Reading Time: 9 minutes

Email phishing ngày nay không còn là những thư rác lỗi chính tả, bố cục kém như trước. Tin tặc hiện sử dụng AI để viết nội dung chuyên nghiệp, giả mạo tên miền gần giống thật, thậm chí chèn logo, chữ ký công ty – khiến cả những người có kinh nghiệm về công nghệ cũng có thể trở thành nạn nhân.

Những con số mới nhất cho thấy mức độ nghiêm trọng:

• 3,7 tỷ email lừa đảo bị Google chặn mỗi ngày.
• 26 tỷ USD thiệt hại toàn cầu do hình thức lừa đảo qua email doanh nghiệp (Business Email Compromise – BEC) chỉ trong giai đoạn 2019–2024 (theo FBI IC3).

Từ cá nhân đến doanh nghiệp, ai cũng có thể trở thành mục tiêu. Vì vậy, việc hiểu rõ bản chất của email phishing và cách nhận biết dấu hiệu lừa đảo là điều tối quan trọng để tự bảo vệ mình trong thế giới số.

Email phishing là gì? Vì sao nó nguy hiểm?

Để bảo vệ mình khỏi các cuộc tấn công qua email, bạn cần hiểu rõ bản chất của phishing – không chỉ là một chiêu trò lừa đảo đơn thuần, mà là một trong những hình thức tấn công mạng tinh vi và phổ biến nhất hiện nay.

Email phishing là hành vi gửi email giả mạo để đánh lừa người nhận, khiến họ tiết lộ thông tin nhạy cảm (như mật khẩu, mã OTP, số thẻ tín dụng) hoặc thực hiện hành động gây thiệt hại (như tải file độc hại, chuyển tiền).

Kẻ tấn công thường đóng giả:

• Ngân hàng, tổ chức tài chính.
• Nền tảng thương mại điện tử (Shopee, Lazada, Amazon…).
• Cấp trên, đối tác, đồng nghiệp trong doanh nghiệp.
• Cơ quan nhà nước hoặc nhà cung cấp dịch vụ quen thuộc.

Cảnh báo: Hình thức lừa đảo giao hàng Shopee cực kỳ tinh vi.

Điều khiến phishing trở nên nguy hiểm là gì?

1. Giả mạo cực kỳ thuyết phục: Email được soạn chỉnh chu, có logo, chữ ký, ngôn ngữ chuyên nghiệp – rất khó phân biệt thật giả nếu chỉ nhìn lướt qua.
2. Đánh vào yếu tố tâm lý: Kẻ tấn công khai thác sự sợ hãi (“tài khoản bạn sắp bị khóa”), sự tò mò (“bạn trúng thưởng”) hoặc tính cấp bách (“cần phản hồi trong 30 phút”) để ép bạn hành động theo kịch bản đã dựng sẵn.
3. Thiệt hại khó kiểm soát: Một cú click sai có thể khiến bạn mất toàn bộ dữ liệu, tài khoản bị chiếm đoạt, hoặc doanh nghiệp bị lộ thông tin nội bộ.

5 chiêu trò lừa đảo qua email phổ biến nhất 2025

Mỗi kịch bản dưới đây đều nhắm vào một “điểm yếu” tâm lý khác nhau. Vì vậy bạn cần nắm rõ để luôn cảnh giác cao độ trước các chiêu trò ngày càng tinh vi của những kẻ tấn công.

1. Giả mạo ngân hàng “Tài khoản của bạn đang bị khóa”

Bạn nhận được một email với tiêu đề khẩn cấp như “Xác minh thông tin tài khoản” hoặc “Ngăn chặn truy cập trái phép”, gửi từ một địa chỉ trông rất giống thật – ví dụ: [email protected].

Email yêu cầu bạn click vào một đường dẫn để “kiểm tra tài khoản”, nhưng thực chất đó là một trang giả mạo được tạo để thu thập thông tin đăng nhập của bạn.

Điểm nhận biết:

• Tên miền lạ, dài bất thường hoặc sai chính tả nhẹ.
• Nội dung gây lo sợ, đe dọa khóa tài khoản nếu không phản hồi gấp.

