Ảnh hưởng của tình trạng email lừa đảo đến doanh nghiệp

Email lừa đảo phổ biến đến mức nào?

The số liệu thống kê từ FBI (Mỹ), trong ba năm qua (2013-2015) các nạn nhân của e-mail lừa đảo đã chuyển ít nhất 3,1 tỷ USD vào các tài khoản được vẽ ra bởi các e-mail giả danh giám đốc điều hành (CEO).

Tại Việt Nam, tháng 12/2014, một doanh nghiệp tại Đà Nẵng đã bị hacker giả danh e-mail đề nghị chuyển số tiền 18,720 USD (tương đương 400 triệu đồng) trong quá trình giao dịch mua nhựa đường với một công ty đối tác tại Dubai (UAE). May mắn là do phát hiện sớm nên doanh nghiệp trên đã thu hồi lại được số tiền đã chuyển khoản.

Lừa đảo qua e-mail chỉ là một trong rất nhiều những hình thức lừa đảo qua mạng Internet. Những năm gần đây, với sự phổ biến của phần mềm chat Skype trong doanh nghiệp, rất nhiều trường hợp hacker lợi dụng Skype để phát tán phần mềm độc hại (malware) và phần mềm tống tiền (ransomware).

Một cách giả danh phổ biến là trường hợp các spammer (người gửi thư rác) dùng công cụ quét các địa chỉ e-mail được đăng tải trên website của doanh nghiệp (info@ten-cong-ty.com hoặc sales@ten-cong-ty.com). Sau khi có danh sách e-mail này, các spammer sẽ dùng kỹ thuật giả danh e-mail để phán tán e-mail rác, e-mail lừa đảo đến những doanh nghiệp khác.

Hình thức email lừa đảo và giả danh để đánh cắp thông tin cá nhân
Hình thức lừa đảo giả danh để đánh cắp thông tin cá nhân.

Nhận biết e-mail giả danh

Với thực trạng các hình thức lừa đảo qua Internet ngày càng tinh vi, người dùng cần phải có những hiểu biết và kinh nghiệm nhất định để có thể phát hiện ra sự lừa đảo.

Đối với các e-mail giả danh được gửi đi từ spammer, các spammer thường không hiểu biết về doanh nghiệp nên e-mail được gửi đi hàng loạt với cùng một nội dung (phổ biến là tiếng Anh) nên không khó để phát hiện sự lừa đảo. Người dùng được khuyến cáo không mở các file đính kèm trong e-mail lừa đảo vì có thể dẫn đến việc bị lây nhiễm phần mềm độc hại hoặc phần mềm tống tiền.

Trường hợp các e-mail lừa đảo được gửi đi từ hacker thì khó phát hiện hơn. Không như spammer, hacker thường thực hiện hành vi lừa đảo tinh vi hơn. Ví dụ: thông qua một máy tính bị nhiễm phần mềm độc hại trong công ty, hacker sẽ lấy được danh sách e-mail trong Microsoft Outlook, và dựa trên danh sách đó, hacker sẽ giả danh để gửi những e-mail có nội dung lừa đảo. Thậm chí hacker có thể điều khiển máy tính nạn nhân để gửi e-mail.

Hình minh họa trường hợp bị lây nhiễm ransomware
Hình minh họa trường hợp bị nhiễm ransomware. Dữ liệu người dùng bị mã hóa. Người dùng được yêu cầu phải trả tiền chuộc để giải mã dữ liệu.

Biện pháp hạn chế tình trạng e-mail giả danh

Để hạn chế tình trạng giả danh địa chỉ e-mail, phía doanh nghiệp cần liên hệ với bộ phận IT hoặc đơn vị cung cấp hệ thống e-mail để triển khai các biện pháp kỹ thuật nhằm xác thực e-mail gửi đi. Biện pháp này hiệu quả để chống lại các spammer và cần phải được thực hiện song song ở cả phía gửi và phía nhận để đạt hiệu quả cao nhất.

Tuy nhiên, dù áp dụng các biện pháp kỹ thuật để xác thực e-mail gửi đi thì vẫn có rủi ro bị giả danh, đó là trường hợp máy tính nạn nhân bị hacker điều khiển để gửi e-mail. Để hạn chế rủi ro này, bên cạnh biện các pháp kỹ thuật ở phía hệ thống e-mail, người dùng cần thiết lập nhiều kênh liên lạc (điện thoại, fax) với đối tác để xác thực thông tin.

Để hạn chế trường hợp bị lây nhiễm malware và ransomware, hãy sử dụng những phần mềm diệt virus có uy tín (Avast, AVG, Bitdefender, Kaspersky …). Lưu ý chọn phiên bản phần mềm diệt virus có những tính năng bảo vệ khỏi những mối nguy từ Internet như chống spam, quét file đính kèm, cảnh báo web độc hại (ví dụ: Kaspersky Internet Security, Avast Internet Security…).

Tác động đến thương hiệu doanh nghiệp

Chống giả danh e-mail là một biện pháp quan trọng trong việc bảo vệ thương hiệu doanh nghiệp.

Lấy ví dụ những khách hàng tiềm năng của doanh nghiệp A liên tục nhận được những e-mail giả danh. Dù người nhận có khả năng nhận biết e-mail nào là giả danh qua nội dung e-mail, nhưng những khách hàng tiềm năng này có thể sẽ có những đánh giá không tốt về hệ thống e-mail của doanh nghiệp A (vì để xảy ra tình trạng giả danh).

Tuy nhiên, dù hệ thống e-mail của doanh nghiệp A đã áp dụng nhiều biện pháp xác thực e-mail nhưng hệ thống e-mail phía người nhận lại không được cấu hình tương ứng thì phía người nhận vẫn có thể nhận được e-mail giả danh. Ví dụ về trường hợp bên A áp dụng nhiều bạn pháp xác thực (chữ ký, dấu mộc, xác thực vân tay…) nhưng bên B (hệ thống mail) lại không quan tâm đến việc xác thực nội dung (hoặc không có khả năng), đây là lổ hổng cho bên thứ 3 tận dụng.

Bảo vệ thương hiệu là vấn đề sống còn đối với mọi doanh nghiệp.
Bảo vệ thương hiệu là vấn đề sống còn đối với mọi doanh nghiệp.

Leave a Reply

Your email address will not be published. Required fields are marked *