Lừa Đảo Qua Tin Nhắn SMS (Smishing): Nhận Biết Và Phòng Tránh
Tìm hiểu cách nhận biết và tránh lừa đảo qua tin nhắn SMS (smishing). Bao gồm các kịch bản smishing phổ biến nhất, lý do SMS nguy hiểm hơn email, và cách bảo vệ bản thân.
· Truvizy Research Team · 8 min read
TL;DR
Smishing, lừa đảo qua tin nhắn SMS, đã tăng 300% và giờ gây ra hàng trăm triệu đô la thiệt hại mỗi năm. Tỷ lệ mở tin nhắn SMS cao hơn nhiều so với email, khiến nó trở thành kênh tấn công hiệu quả hơn. Hướng dẫn này bao gồm các kịch bản smishing phổ biến nhất, dấu hiệu nhận biết, và cách ứng phó khi nhận tin nhắn đáng ngờ.

Tin nhắn SMS có tỷ lệ mở 98%, so với chỉ 20% cho email. Kẻ lừa đảo đã nhận thấy điều này và đang khai thác kênh liên lạc cá nhân và đáng tin cậy này ngày càng tăng. Không giống email với tất cả những dấu hiệu đã được biết đến của lừa đảo, tin nhắn SMS trông giống những thông báo hàng ngày từ ngân hàng, công ty giao hàng, và cơ quan chính phủ, làm cho chúng đặc biệt khó phân biệt.
Kịch bản smishing hiệu quả nhất tận dụng hành động cấp bách, kiện tụng thẻ tín dụng, bưu kiện bị giữ, xác minh tài khoản sắp hết hạn. Sự kết hợp giữa độ tin cậy cao của SMS và ngôn ngữ khẩn cấp tạo ra điều kiện lý tưởng cho lừa đảo thành công.
Tại Sao Smishing Hiệu Quả Hơn Email Lừa Đảo
Những người đã học cách hoài nghi với email lừa đảo thường ít cảnh giác hơn với SMS. Chúng ta quen xử lý tin nhắn văn bản nhanh chóng, xem lướt và phản hồi không phải là hành vi cẩn thận, mà là thói quen hàng ngày. Kẻ lừa đảo thiết kế tin nhắn smishing để phù hợp với mẫu nhận thức này, khiến chúng trông như thông báo bình thường cho đến khi đã quá muộn.
Các Kịch Bản Smishing Phổ Biến Nhất
- <strong>Cảnh báo ngân hàng giả</strong>, 'Tài khoản của bạn đã bị hạn chế. Nhấp để xác minh' với liên kết đến trang web giả mạo ngân hàng
- <strong>Thông báo giao hàng giả</strong>, 'Bưu kiện của bạn đang được giữ. Trả $2 phí giao hàng' dẫn đến trang thu thập thẻ tín dụng
- <strong>Cảnh báo thuế/hoàn tiền giả</strong>, 'IRS nợ bạn hoàn tiền. Xác nhận thông tin ngân hàng ngay' hoặc 'Bạn sắp bị kiện về khoản thuế'
- <strong>Cảnh báo tài khoản giả</strong>, 'Có đăng nhập đáng ngờ vào tài khoản Netflix/Apple/Google của bạn. Nhấp để bảo mật'
- <strong>Giải thưởng giả</strong>, 'Bạn đã được chọn để nhận $500. Tuyên bố ngay trong 24 giờ'
- <strong>Tin nhắn sai số giả</strong>, 'Xin lỗi, tôi nhắn nhầm số. Bạn có biết bất kỳ cơ hội đầu tư tốt nào không?', Đây thường là mở đầu của pig butchering

