Email spoofing và gian lận BEC là gì?

Email spoofing có nghĩa là tên người gửi hoặc địa chỉ email bị giả mạo để tin nhắn trông có vẻ quen thuộc. Tin nhắn có thể trông như đến từ chủ doanh nghiệp của bạn, kế toán, một nhà cung cấp, ngân hàng hoặc thậm chí là tên miền công ty của chính bạn.

Business email compromise, hay gian lận BEC, là một dạng lừa đảo rộng hơn. Kẻ phạm tội dùng email, và đôi khi là tin nhắn SMS hoặc cuộc gọi điện thoại, để giả mạo một người mà đội ngũ của bạn tin tưởng. Mục tiêu thường là nhận lệnh chuyển khoản, thay đổi chỉ dẫn thanh toán, đánh cắp các tệp nhạy cảm, hoặc lấy mã đăng nhập.

Không phải mọi email bị giả mạo đều dẫn đến gian lận BEC, nhưng spoofing là một trong những công cụ phổ biến. Một số cuộc tấn công BEC không sử dụng mánh kỹ thuật nào cả. Chúng có thể dùng địa chỉ trông giống y hệt, một hộp thư bị xâm nhập, hoặc một tin nhắn được gửi đúng thời điểm trong lúc trả lương, lập hóa đơn hoặc một dự án thực tế.

Với một doanh nghiệp nhỏ, điểm cần nhớ theo ngôn ngữ đơn giản là rõ ràng. Nếu một email tạo cảm giác khẩn cấp liên quan đến tiền, thay đổi tài khoản, bảng lương, mẫu thuế, thẻ quà tặng hoặc các tệp bí mật, hãy chậm lại và xác minh theo cách khác.

Những trò lừa đảo này hiệu quả vì chúng nhắm vào thói quen làm việc bình thường của doanh nghiệp. Nhóm của bạn bận rộn. Con người thường phản hồi nhanh. Hóa đơn, cập nhật thanh toán và các yêu cầu khẩn cấp rất phổ biến, nên một tin nhắn giả có thể hòa vào dòng chảy công việc.

Hậu quả không chỉ là tài chính. Sự cố BEC có thể làm lộ hồ sơ nhân viên, thông tin khách hàng, hợp đồng, chi tiết ngân hàng hoặc tài liệu thuế. Nó cũng có thể làm gián đoạn công việc trong lúc đội ngũ của bạn tìm hiểu chuyện gì xảy ra và ai cần được thông báo.

Doanh nghiệp nhỏ và vừa thường là mục tiêu phổ biến vì họ hay có nhân sự tinh gọn và ít bước phê duyệt chính thức hơn. Doanh nghiệp gia đình và các công ty đang tăng trưởng có thể dựa vào sự tin tưởng và quyết định nhanh—điều này tốt cho tốc độ, nhưng có thể rủi ro nếu không có quy tắc xác minh rõ ràng.

Đây là một lý do nhiều chủ doanh nghiệp quan tâm đến dịch vụ IT được quản lý (managed IT). Managed services provider, hay MSP, là một công ty bên ngoài hỗ trợ quản lý và duy trì công nghệ của doanh nghiệp. NodeBridge IT không thực hiện công việc đó. Chúng tôi cung cấp kiến thức giáo dục chung và giúp bạn tìm một nhà cung cấp nếu bạn muốn có hỗ trợ từ bên ngoài.

Đôi khi dấu hiệu giả mạo rất rõ. Tin nhắn có thể có lỗi ngữ pháp, cách diễn đạt kỳ lạ hoặc một địa chỉ không bình thường. Nhưng nhiều email bị spoofing lại được soạn khá chỉn chu, dùng tên thật, chữ ký, logo và các đoạn hội thoại đang diễn ra được sao chép từ những email cũ.

Một vài ví dụ thường gặp là: tin nhắn có vẻ như đến từ chủ doanh nghiệp yêu cầu thẻ quà tặng; một hóa đơn kèm “thông tin chuyển khoản ngân hàng đã cập nhật”; yêu cầu thay đổi hình thức nhận tiền trực tiếp (direct deposit) trong trả lương; hoặc một ghi chú từ nhà cung cấp đề nghị bộ phận phải thu/phải trả (accounts payable) dùng một tài khoản thanh toán mới.

