Các kiểu phishing, scam và malware SME thường gặp

1. Doanh nghiệp vừa và nhỏ thường gặp những rủi ro gì trên mạng? 

Doanh nghiệp nhỏ hay bị lừa đảo online kiểu gì? 

Có những loại phishing, scam, malware nào nhắm vào công ty? 
SME thường gặp 3 nhóm rủi ro: 

1. Phishing (giả mạo để lấy tài khoản, mã OTP, dữ liệu) 
2. Scam (lừa đảo tài chính, đổi tài khoản, giả mạo đối tác/khách hàng) 
3. Malware (mã độc: ransomware, keylogger, stealer… tấn công vào máy và hệ thống) 

Phần dưới sẽ đi lần lượt từng nhóm, tập trung vào tình huống “rất đời thường” trong doanh nghiệp. 

2. Những loại phishing doanh nghiệp vừa và nhỏ hay gặp 

2.1. Email phishing “hóa đơn – thanh toán” 

Tại sao kế toán và bộ phận thanh toán hay bị tấn công? 
Đây là kiểu phishing phổ biến nhất với SME: 

• Email giả mạo nhà cung cấp, đối tác lâu năm. 
• Nội dung: “Đây là hóa đơn mới”, “Cập nhật thông tin tài khoản ngân hàng”, “File hợp đồng đính kèm”… 
• Đính kèm file .pdf, .docx, .zip có mã độc hoặc link web giả yêu cầu đăng nhập email/ERP. 

Dấu hiệu nhận biết: 

• Địa chỉ email giống nhưng không hoàn toàn trùng (ví dụ: thay .com thành .co, thêm một chữ cái…). 
• Ngôn ngữ hơi lạ, gấp gáp, thúc giục chuyển tiền sớm. 
• Đề nghị đổi số tài khoản thanh toán mà không thông qua kênh xác nhận bình thường. 

2.2. Phishing “reset mật khẩu” cho email, mạng xã hội, công cụ làm việc 

Email báo “tài khoản vi phạm”, “mật khẩu sắp hết hạn” có đáng tin không? 
Kẻ xấu gửi email hoặc tin nhắn SMS, với nội dung: 

• “Tài khoản của bạn sắp bị khóa, bấm vào đây để xác minh.” 
• “Mật khẩu sắp hết hạn, vui lòng đổi ngay tại đường link dưới.” 

Khi người nhận bấm vào, họ được đưa tới trang đăng nhập giả y hệt email/mạng xã hội/hệ thống công ty. Nhập xong, mật khẩu rơi vào tay người tấn công. 

Cách xử lý an toàn: 

• Không bấm link trong email lạ, hãy mở ứng dụng hoặc vào thẳng trang chính thức. 
• Kiểm tra tên miền (domain) thật kỹ trước khi nhập mật khẩu. 

2.3. Phishing qua chat: Zalo, Facebook, Teams, Slack… 

Nhân viên nhận được link lạ từ đồng nghiệp/khách hàng, có nên bấm không? 
Đây là dạng phishing qua kênh nội bộ: 

• Tài khoản của một người trong công ty bị chiếm. 
• Kẻ xấu dùng tài khoản đó gửi link giả, file độc hại cho người khác. 

Vì “người gửi là người quen” nên nhân viên dễ chủ quan. 

Nguyên tắc: 

• Bất kỳ link lạ / file lạ nào có nội dung chung chung “xem giúp”, “gấp lắm”, “bấm vào nhận quà”… → phải xác nhận lại qua kênh khác (gọi điện, nhắn riêng). 

3. Những kiểu scam (lừa đảo) SME hay dính 

3.1. Lừa đổi tài khoản ngân hàng / thông tin thanh toán 

Tình huống thường gặp: 

• Đối tác gửi email: “Chúng tôi đã đổi ngân hàng, từ giờ vui lòng chuyển vào số tài khoản mới.” 
• Email nhìn qua rất giống, có cả chữ ký, logo. 

Nếu kế toán không xác minh, doanh nghiệp có thể chuyển cả trăm triệu vào tài khoản kẻ lừa đảo. 

Giải pháp: 

• Quy định rõ: mọi yêu cầu đổi tài khoản phải được xác nhận qua ít nhất 2 kênh (gọi điện trực tiếp cho đầu mối quen thuộc, xác nhận qua số điện thoại đã lưu từ trước…). 

3.2. Lừa đầu tư, hoàn thuế, hỗ trợ tài chính “cho doanh nghiệp” 

Kẻ xấu đánh vào nhu cầu tiền mặt của doanh nghiệp nhỏ: 

• “Gói vay lãi suất thấp dành riêng cho doanh nghiệp”, “Hỗ trợ vốn, chỉ cần cung cấp thông tin tài chính và tài khoản…”. 
• “Hỗ trợ hoàn thuế, giảm thuế”, yêu cầu cung cấp mã số thuế, tài khoản, OTP. 

Quy tắc vàng: 

• Mọi đề nghị tài chính “quá tốt”, yêu cầu cung cấp OTP, mật khẩu, mã đăng nhập → 100% lừa đảo. 
• Không gửi hồ sơ, không ký tờ khai qua link lạ hoặc app lạ. 

3.3. Lừa tuyển dụng, lừa ứng viên rồi kéo ngược về doanh nghiệp 

• Kẻ xấu giả mạo công ty đăng tin tuyển dụng “việc nhẹ lương cao” → thu thập CMND/CCCD, tài khoản ngân hàng, giấy tờ. 
• Sau đó dùng thông tin này đi lừa nơi khác, hoặc đăng ký dịch vụ dưới tên công ty. 