Dấu Hiệu Nhận Biết
- Ngôn ngữ khẩn cấp tạo áp lực hành động ngay lập tức
- Số điện thoại người gửi không phải mã ngắn chính thức của công ty
- Liên kết rút gọn (bit.ly, tinyurl) ẩn URL đích thực
- URL không khớp tên miền chính thức của công ty
- Yêu cầu nhập thông tin cá nhân, thẻ tín dụng, hoặc mật khẩu
- Yêu cầu tải xuống ứng dụng từ liên kết không phải App Store/Google Play
Phải Làm Gì Khi Nhận Tin Nhắn Đáng Ngờ
- Không nhấp vào bất kỳ liên kết nào trong tin nhắn đáng ngờ
- Không trả lời số không xác định, điều này xác nhận số bạn đang hoạt động
- Xác minh bằng cách liên hệ trực tiếp với công ty qua kênh chính thức của họ
- Chuyển tiếp tin nhắn đáng ngờ đến 7726 (SPAM) để báo cáo
- Chặn số gửi tin nhắn lừa đảo
Biện Pháp Bảo Vệ
Thiết lập những biện pháp bảo vệ này: Bật lọc spam tin nhắn trong cài đặt điện thoại (iOS có 'Filter Unknown Senders', Android có tính năng tương tự). Không chia sẻ số điện thoại trên các trang web công khai hoặc mạng xã hội. Xem xét sử dụng số điện thoại ảo (Google Voice hoặc tương tự) cho đăng ký trực tuyến. Đọc hướng dẫn phát hiện lừa đảo email vì nhiều kỹ thuật giống nhau áp dụng cho cả SMS.
Bạn nhận tin nhắn SMS từ 'Ngân hàng XYZ' nói tài khoản của bạn bị tạm khóa và bạn cần nhấp liên kết để xác minh. Bạn nên làm gì?
- Nhấp liên kết vì tin nhắn trông như từ ngân hàng của bạn
- Trả lời tin nhắn để hỏi thêm chi tiết
- Không nhấp liên kết, mở ứng dụng ngân hàng chính thức hoặc gọi số trên thẻ ngân hàng để xác minh
- Chờ xem có tin nhắn khác không
Answer: Không bao giờ sử dụng liên kết trong tin nhắn không mong đợi để truy cập tài khoản ngân hàng. Ngân hàng thực sự sẽ không yêu cầu bạn xác minh qua liên kết SMS. Luôn sử dụng ứng dụng chính thức hoặc gọi số chính thức để kiểm tra trạng thái tài khoản.
Nhận được tin nhắn đáng ngờ với liên kết? Dán URL vào Truvizy để kiểm tra ngay.

Phát Hiện Lừa Đảo Qua Email — Kỹ thuật tương tự áp dụng cho cả email và SMS
Ngăn Chặn Đánh Cắp Danh Tính — Bảo vệ thông tin cá nhân của bạn từ tất cả các nguồn
FAQ
Nhấp vào liên kết trong tin nhắn SMS đáng ngờ có thể gây hại không ngay cả khi tôi không nhập bất kỳ thông tin nào?
Có thể, mặc dù rủi ro thấp hơn so với nhập thông tin. Một số trang web độc hại cố gắng khai thác lỗ hổng trình duyệt khi tải trang, hoặc có thể cài đặt cookie theo dõi. Điện thoại Android có xu hướng dễ bị tổn thương hơn iOS với loại tấn công này. Tốt nhất là không nhấp vào liên kết từ số không quen.
Cách tốt nhất để xác minh xem tin nhắn có phải là từ công ty thật không?
Không bao giờ sử dụng số hoặc liên kết trong tin nhắn. Thay vào đó, điều hướng trực tiếp đến trang web chính thức của công ty hoặc gọi số điện thoại trên thẻ ngân hàng hoặc trang web chính thức. Tìm kiếm xem công ty có gửi tin nhắn SMS không và kiểm tra mã ngắn hoặc số người gửi chính thức của họ.
Làm thế nào để báo cáo tin nhắn smishing?
Chuyển tiếp tin nhắn đến 7726 (SPAM), đây là số miễn phí để báo cáo tin nhắn rác được nhà cung cấp dịch vụ điện thoại hỗ trợ. Báo cáo với FTC tại reportfraud.ftc.gov. Nếu liên quan đến ngân hàng hoặc tổ chức tài chính giả, hãy báo cáo với tổ chức thực sự đó.
Điện thoại tôi có thể bị hack chỉ qua tin nhắn SMS không?
Qua lỗ hổng 'zero-click' trong một số phần mềm, về mặt lý thuyết là có thể, nhưng điều này hiếm gặp và thường liên quan đến phần mềm gián điệp cấp nhà nước tinh vi, không phải smishing thông thường. Rủi ro thực tế lớn hơn nhiều là bị lừa nhập thông tin vào trang web giả mạo.