Phishing và Business Email Compromise: Nhận diện và phòng chống lừa đảo qua email trong doanh nghiệp

Kẻ tấn công chuyên nghiệp hiếm khi bắt đầu bằng việc 'bẻ khóa' firewall. Cách rẻ hơn, nhanh hơn và hiệu quả hơn nhiều: gửi một email đủ thuyết phục để ai đó trong công ty tự mở cửa — nhập mật khẩu vào trang giả mạo, mở file đính kèm, hoặc chuyển khoản theo 'chỉ đạo của sếp'. Theo báo cáo của FBI IC3, riêng hình thức Business Email Compromise đã gây thiệt hại hàng tỷ USD mỗi năm trên toàn cầu — và các doanh nghiệp Việt Nam, đặc biệt là các công ty có giao dịch quốc tế, ngày càng xuất hiện nhiều trong danh sách nạn nhân.

Từ phishing đại trà đến BEC: các hình thái cần biết

Phishing đại trà và spear phishing

Phishing đại trà gửi hàng loạt, nội dung chung chung (thông báo khóa tài khoản, trúng thưởng, cập nhật mật khẩu), trông cậy vào xác suất. Spear phishing nhắm mục tiêu cụ thể: kẻ tấn công nghiên cứu trước về công ty và cá nhân qua website, LinkedIn, mạng xã hội — email vì thế nhắc đúng tên dự án, đúng tên đồng nghiệp, đúng ngữ cảnh công việc. Nhân viên càng cấp cao, càng có quyền duyệt chi, càng dễ là mục tiêu.

Business Email Compromise — khi mục tiêu là tiền

BEC không cần mã độc, không cần lỗ hổng kỹ thuật — chỉ cần sự tin tưởng. Ba kịch bản phổ biến nhất:

• Giả mạo lãnh đạo (CEO fraud). Kế toán nhận email 'từ CEO' yêu cầu chuyển khoản gấp cho một thương vụ bí mật, nhấn mạnh tính khẩn cấp và yêu cầu không trao đổi với ai. Địa chỉ gửi là domain nhái (ceo@congty-vn.com thay vì @congty.vn) hoặc chính tài khoản email lãnh đạo đã bị chiếm.
• Chen vào luồng hóa đơn (invoice fraud). Kẻ tấn công chiếm được hộp thư của doanh nghiệp hoặc của đối tác, âm thầm đọc các thread trao đổi hợp đồng trong nhiều tuần. Đến kỳ thanh toán, hắn gửi email *tiếp nối đúng thread đang trao đổi* với thông báo 'công ty vừa đổi tài khoản ngân hàng'. Đây là kịch bản gây thiệt hại lớn nhất với doanh nghiệp xuất nhập khẩu Việt Nam — tiền chuyển đi quốc tế gần như không thể thu hồi.
• Chuyển hướng lương (payroll diversion). Email giả danh nhân viên gửi cho phòng nhân sự xin đổi tài khoản nhận lương sang 'tài khoản mới'.

Các biến thể mới: QR, tin nhắn và giọng nói AI

Phishing không còn giới hạn trong email: quishing dùng mã QR trong email/tài liệu in để qua mặt bộ lọc (điện thoại cá nhân quét mã thường không có lớp bảo vệ của công ty); smishing qua tin nhắn SMS/Zalo giả danh ngân hàng, cơ quan thuế; và đáng lo ngại nhất — deepfake giọng nói và video: kẻ tấn công dùng AI tái tạo giọng lãnh đạo để gọi điện 'xác nhận' chính giao dịch lừa đảo. Nguyên tắc xác minh qua kênh độc lập (trình bày bên dưới) là lớp phòng thủ duy nhất đáng tin cậy trước deepfake.

Dấu hiệu nhận biết

• Tạo áp lực thời gian — 'trong hôm nay', 'sếp đang họp không nghe máy được', 'trễ là mất hợp đồng'. Khẩn cấp là công cụ tâm lý số một của kẻ lừa đảo.
• Yêu cầu bí mật hoặc phá vỡ quy trình — 'đừng nói với ai', 'lần này bỏ qua bước duyệt'. Yêu cầu càng đặc biệt, càng phải xác minh.
• Thay đổi thông tin thanh toán — bất kỳ email nào thông báo đổi số tài khoản, đổi ngân hàng đều phải được coi là đáng ngờ cho đến khi xác minh xong.
• Địa chỉ gửi gần giống nhưng không chính xác — thay chữ (rn thay m), thêm ký tự (cong-ty thay congty), đuôi miền lạ (.co thay .com). Trên điện thoại, nơi chỉ hiển thị tên người gửi, điều này đặc biệt khó phát hiện.
• Liên kết và tệp đính kèm bất thường — đường dẫn không khớp với văn bản hiển thị (di chuột lên để kiểm tra trước khi bấm), file đính kèm dạng .html, .iso, .zip có mật khẩu từ người gửi lạ.