Việc nên làm: 

• Quản lý chặt fanpage, website, thông tin tuyển dụng chính thức. 
• Cảnh báo trên kênh của công ty về các kênh tuyển dụng giả mạo. 

4. Những loại malware SME hay gặp nhất 

4.1. Ransomware – mã độc mã hóa dữ liệu đòi tiền chuộc 

Vì sao nhiều công ty nhỏ bỗng nhiên bị khóa hết dữ liệu? 

Trả lời: 
Ransomware thường vào bằng: 

• File đính kèm email (hóa đơn, hợp đồng, báo cáo). 
• Phần mềm crack, phần mềm “miễn phí” tải từ web lạ. 

Khi bị nhiễm, nó sẽ: 

• Mã hóa (khóa) toàn bộ file trên máy và đôi khi trên server chung. 
• Hiện thông báo yêu cầu trả tiền chuộc (thường bằng tiền số). 

Nếu không có backup sạch, doanh nghiệp gần như tê liệt: không mở được dữ liệu khách hàng, hợp đồng, kế toán. 

 4.2. Stealer / Keylogger – mã độc đánh cắp mật khẩu và dữ liệu 

Đây là dạng mã độc không ồn ào như ransomware. Nó lặng lẽ: 

• Ghi lại phím gõ (keylogger). 
• Lấy cookie, token đăng nhập từ trình duyệt. 
• Gửi tất cả về máy chủ của kẻ tấn công. 

Từ đó, chúng có thể: 

• Đăng nhập vào email công ty, mạng xã hội, tài khoản quảng cáo, cổng thanh toán. 
• Đổi mật khẩu, chiếm luôn tài khoản. 

4.3. Malware giả phần mềm làm việc: trình điều khiển từ xa, plugin, tiện ích 

SME hay dùng: 

• Công cụ điều khiển máy tính từ xa. 
• Add-on hỗ trợ trình duyệt (tạo mật khẩu, ghi chú, chụp màn hình…). 

Kẻ xấu tạo bản giả, trông giống hệt, cho tải miễn phí: 

• Khi cài vào, chúng mở “cửa sau” cho phép người khác điều khiển máy. 
• Hoặc chèn quảng cáo, chèn mã theo dõi, lấy dữ liệu duyệt web. 

Nguyên tắc: 

• Chỉ tải phần mềm từ trang chính thức. 
• IT nội bộ nên có danh sách “phần mềm được phép dùng”. 

 5. Dấu hiệu chung để nhận ra “có gì đó không ổn” 

Câu hỏi: 

• Không rành kỹ thuật, làm sao nhận ra máy/người đang bị tấn công? 

Một số dấu hiệu: 

1. Email/tin nhắn quá gấp gáp, hối chuyển tiền hoặc hối bấm link. 
2. Địa chỉ gửi hơi kỳ lạ, có thêm bớt ký tự hoặc domain lạ. 
3. Máy tính bỗng chậm bất thường, quạt kêu to, hiện nhiều cửa sổ lạ. 
4. Xuất hiện file lạ, hoặc file quen thuộc nhưng không mở được. 
5. Tài khoản mạng xã hội / email bị đăng nhập từ nơi lạ, nhận thông báo login bất thường. 

Chỉ cần thấy 1–2 dấu hiệu lạ, nhân viên nên báo ngay cho quản lý hoặc IT, không tự mày mò tiếp. 

6. Chủ doanh nghiệp nên làm gì để giảm rủi ro? 

Checklist ngắn cho founder/CEO: 

1. Viết một quy tắc bảo mật 1–2 trang cho toàn công ty 
2. Dùng máy gì, cài phần mềm gì. 
3. Dùng email/tài khoản thế nào. 
4. Cách xử lý email, tin nhắn lạ. 
5. Đào tạo nhanh cho các nhóm dễ bị tấn công nhất 
6. Kế toán, thanh toán, mua hàng, chăm sóc khách hàng, vận hành. 
7. 1 buổi 45 phút, dùng ví dụ thật: email giả đổi tài khoản, file “hóa đơn” có mã độc. 
8. Thiết lập quy trình báo cáo sự cố 
9. Khi nghi bị phishing, scam, malware → báo ai, trong bao lâu, qua kênh nào. 
10. Khuyến khích “báo sớm, không đổ lỗi”. 
11. Áp dụng vài biện pháp kỹ thuật cơ bản 
12. Xác thực 2 bước cho email, tài khoản quan trọng. 
13. Phần mềm bảo vệ endpoint cơ bản trên máy nhân viên. 
14. Sao lưu dữ liệu quan trọng (backup) định kỳ. 

7. Tóm tắt cho người bận rộn 

• Phishing: email/ tin nhắn giả mạo hóa đơn, reset mật khẩu, tin nhắn từ đồng nghiệp/khách hàng. 
• Scam: đổi tài khoản ngân hàng, gói vay/hỗ trợ tài chính “quá tốt”, kênh tuyển dụng giả. 
• Malware: ransomware khóa dữ liệu, stealer/keylogger lấy mật khẩu, phần mềm giả mạo. 

Chỉ cần thêm một chút quy tắc, một chút cảnh giác và vài biện pháp kỹ thuật cơ bản, doanh nghiệp vừa và nhỏ đã loại bỏ được phần lớn rủi ro từ phishing, scam và malware thường gặp hằng ngày. 

Cần một ai đó bảo vệ doanh nghiệp của bạn? Hãy dùng thử giải pháp của chúng tôi  

👉 Start ShieldNet 360 – ShieldNet Defense free trial