Blog

Cách Nhận Biết Trang Web Lừa Đảo – Phần 1

Dạo gần đây, tình trạng lừa đảo xuất hiện càng nhiều gây hậu quả nặng nề về tinh thần lẫn tài chính của nhiều người. Chính vì vậy, Hiếu PC cùng với nhóm Chống Lừa Đảo quyết định cho ra mắt chuỗi Series: “Nhận Biết Lừa Đảo” vào mỗi Chủ Nhật hàng tuần vào lúc 7 giờ tối tại kênh Youtube 7onez. Ở phần 1, tụi mình sẽ hướng dẫn mọi người cách nhận biết trang web lừa đảo, trang web giả có nguy cơ đánh cắp tài sản và thông tin cá nhân thông qua các dấu hiệu như: đường link, nội dung, thông báo trên website…

Cách Nhận Biết Trang Web Lừa Đảo
Phần 1: Cách Nhận Biết Trang Web Lừa Đảo

1. Cách nhận biết trang web lừa đảo nhanh qua đường dẫn link độc hại:

Đầu tiên, mọi người hãy kiểm tra lại địa chỉ web. Đây là phương pháp nhanh chóng nhất trong các cách nhận biết trang web lừa đảo. Cảnh giác trước các đường dẫn có dấu hiệu sau đây:

  • Lỗi chính tả: Sai khác, thiếu hoặc thừa một vài ký tự, hoặc thay thế một vài ký tự với ký tự khác gần giống (như “l” thay bằng “1”). Ví dụ: shopeepv.com, fptshopvn.com
  • Tên miền có tiền tố hoặc hậu tố sử dụng ký tự lạ. Ví dụ: https://suamaylanh.dien-may-xanh.net
  • Tên miền phụ cố bắt chước tên miền của một trang hợp pháp. Ví dụ: https://shopee.sukientriankhachhang2021.com/, trong đó shopee là tên miền phụ, tên miền thực tế là sukientriankhachhang2021.com
  •  Các đuôi trang .com, .org, .gov (chính phủ), .edu (giáo dục đào tạo)… thường là những top-level domain có thể tin cậy được, tuy nhiên cũng cần phải cẩn trọng khi truy cập nếu bạn thấy có dấu hiệu khả nghi về việc lấy cắp hay thu thập thông tin dữ liệu cá nhân. Vì vậy nên xác nhận lại mọi thứ. Trong khi đó, các đuôi top-level domain ít phổ biến như .info, .asia, .vip, .tk, .xyz… thường có độ tin cậy khá là thấp. Tên miền có top-level domain có độ tin cậy thấp. Ví dụ: https://www.shoppe8.vip,  top-level domain là .vip hoặc https://vngame.xyz có top-level domain là .xyz
    Hơn nữa, các tên miền mới được đăng ký gần đây hoặc có độ tuổi thấp thì cũng thường có dấu hiệu khả nghi nên thận cẩn và không nên vội tin khi giao dịch hay chia sẻ thông tin. Mọi người có thể kiểm tra thông tin tên miền tại who.is.
  • Đường dẫn sử dụng tên miền quốc tế (IDN) fàcebook.com – chữ “à” là một ký tự đặc biệt (domain thật: xn--fcebook-8va.com) để đánh lừa nạn nhân.
  • Sử dụng dịch vụ rút gọn tên miền dạng như bitly.com, cutt.ly, shorturl.at – những kiểu lừa đảo dựa trên những link phishing dạng này nên cẩn trọng và không click vào, nếu tò mò có thể sử dụng: browserling.com hay urlscan.io để check xem link ấy thế nào.
  • Lợi dụng lỗ hổng Sub-domain Takeover (tiếp quản miền phụ) để dẫn dụ nạn nhận – xảy ra khi tên miền phụ (ví dụ: subdomain[.]congtya[.]vn bị takeover) trỏ đến một dịch vụ chẳng hạn như các trang GitHub, Heroku, Azure,… đã bị gỡ bỏ hoặc xóa trên Github, Heroku, Azure,…
    Điều này cho phép kẻ tấn công thiết lập trang web giả trên dịch vụ đang được sử dụng và trỏ trang của họ đến tên miền phụ đó để lừa nạn nhân.
  • Tên miền dài nhằm đánh lừa người dùng nhầm lẫn. Ví dụ như: web-membbership-free-quatangtiki.com
  • Đường dẫn open redirector ví dụ như: t-info.mail.adobe.com/r/?id=hc347a&p1=luadao-shop.shopeesvietnam.net – nhằm đánh lừa nạn nhân sau đấy điều hướng nạn nhân sang một trang khác để lừa đảo.
  • Sử dụng nền tảng tạo web miễn phí như: https://vedepsinhvien2021.weebly.com, https://sites.google.com/view/www-freekcff-vn-com/ hay https://westernunionbankvn.wixsite.com – nhằm mục đích lừa đảo.
  • Đôi khi kẻ xấu đầu tư hẳn các fanpage (có khi có cả tích xanh), sau đấy đổi tên fanpage thành một nhãn hàng uy tín hoặc tên gần giống với công ty hay trang thương mại điện tử nào đó. Kế đến, dùng nhiều tài khoản ảo để vào tạo bình luận giả mạo nhằm tạo độ tin tưởng – đa phần những bình luận này hay có nội dung giống nhau, được chia sẻ liên tục trong một khoảng thời gian.