2. Cảnh báo “Chưa thanh toán đơn hàng” từ sàn TMĐT

Kẻ lừa đảo gửi một email có tiêu đề như “Đơn hàng Shopee #45876341 chưa thanh toán”, kèm theo một đường link “xác nhận đơn hàng”.

Nếu bạn click vào link và nhập thông tin tài khoản, hacker sẽ chiếm quyền kiểm soát tài khoản và có thể thay đổi mật khẩu, địa chỉ nhận hàng hoặc trích xuất thông tin cá nhân.

Điểm nhận biết:

• Giao diện trang web rất giống thật (clone 99%), nhưng URL có điểm sai lệch nhỏ.
• Yêu cầu đăng nhập lại, ngay cả khi bạn đã đăng nhập trình duyệt.

Xem thêm: Cảnh giác trước chiêu trò lừa đảo shipper giao hàng

3. Tuyển dụng hấp dẫn – “Offer lương 35 triệu/tháng”

Bạn nhận được một lời mời làm việc hấp dẫn, vị trí “Trưởng phòng Marketing” với mức lương khởi điểm 35 triệu/tháng. Email đính kèm một file .docm, .html hoặc .pdf có yêu cầu mở để “xem chi tiết mô tả công việc”.

Trên thực tế, file này chứa mã độc (macro hoặc script) được thiết kế để cài phần mềm gián điệp hoặc mở cửa hậu vào máy tính của bạn.

Điểm nhận biết:

• Nội dung quá tốt để là sự thật.
• File đính kèm có định dạng bất thường hoặc yêu cầu bật macro.

4. Giả danh sếp – yêu cầu chuyển tiền gấp (BEC)

Đây là hình thức Business Email Compromise (BEC), trong đó hacker chiếm quyền hoặc giả mạo email của sếp để gửi chỉ đạo khẩn cho bộ phận kế toán:

“Chuyển ngay 400 triệu cho đối tác theo hợp đồng. Deadline: 15h hôm nay.”

Do nội dung được viết đúng giọng điệu và ngữ cảnh công việc, nhân viên rất dễ tin tưởng và chuyển tiền mà không xác nhận lại.

Điểm nhận biết:

• Email gửi từ tên sếp quen thuộc nhưng địa chỉ hơi khác (VD: [email protected] thay vì [email protected]).
• Không có quy trình xác minh hoặc yêu cầu qua kênh chính thức khác (Zalo, gọi điện…).

5. “Biên lai điện tử” đính kèm – file .zip chứa malware

Email mạo danh các cơ quan như điện lực, viễn thông, bưu điện, thông báo “hóa đơn tháng 6/2025” và đính kèm file nén có tên kiểu như Invoice_June2025.zip.

Khi mở file, bên trong có thể chứa .exe hoặc phần mềm gián điệp, mã độc tống tiền.

Điểm nhận biết:

• File đính kèm định dạng không phổ biến cho hóa đơn (zip, exe).
• Nội dung sơ sài, thiếu chữ ký điện tử hoặc thông tin liên hệ cụ thể.

Checklist 10 dấu hiệu nhận biết email lừa đảo

Ngay khi nhận email khả nghi, hãy kiểm tra 10 yếu tố này nhé:

1. Địa chỉ người gửi lạ – domain dài, sai chính tả: @viettcombank.com (thiếu “o”).
2. Subject giật gân, đe dọa: “Khẩn!”, “Tài khoản bạn bị khóa ngay lập tức!”.
3. Lỗi chính tả, ngữ pháp – dấu câu lộn xộn, font chữ không đồng nhất.
4. Link ẩn – hiển thị một URL, hover lại thấy URL khác.
5. File đính kèm hiếm gặp – .exe, .js, .scr, .zip bất thường.
6. Không cá nhân hóa – mở đầu “Dear Customer” chứ không ghi tên thật.
7. Thông tin xưng danh mập mờ – “Phòng Chăm sóc Khách hàng” nhưng không ghi công ty.
8. Yêu cầu thông tin nhạy cảm – mật khẩu, OTP, mã PIN.
9. Không có chữ ký email hợp lệ – thiếu số điện thoại, địa chỉ liên hệ.
10. Phản hồi gấp gáp – “Trả lời trong 30 phút”, “Hết hạn trong 1 giờ”.