Ở những trường hợp khác, kẻ phạm tội đăng ký một tên miền giống y hệt (lookalike domain). Ví dụ, chúng có thể thay đổi một chữ cái, thêm dấu gạch ngang, hoặc dùng “.co” thay vì “.com”. Với một nhân viên đang bận rộn, điều đó có thể trông đủ thật.

Một số cuộc tấn công cũng liên quan đến việc chiếm quyền hộp thư. Tức là kẻ xấu đã xâm nhập vào một tài khoản email có thật và gửi email từ đó. Đây là một lý do khiến một nhà cung cấp tốt có thể nói về multi-factor authentication (MFA)—tức là bước đăng nhập thứ hai, ngoài việc chỉ dùng mật khẩu.

Bảo vệ tốt thường là sự kết hợp giữa các quy tắc quy trình đơn giản và các kiểm soát kỹ thuật cơ bản. Phần “kinh doanh” quan trọng không kém phần “công nghệ”. Nếu đội của bạn biết lúc nào cần dừng lại và cách xác minh các yêu cầu, bạn sẽ giảm khả năng mắc một sai lầm tốn kém.

Một thiết lập vững thường bao gồm các bước phê duyệt bằng văn bản cho chuyển khoản, thay đổi thông tin ngân hàng của nhà cung cấp, thay đổi liên quan đến trả lương, và các yêu cầu về mẫu thuế hoặc các tệp nhạy cảm. Đồng thời có một quy tắc đơn giản: không ai được phê duyệt việc chuyển tiền chỉ bằng email.

Về mặt kỹ thuật, nhà cung cấp có thể rà soát cài đặt bảo mật email, bảo vệ khi người dùng đăng nhập, tình trạng thiết bị và hệ thống cảnh báo. Họ cũng có thể hỗ trợ với bảo vệ cho thiết bị đầu cuối (endpoint protection). Endpoint là bất kỳ thiết bị của người dùng như laptop, máy tính để bàn hoặc điện thoại. Bạn cũng có thể nghe đến EDR, viết tắt của endpoint detection and response—một công cụ theo dõi các thiết bị để phát hiện hoạt động đáng ngờ và hỗ trợ nhà cung cấp điều tra các sự cố.

Nếu bạn đang so sánh các lựa chọn hỗ trợ, việc hiểu những điều cơ bản trước sẽ giúp ích. Bạn có thể xem thêm các câu trả lời theo ngôn ngữ dễ hiểu trong answers hub của chúng tôi hoặc tìm hiểu nhà cung cấp thường cung cấp gì ở trang dịch vụ.

Nếu bạn muốn được hỗ trợ để giảm rủi ro bị spoofing và gian lận BEC, hãy hỏi các câu hỏi thực tế. Bạn không cần phải am hiểu kỹ thuật. Một nhà cung cấp tốt nên giải thích rõ ràng, nói cho bạn biết họ làm gì, họ không làm gì, và phần nào cần đội ngũ của bạn tham gia.

Hãy hỏi họ xử lý bảo mật email, bảo vệ khi đăng nhập vào tài khoản, nâng cao nhận thức an ninh cho nhân viên, và cảnh báo đăng nhập đáng ngờ. Hãy hỏi họ khuyến nghị gì cho phê duyệt tài chính và thay đổi thanh toán của nhà cung cấp. Hãy hỏi họ hỗ trợ cho nhân sự làm việc từ xa và các thiết bị di động như thế nào.

Bạn cũng có thể hỏi về các công cụ giám sát và phản hồi. RMM là remote monitoring and management—phần mềm mà nhà cung cấp sử dụng để theo dõi tình trạng hệ thống và thực hiện các tác vụ hỗ trợ định kỳ. Patching là việc giữ phần mềm và hệ điều hành luôn được cập nhật các bản vá để sửa lỗi và cập nhật bảo mật. Nếu họ nhắc đến thỏa thuận mức dịch vụ (service-level agreement), hay SLA, thì đó là tài liệu viết mô tả các mục tiêu phản hồi và phạm vi hỗ trợ.

Không có nhà cung cấp nào trung thực lại cam kết loại bỏ hoàn toàn rủi ro mất kết nối hoặc một mạng không thể bị tấn công. Điều bạn cần là một nhà cung cấp rõ ràng, có tổ chức và thực tế trong việc giảm rủi ro, tăng khả năng nhìn thấy (visibility), và giúp đội ngũ của bạn hình thành các thói quen an toàn hơn.