2. Cách nhận biết trang web lừa đảo qua giao diện trang web

Lợi dụng dịch Covid-19 để lừa đảo

Mọi người hãy xem kỹ giao diện web. Cách nhận biết web lừa đảo này rất dễ nhận biết vì website thật thường giao diện rất chuyên nghiệp, tương thích cho cả điện thoại, laptop hay máy tính bảng.

Hãy để ý các yếu tố như logo, hình nền và chắc chắn rằng chúng không phải là phiên bản nhái (sai khác về chi tiết, màu sắc) hay phiên bản lỗi thời (sử dụng hình ảnh phiên bản cũ). Một trang web sử dụng hình ảnh không đúng quy chuẩn thương hiệu chắc chắn là trang web không an toàn.

3. Cách nhận biết trang web lừa đảo dựa vào nội dung trên web

Các bạn hãy chú ý đến nội dung web. Các trang web lừa đảo không an toàn sẽ để lộ những điểm yếu sau:

  • Thông tin đơn vị chủ quản website không chính xác. Ví dụ, website giả mạo có thể sử dụng đúng tên doanh nghiệp nhưng cung cấp số tổng đài hoặc địa chỉ không có thực. Ở Việt Nam các bạn có thể tra thông tin công ty tại: tratencongty.com và nếu bạn thấy biểu tượng của Bộ Công Thương trên trang web mà bạn lo lắng, hãy thử nhấp vào biểu tượng đó! Nếu bạn thấy rằng chức năng này không hoạt động, hãy truy cập “Hệ thống quản lý thương mại điện tử” thuộc “Bộ Công Thương” tại online.gov.vn và kiểm tra xem họ có phải là người dùng con dấu tin cậy được chứng nhận hay không.
  • Nội dung chứa lỗi chính tả. Nguyên nhân là do các trang web giả mạo thường không kiểm duyệt kỹ nội dung. Hoặc, các trang này được tạo bởi kẻ xấu ở nước ngoài mà họ không thành thạo ngôn ngữ được sử dụng để lừa đảo.
  • Chú ý các liên kết đến các trang mạng xã hội của một trang web. Các nút liên kết mạng xã hội có thể dẫn đến trang chủ của trang web, một hồ sơ trống hoặc không ở đâu cả. Thông thường, nếu trang web là lừa đảo, người dùng bị lừa thường sẽ công khai lên tiếng bình luận sẽ giúp cho bạn nhận biết! Tuy nhiên cũng nên cẩn trọng với những comment/bình luận/đánh giá mua hàng giả mạo mà bọn lừa đảo đã tạo ra bằng cách dùng nick ảo.
  • Hãy kiểm tra phương thức thanh toán an toàn có được cung cấp không?
    Có nhiều loại phương thức thanh toán. Như thẻ tín dụng, thẻ ghi nợ, PayPay, Zalo Pay, Viettel Pay, VNPay… bảo vệ người tiêu dùng bằng cách cho phép người tiêu dùng lấy lại tiền trong trường hợp sản phẩm không được giao. Kiểm tra xem trang web có hỗ trợ các phương thức thanh toán này không. Không bao giờ chuyển tiền vào tài khoản ngân hàng nếu bạn nghi ngờ về độ tin cậy của một trang web.
    Các phương thức thanh toán như Western Union, Moneygram, và Bitcoin thường không thể theo dõi được và hầu như không thể lấy lại tiền đã được chuyển bằng các phương thức này. Kết quả là, những phương thức này được ưu ái bởi những kẻ lừa đảo.
  • Ai là người giao hàng sản phẩm?
    Kiểm tra xem trang web đã liệt kê các đối tác giao hàng của mình chưa. Không phải tất cả các trang web đều liệt kê chúng, nhưng một số tích hợp tính năng theo dõi lô hàng. Các đối tác giao hàng cũng có thể được đề cập trong quá trình thanh toán. Nếu một đối tác giao hàng đáng tin cậy được nêu tên, đây thường là một dấu hiệu tốt.
  • Bạn có thấy ‘https’ ở phía trước địa chỉ của trang web và có biểu tượng ‘khóa’ hay không?
    Trong trường hợp này, giao tiếp giữa cửa trang web và trình duyệt của bạn được mã hóa, giúp cửa trang web an toàn hơn một chút khi sử dụng. Nó không đảm bảo rằng trang web không phải là giả mạo vì chi phí thêm chứng chỉ SSL (những gì bạn cần để bảo mật thông tin) rất rẻ hoặc đôi khi kẻ xấu có thể sử dụng SSL miễn phí.
  • Kiểm tra Điều khoản & Chính sách và thông tin liên hệ:
    Những kẻ lừa đảo thường sử dụng văn bản copy được để họ dán vào trong các trang như “Giới thiệu về chúng tôi”, “Điều khoản & Điều kiện Chính sách vận chuyển” và “Chính sách trả hàng” để tạo vẻ chuyên nghiệp. Nếu bạn thấy rằng những trang này không tồn tại hoặc có chất lượng kém (chẳng hạn như chúng có lỗi chính tả), hãy suy nghĩ kỹ về việc mua sắm trên trang web! Bạn có thực sự nghĩ rằng một doanh nghiệp sẽ đưa ra văn bản không đầy đủ hoặc cẩu thả nếu nó là hợp pháp?. Kiểm tra địa chỉ, số điện thoại hay email liên hệ của họ trên Google xem có dính những phốt nào liên quan hay không, hay là xem có thông tin nào đáng lưu tâm thông qua kết quả tìm kiếm trả về hay không.
Lợi dụng nhãn hàng thương hiệu lớn để lừa đảo
  • Lợi dụng tên nhãn hàng thương hiệu:
    Rất nhiều trang web lừa đảo lợi dụng các tên thương hiệu chẳng hạn như Shopee, Vietcombank, Techcombank… kết hợp với các từ như ‘giảm giá’, ‘giá rẻ’, ‘giảm giá’ và thậm chí ‘miễn phí’ để thu hút khách qua các công cụ tìm kiếm. Các thương hiệu thường không thích nhìn thấy sản phẩm của họ được bán thông qua các loại cửa hàng trực tuyến này. Các thương hiệu cao cấp hiếm khi hoặc không bao giờ bán sản phẩm của họ hoặc giảm giá lớn. Tương tự như vậy, hầu hết các cửa hàng trực tuyến nghiêm túc đều bán nhiều nhãn hiệu và không ràng buộc họ với một nhãn hiệu nhất định
    Hãy chú ý đến giao diện của các trang web này. Các trang web hợp pháp có biểu trưng và hình ảnh chất lượng cao, vì các thương hiệu muốn gây ấn tượng với bạn bằng sản phẩm của họ. Những kẻ lừa đảo thường ăn cắp nội dung như hình ảnh và mô tả sản phẩm từ nhiều nguồn khác nhau. Điều này có thể có nghĩa là giao diện của một trang web có thể trông không chuyên nghiệp, với định dạng trông kỳ quặc hoặc hình ảnh có độ phân giải thấp.
  • Kiểm tra đánh giá của người dùng hoặc mua hàng có đáng tin cậy không?
    Cửa hàng trực tuyến thường sử dụng một số hệ thống đánh giá của người dùng hoặc mua hàng – đó thường là một dấu hiệu tốt. Tuy nhiên, có một số hệ thống đánh giá tốt và một số thì lại không. Kiểm tra xem hệ thống đánh giá có tuân thủ “Tiêu chuẩn Chứng nhận Đánh giá” hay không, có nghĩa là trang web không thể xóa hoặc chỉnh sửa các đánh giá mà không có lý do chính đáng.
    Nhiều trang web giả mạo có phần “Đánh giá” hoặc “Chứng thực” chứa đầy các đánh giá tích cực “giả mạo”. Chúng chứa tên ngẫu nhiên của vài người, sử dụng hình ảnh được lấy từ các nguồn ngẫu nhiên và nội dung thường được sao chép từ các trang web khác. Vì vậy, không nên dựa vào các đánh giá trên trang web một mình. Các trang web như Scamadviser, TrustPilot, MyWOT và những trang khác cho phép người dùng để lại đánh giá mà các công ty không thể xóa hoặc chỉnh sửa. Kiểm tra các đánh giá bên ngoài là một cách để có được bức tranh rõ ràng hơn về những gì khách hàng thực sự đang nói.
Scamadviser.com là một trang web uy tín đưa ra đánh giá về độ an toàn của các trang web trên thế giới.
  • Trang web có đòi hỏi thông tin nhạy cảm không?
    Nếu một trang web mà đòi hỏi thông tin nhạy cảm như: ngày sinh, số chứng thư, căn cước công dân…Hay đòi đăng tải những hình ảnh của giấy tờ tùy thân lên trang web của họ. Cần phải dừng lại và suy nghĩ tại sao họ cần những thông tin này.
    Luôn cẩn trọng đồng thời với những trang web không chính thống mà họ đòi hỏi ngay là phải đăng nhập thông tin cá nhân Facebook, Google hay thông tin tài khoản ngân hàng để thực hiện những bước tiếp theo. Kẻ xấu luôn lợi dụng lòng tham, sư ngây thơ và lòng tin của bạn đã lấy cắp thông tin.
  •  Khi bạn không chắc về các thông tin trên, hãy liên hệ ngay với cửa hàng trực tuyến
    Một trang web tốt biết khách hàng của mình muốn giao tiếp theo những cách khác nhau. Kiểm tra xem công ty có cung cấp số điện thoại, email hoặc biểu mẫu liên hệ và đang hoạt động trên mạng xã hội hay không. Gọi cho công ty nếu nghi ngờ hoặc gửi yêu cầu thêm thông tin qua email hoặc qua mạng xã hội. Một trang web chuyên nghiệp thường trả lời trong vòng vài giờ hoặc tối đa là hai ngày làm việc tùy thuộc vào phương tiện liên lạc.