Đã lỡ click vào email lừa đảo, phải làm sao?

Đừng hoảng loạn. Quan trọng là bạn cần hành động đúng và càng nhanh càng tốt để ngăn chặn rủi ro lan rộng.

1. Ngắt kết nối mạng ngay lập tức nếu bạn đã tải file hoặc click link đáng ngờ.
2. Không đăng nhập tiếp vào bất kỳ tài khoản nào.
3. Thông báo cho bộ phận IT nội bộ nếu bạn dùng email công ty.
4. Thay đổi mật khẩu của các tài khoản quan trọng (email, ngân hàng, mạng xã hội).
5. Quét toàn bộ thiết bị bằng phần mềm antivirus uy tín.
6. Báo cáo email lừa đảo cho nhà cung cấp email (Gmail, Outlook…) hoặc Trung tâm Giám sát An toàn Không gian mạng quốc gia Việt Nam (NCSC).
7. Theo dõi giao dịch tài chính hoặc dữ liệu cá nhân để phát hiện bất thường.

Lưu ý: Nếu email đến từ một địa chỉ nội bộ đã bị compromise, khả năng cao toàn bộ tổ chức đang bị tấn công dạng BEC. Hãy báo cáo gấp cho người có thẩm quyền để cô lập email và khóa tài khoản bị chiếm quyền.

Làm sao để phòng tránh email phishing?

Dưới đây là 7 phương pháp phòng tránh phishing hiệu quả – dễ triển khai – lâu dài, dành cho cả người dùng cá nhân lẫn doanh nghiệp.

1. Bật xác thực hai bước (2FA) cho email và các tài khoản quan trọng

Không quan trọng mật khẩu bạn mạnh cỡ nào – nếu bị lộ (qua keylogger, data leak hoặc phishing), kẻ gian vẫn dễ dàng chiếm quyền truy cập.

Xác thực hai bước (2FA) thêm một lớp bảo mật phụ, yêu cầu bạn nhập mã OTP từ điện thoại, ứng dụng Authenticator hoặc khoá bảo mật vật lý (YubiKey) sau khi đăng nhập.

Lợi ích:

• Ngay cả khi bị lộ mật khẩu, kẻ tấn công vẫn không đăng nhập được.
• Ngăn chặn gần như toàn bộ trường hợp chiếm quyền email do phishing.

Mẹo nhỏ:

• Ưu tiên dùng ứng dụng 2FA như Google Authenticator, Authy thay vì SMS (dễ bị hack SIM).
• Với doanh nghiệp, triển khai 2FA bắt buộc qua chính sách bảo mật nội bộ.

2. Sử dụng trình quản lý mật khẩu (password manager)

Dùng chung một mật khẩu cho nhiều tài khoản = mở cửa mời hacker vào toàn hệ thống.

Password manager (như Locker, Bitwarden, 1Password…) giúp tạo, lưu và tự động điền các mật khẩu mạnh, khác nhau cho mỗi tài khoản.

Lợi ích:

• Không cần nhớ nhiều mật khẩu.
• Ngăn chặn tình huống “email bị lộ kéo theo tài khoản ngân hàng, mạng xã hội cũng bay theo”.

Lưu ý:

• Chọn trình quản lý có mã hóa end-to-end.
• Với doanh nghiệp: dùng password manager nhóm (team plan) để kiểm soát quyền truy cập của nhân viên.

3. Đào tạo định kỳ về phishing cho toàn bộ nhân viên

Security awareness training là hình thức đào tạo nhận diện email phishing định kỳ và các hình thức lừa đảo phổ biến trên không gian mạng, giúp nhân sự không bị “click theo bản năng”.

Lợi ích:

• Giảm 70% nguy cơ bị phishing trong doanh nghiệp sau 3–6 tháng triển khai (theo báo cáo của KnowBe4).
• Phát hiện lỗ hổng nhận thức trước khi sự cố thật xảy ra.

Cách thực hiện:

• Gửi email giả lập phishing (safe) → ai click sẽ nhận cảnh báo & gợi ý cải thiện.
• Làm quiz hàng tháng, thưởng nhỏ nếu vượt qua điểm tiêu chuẩn.
• Tổ chức workshop ngắn (30–45 phút/tháng), có kèm ví dụ thực tế.