Lớp phòng thủ kỹ thuật cho tổ chức

• SPF, DKIM và DMARC. Ba chuẩn xác thực email này ngăn kẻ tấn công gửi email giả mạo *chính domain của bạn* — bảo vệ cả nhân viên nội bộ lẫn khách hàng, đối tác nhận email nhân danh công ty. Triển khai DMARC ở chế độ giám sát trước, sau đó nâng dần lên quarantine/reject. Đây là việc cấu hình một lần, chi phí gần bằng không, hiệu quả lâu dài.
• MFA kháng phishing cho email và hệ thống quan trọng. Mã OTP có thể bị lừa nhập vào trang giả mạo; khóa bảo mật FIDO2/passkey thì không — chúng từ chối xác thực với domain giả về mặt kỹ thuật. Tối thiểu, bật MFA cho toàn bộ hộp thư doanh nghiệp.
• Đánh dấu email từ bên ngoài. Banner '[EXTERNAL]' trên email ngoài tổ chức giúp nhân viên lập tức nghi ngờ email 'từ CEO' nhưng gắn nhãn external.
• Quy tắc cảnh báo trên hệ thống email. Cảnh báo khi có quy tắc tự động chuyển tiếp email ra ngoài được tạo (dấu hiệu kinh điển của hộp thư bị chiếm), khi đăng nhập từ vị trí bất thường, khi domain nhái tên công ty mới được đăng ký.

Lớp phòng thủ quy trình và con người

• Xác minh qua kênh độc lập (out-of-band). Quy tắc quan trọng nhất bài viết này: mọi yêu cầu thay đổi thông tin thanh toán hoặc chuyển khoản bất thường phải được xác minh bằng cách gọi điện theo số điện thoại đã biết từ trước (lưu trong hợp đồng, danh bạ công ty) — tuyệt đối không gọi theo số ghi trong chính email đáng ngờ, không xác nhận bằng cách trả lời email đó.
• Nguyên tắc bốn mắt cho giao dịch lớn. Mọi khoản chuyển vượt ngưỡng nhất định cần hai người phê duyệt độc lập. Kẻ lừa đảo phải đánh lừa được hai người thay vì một.
• Đào tạo bằng tình huống thật, diễn tập định kỳ. Buổi đào tạo lý thuyết mỗi năm một lần gần như vô dụng. Hiệu quả hơn: các chiến dịch phishing mô phỏng định kỳ, dùng kết quả để đào tạo tiếp (không phải để kỷ luật), và chia sẻ các email lừa đảo thật mà công ty nhận được.
• Văn hóa báo cáo không đổ lỗi. Nhân viên lỡ bấm link phải cảm thấy an toàn khi báo cáo ngay lập tức. Mỗi phút trì hoãn vì sợ bị khiển trách là một phút kẻ tấn công có thêm. Nguyên tắc: người báo cáo sớm là người giúp công ty, bất kể họ có lỡ bấm hay không.

Đã lỡ bấm link hoặc nhập mật khẩu? 5 việc trong 30 phút đầu

1. Báo ngay cho IT/bộ phận bảo mật — đây là việc đầu tiên, không phải việc cuối cùng sau khi đã 'tự xử lý'.
2. Đổi mật khẩu tài khoản bị ảnh hưởng ngay lập tức, và mọi tài khoản khác dùng chung mật khẩu đó.
3. Thu hồi toàn bộ phiên đăng nhập (sign out all devices) — đổi mật khẩu không tự động ngắt các phiên kẻ tấn công đã mở.
4. Kiểm tra quy tắc chuyển tiếp và ủy quyền hộp thư — kẻ tấn công thường cài quy tắc tự động chuyển email đến hộp thư của chúng để duy trì theo dõi sau khi bạn đổi mật khẩu.
5. Nếu đã chuyển tiền: liên hệ ngân hàng ngay để yêu cầu dừng/thu hồi giao dịch — tốc độ là yếu tố quyết định — đồng thời báo cơ quan công an.