4. Cách nhận biết trang web lừa đảo qua những thông báo trên web

Mọi người hãy cảnh giác với các thông báo có nội dung ‘giật gân’ trên web. Hãy nhớ là không có gì là cho không cả, đừng vội vàng tin.

Trang web giả mạo thường sẽ ‘nhử’ mọi người bằng cách đưa ra những thông báo khiến mọi người quá hoảng sợ, hoặc quá vui mừng. Ví dụ như thông báo về sự cố giao dịch hoặc thông báo trúng thưởng, khuyến mãi, quà tặng…. kèm theo đó là yêu cầu mọi người nhập thông tin tài khoản, mật khẩu, số thẻ tín dụng để xác minh.

Hãy nhớ rằng, một trang web thật sự sẽ không bao giờ làm mọi người hoang mang.

Ngoài ra, mọi người cũng nên cẩn thận trước các lời mời tải phần mềm trên các trang web lạ, đặc biệt là những trường hợp sau:

  • Lời mời tải xuống phần mềm kèm theo thông báo thiết bị đã bị nhiễm virus.
  • Lời mời tải miễn phí nội dung có bản quyền đắt tiền.
  • Lời mời tải xuống ‘siêu phần mềm’ (như tăng tốc độ máy tính, bẻ khóa Wi-Fi, hack facebook, gmail, tài khoản game…).
  • Lời mời xem những nội dung nhạy cảm, hay đánh vào lòng tốt và tin giật gân gây shock
  • Lời mời tham gia kiếm tiền nhanh, giới thiệu mọi người bạn bè để nhận hoa hồng cao.