4. Cài công cụ lọc và chặn email phishing từ đầu vào

Không phải email nào vào inbox cũng đáng tin. Dù là Gmail hay Outlook, các công cụ lọc mặc định vẫn để sót hàng loạt email giả mạo.

Giải pháp:

• Cài extension trên trình duyệt như uBlock Origin, Bitdefender TrafficLight để ngăn chặn các domain nguy hiểm khi click link.
• Sử dụng dịch vụ phát hiện email giả mạo được tích hợp với hệ thống mail nội bộ để phân tích nội dung, đánh cờ đỏ nếu phát hiện phishing.

Với doanh nghiệp: Nên triển khai hệ thống email security gateway chuyên dụng (vd: Proofpoint, Barracuda, hoặc tích hợp bảo mật với Google Workspace, Microsoft 365).

5. Sử dụng email theo domain riêng có thiết lập SPF, DKIM, DMARC

SPF, DKIM, và DMARC là 3 giao thức bảo vệ email khỏi bị giả mạo tên miền. Nếu doanh nghiệp bạn không bật các cơ chế này, bất kỳ ai cũng có thể gửi email giả danh từ địa chỉ “@yourcompany.com”!

🛠 Giải pháp:

• Thiết lập SPF để xác định server nào được phép gửi mail từ domain của bạn.
• Thiết lập DKIM để ký nội dung email bằng khóa bảo mật.
• Bật DMARC để policy kiểm tra SPF + DKIM và báo cáo khi có email giả mạo.

Check nhanh: Dùng tool như https://mxtoolbox.com/ để kiểm tra domain bạn đã cài SPF/DKIM/DMARC chưa.

6. Hạn chế chia sẻ email công khai trên mạng

Việc để email cá nhân hay email công ty “vô tư” trên trang web, Facebook cá nhân hoặc diễn đàn là bạn đang vô tình tạo cơ hội cho bot spam và hacker gửi các tin nhắn lừa đảo.

Lời khuyên:

• Nếu bắt buộc hiển thị email, hãy che dạng: contact [at] domain [dot] com để tránh bị crawler thu thập.
• Sử dụng form liên hệ thay vì để email công khai.
• Tránh click “đăng ký nhận tin” ở các website lạ.

7. Theo dõi danh sách cảnh báo phishing từ các nguồn tin chính thống

Các hình thức tấn công phishing luôn biến hóa khôn lường từ giả mạo ngân hàng sang giả tuyển dụng, từ email “Công ty điện lực” sang email “Văn phòng thuế”. Thường xuyên cập nhật các thủ đoạn lừa đảo mới nhất giúp bạn có thể nhanh chóng phát hiện mối nguy tiềm ẩn.

Các nguồn uy tín bạn nên theo dõi để cập nhật tin tức:

• Trung tâm Giám sát An toàn Không gian mạng quốc gia (NCSC): https://ncsc.gov.vn
• Blog CyStack, Locker: cập nhật các mẫu phishing và scam phổ biến nhất.
• Cảnh báo từ Google/Gmail nếu phát hiện hoạt động bất thường trên tài khoản.

Nếu công ty của bạn đang muốn triển khai bảo mật email nội bộ, hãy liên hệ CyStack để được tư vấn miễn phí về giải pháp phù hợp với quy mô & ngân sách hiện có.

Lời kết

Việc nắm vững cách nhận biết email lừa đảo là bước quan trọng để bảo vệ bạn và tổ chức khỏi các rủi ro về an ninh mạng. Bằng cách nhận diện đúng các dấu hiệu bất thường, áp dụng các biện pháp phòng tránh và cập nhật liên tục các hình thức tấn công mới, bạn có thể giảm thiểu đáng kể nguy cơ bị lừa đảo qua email.

Để chủ động hơn trong việc phòng ngừa, bạn có thể tham khảo thêm các công cụ và giải pháp bảo mật tại website của Locker – nơi cung cấp các công nghệ giúp nhận diện và ngăn chặn các mối đe dọa ngay từ đầu.

Bào viết cùng chủ đề:

• Cách bảo mật Zalo chống bị
• Cách bảo mật điện thoại android
• Lộ thông tin bảo hiểm xã hội có sao không?