêu cầu chuyển tiền bí mật hoặc cung cấp thông tin đăng nhập hệ thống.


Tuyệt đối không cung cấp mật khẩu hoặc OTP qua email
Tuyệt đối không cung cấp mật khẩu hoặc OTP qua email

Hành động nên thực hiện:

  • Nếu nhận được yêu cầu này, hãy báo cáo ngay qua kênh nội bộ (nút Report Phishing trên Outlook hoặc liên hệ đội ngũ SOC/IT) thay vì phản hồi.


3 bước tự vệ đơn giản nhưng hiệu quả tới 90%


a. Bắt buộc bật Xác thực 2 bước (2FA/MFA)


Đây là "chốt chặn" quan trọng nhất. Ngay cả khi hacker lừa được mật khẩu của bạn qua email giả mạo, họ cũng không thể đăng nhập nếu thiếu mã OTP gửi về điện thoại. Hãy bật tính năng này cho Email, tài khoản Ngân hàng và các phần mềm quản lý nội bộ.


b. Quy tắc "Xác minh chéo" (Zero Trust) để phát hiện email giả mạo


Thiết lập quy định cứng trong công ty: Với mọi email yêu cầu chuyển tiền hoặc thay đổi số tài khoản nhận tiền, nhân viên bắt buộc phải gọi điện thoại trực tiếp cho người gửi (theo số đã lưu, không gọi theo số trong email) để xác nhận. Không bao giờ chuyển tiền chỉ dựa trên một email, dù nó đến từ "Sếp".


c. Cài đặt phần mềm diệt Virus bản quyền và luôn cập nhật mới


Đừng dùng phần mềm "bẻ khóa" (crack) vì chính nó có thể chứa mã độc. Hãy trang bị phần mềm diệt virus bản quyền cơ bản cho máy tính nhân viên và luôn cập nhật Windows/MacOS lên phiên bản mới nhất để tự động vá các lỗ hổng bảo mật.


Vai trò của IPSIP Vietnam: Người hỗ trợ kỹ thuật phía sau


IPSIP Vietnam cung cấp giải pháp bảo mật chuyên biệt cho từng doanh nghiệp
IPSIP Vietnam cung cấp giải pháp bảo mật chuyên biệt cho từng doanh nghiệp

Nếu doanh nghiệp của bạn không có nhân sự chuyên trách để cài đặt hay xử lý khi có sự cố, IPSIP Vietnam sẽ là mảnh ghép kỹ thuật còn thiếu trong việc chủ động phát hiện và ngăn ngừa email giả mạo:

  • IT Support & An ninh mạng: Chúng tôi giúp bạn cấu hình chuẩn các lớp bảo mật email và cài đặt phần mềm bảo vệ đúng cách, đảm bảo hệ thống luôn "sạch".

  • Giám sát SOC/NOC 24/7: Thay vì lo lắng, bạn tập trung kinh doanh. Hệ thống của chúng tôi sẽ giám sát từ xa, phát hiện và ngăn chặn các truy cập bất thường vào hệ thống của bạn (như ai đó cố đăng nhập từ nước ngoài) ngay lập tức.


Nguồn tham khảo

Bình luận

LOGO IPSIP vietnam 1

CÔNG TY TNHH MTV IPSIP VIỆT NAM (IPSIP VIETNAM OMLLC)

​MST: 0313859600

🏢 Số SH05.01 Đường B4, Khu Saritown, Phường An Khánh, Thành phố Hồ Chí Minh, Việt Nam

​☎  +84 91 885 30 68

  • Linkedin
  • Facebook
  • TikTok
  • Email liên hệ
Dịch vụ nổi bật

Giải pháp cho SMEs

SOC 24/7

NOC 24/7

IT Support

An ninh mạng
Cloud

Đăng ký nhận tài liệu, tin tức an ninh mạng chuyên sâu từ IPSIP Việt Nam

bottom of page