5. Cách nhận biết trang web lừa đảo qua cảnh báo trên trình duyệt và kiểm tra độ uy tín của trang

Khi mọi người cài đặt tiện ích Chống Lừa Đảo, trình duyệt trên máy tính sẽ bật hộp thoại cảnh báo ngay khi mọi người truy cập vào một trang web lừa đảo, giả mạo. Hoặc khi mọi người vào một trang lừa đảo có thể trang ấy bị nổi đỏ toàn trang nghĩa là trang này không an toàn và lừa đảo. Đây chính là một cách nhận biết trang web lừa đảo mới nhất được phát triển bởi Hiếu PC và các đồng đội. Nên không tiếp tục nhấn truy cập vào mà hãy tắt ngay lập tức. Một giải pháp dễ dàng là dành thời gian để tìm kiếm về trang web cụ thể ấy thông qua công cụ tìm kiếm ngoài Google ra chúng ta còn có thể tìm trên MyWOT.com, Scamadviser.com, Chongluadao.vn, TinNhiemMang.vn. Nếu bạn nhận được email hoặc tin nhắn yêu cầu bạn nhấp vào một liên kết, thì bạn nên tự điều hướng thủ công đến trang web chính thức mà bạn biết để đảm bảo rằng bạn sẽ không vào một trang web giả trong email hoặc tin nhắn ấy.

Mọi người có thể đóng góp vào danh sách cảnh báo và bảo vệ mọi người trên không gian mạng, mọi người cần báo cáo trang web không an toàn cho Google tại: https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en, hoặc ở Việt Nam chúng ta có những đơn vị và tổ chức sau để báo trang độc hại, giả mạo, lừa đảo và các vấn đề có liên quan – mọi người có thể vào một trong những web sau để báo cáo ngay: https://canhbao.ncsc.gov.vn/ hoặc https://chongluadao.vn. Đồng thời có thể kiểm tra độ an toàn uy tín của một trang tại: https://chongluadao.vn và https://tinnhiemmang.vn

https://blogapp.bitdefender.work/hotforsecurity/content/images/2021/09/phishing-6573326_1280.png
Đánh cắp thông tin tài khoản

6. Những vấn đề đáng quan tâm khác mà gần đây đang có dấu hiệu gia tăng:

Chạy quảng cáo bẩn trên các nền tảng mạng xã hội, hay Google để quảng bá về trang lừa đảo của bọn chúng. Và đồng thời làm những video quảng cáo trên Youtube để dẫn dụ nạn nhân.

Bán code những vật phẩm hiếm với giá rẻ, bán quân huy giá rẻ, cảnh báo tài khoản bị khóa. Các dạng này đều có chung hình thức bắt trả phí online hoặc cung cấp mật khẩu tài khoản. Khi bạn đăng nhập vào các trang web giả mạo, bạn có khả năng bị mất thông tin tài khoản dẫn đến bị bán ngọc và các vật phẩm khác trong game. Lợi dụng lòng tham, tâm lý sợ hãi… mà những trang này làm nạn nhân mất luôn cả tài khoản Facebook, Email, tài khoản game, ngân hàng và lừa đảo thẻ cào điện thoại.

Ngoài ra, phải kể thêm rằng vì công nghệ ngày càng phát triển, kẻ xấu cũng dễ dàng lợi dụng để mà tạo những trang web lừa đảo trong nháy mắt thông qua những mã nguồn mở, dịch vụ cung cấp mã nguồn lừa đảo, thuê dịch vụ hosting giá rẻ, mua tên miền giá rẻ bằng thông tin danh tính giả… hoặc kẻ xấu có thể thông qua những nền tảng tạo web lừa đảo tập trung (Phishing as a service).

Vẫn không chắc chắn? Đừng thực hiện thanh toán hay cung cấp thông tin!

Khi vẫn còn nghi ngờ, đừng thực hiện thanh toán hay cung cấp thông tin cho trang web ấy! Lời khuyên của chúng tôi ở đây tại Chongluadao là nếu bạn vẫn không chắc chắn, tốt hơn là nên thận trọng và làm theo trực giác của bạn. Đừng để một mức giá cao làm ảnh hưởng đến phán đoán của bạn. Nếu bạn vẫn nghi ngờ về trang web ấy, hãy kiếm những cửa hàng hoặc trang web tin cậy khác để mua.

Trên đây là 5 cách nhận biết trang web lừa đảo người dùng. Mọi người hãy cùng Chống Lừa Đảo nâng cao nhận thức về an toàn thông tin mạng nhé!

0 0 votes
Article Rating
Subscribe
Notify of
guest
1 Comment
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Hoà
Hoà
7 days ago

Hay quá ad ơi