Phishing Email 2026: Các Chiêu Trò Mới Nhất Bạn Cần Cảnh Giác
URL: https://training.aware.com.vn/blog/phishing-email-2026-cac-chieu-tro-moi-nhat-ban-can-canh-giac Danh mục: Phishing
Nếu bạn nghĩ mình đã biết cách nhận ra email phishing — một email viết sai chính tả, logo mờ nhạt, đường link trông rõ ràng là giả mạo — thì đó chính xác là điều kẻ tấn công muốn bạn nghĩ.
Phishing năm 2025 không còn trông như phishing nữa.
Nhờ trí tuệ nhân tạo, công cụ tạo nội dung tự động và dữ liệu cá nhân thu thập từ mạng xã hội, email lừa đảo ngày nay được viết hoàn hảo, cá nhân hóa chính xác, và được thiết kế để vượt qua cả bộ lọc thư rác lẫn sự cảnh giác của người nhận. Ranh giới giữa email thật và email giả đang mờ dần theo từng tháng.
Hiểu rõ các chiêu trò mới nhất không phải để hoang mang — mà để biết mình đang đối mặt với điều gì và phản ứng đúng cách.
AI-powered Phishing: Khi máy móc viết email lừa đảo tốt hơn con người
Trong nhiều năm, một trong những dấu hiệu nhận biết phishing dễ thấy nhất là lỗi ngữ pháp và văn phong vụng về. Những email kiểu "Kính gửi Quý Khách Hàng thân mến, tài khoản của bạn đã bị nghi ngờ" từng là tín hiệu cảnh báo rõ ràng.
Công cụ AI tạo văn bản đã xóa bỏ lợi thế nhận biết đó hoàn toàn.
Kẻ tấn công hiện nay dùng các mô hình ngôn ngữ lớn để tạo ra hàng nghìn email phishing được cá nhân hóa — mỗi email viết đúng ngữ pháp, đúng văn phong chuyên nghiệp, và được điều chỉnh theo thông tin cụ thể của từng mục tiêu. Tên thật, chức vụ, tên công ty, thậm chí tên đồng nghiệp hoặc dự án đang triển khai — tất cả được thu thập từ LinkedIn, website công ty, mạng xã hội và được đưa vào email để tạo cảm giác quen thuộc và đáng tin.
Kết quả là những email trông như được viết riêng cho bạn, bởi người biết bạn — trong khi thực tế được tạo ra tự động trong vài giây.
Business Email Compromise tinh vi hơn bao giờ hết
Business Email Compromise — hay BEC — là hình thức tấn công giả mạo email của lãnh đạo cấp cao hoặc đối tác kinh doanh để yêu cầu chuyển tiền, cung cấp thông tin tài chính hoặc thay đổi tài khoản thanh toán. Đây không phải hình thức mới, nhưng năm 2025 nó đang trở nên tinh vi hơn theo những cách đáng lo ngại.
Thay vì chỉ giả mạo địa chỉ email, kẻ tấn công ngày nay thường xâm nhập và chiếm quyền kiểm soát hộp thư thật của lãnh đạo hoặc đối tác — gửi email từ địa chỉ thật, trong luồng hội thoại thật, với lịch sử trao đổi thật. Không có gì để nghi ngờ về địa chỉ người gửi vì đó là địa chỉ thật.
Một biến thể nguy hiểm khác là vendor email compromise — kẻ tấn công không nhắm vào nội bộ mà xâm nhập vào email của nhà cung cấp hoặc đối tác, chờ đúng thời điểm có giao dịch lớn rồi chen vào yêu cầu thay đổi tài khoản ngân hàng nhận tiền. Doanh nghiệp chuyển tiền cho "nhà cung cấp quen thuộc" — thực chất là tài khoản của kẻ tấn công.
Deepfake kết hợp phishing: Mối đe dọa đa kênh
Phishing năm 2025 không còn giới hạn trong hộp thư email. Các cuộc tấn công phức tạp nhất hiện nay kết hợp nhiều kênh để tạo ra một câu chuyện nhất quán và thuyết phục hơn.
Kịch bản điển hình: nạn nhân nhận email từ "giám đốc" thông báo sẽ có cuộc gọi quan trọng. Sau đó nhận cuộc gọi với giọng nói nghe như giám đốc thật — được tạo bằng AI deepfake audio chỉ cần vài phút mẫu giọng nói thu thập từ video trên YouTube hoặc mạng xã hội. Cuộc gọi xác nhận yêu cầu trong email và tạo cảm giác khẩn cấp. Nạn nhân thực hiện yêu cầu vì mọi thứ đều trông và nghe có vẻ hợp lệ.
Năm 2024 đã ghi nhận nhiều vụ doanh nghiệp bị lừa chuyển tiền thông qua kịch bản deepfake video call — nạn nhân nhìn thấy hình ảnh và nghe giọng nói của "đồng nghiệp" trong cuộc họp trực tuyến, không biết rằng tất cả đều là giả mạo được tạo ra theo thời gian thực.
QR Code Phishing — Quishing: Vượt qua bộ lọc bằng hình ảnh
Bộ lọc email hiện đại rất giỏi trong việc phát hiện đường link độc hại trong văn bản. Kẻ tấn công đã tìm ra cách vượt qua: thay thế đường link bằng mã QR.
Email chứa mã QR trông hoàn toàn vô hại với bộ lọc thư rác — không có đường link văn bản nào để phân tích. Người nhận quét mã QR bằng điện thoại cá nhân — thiết bị thường không có cùng mức độ bảo vệ như máy tính công ty — và bị chuyển hướng đến trang phishing.
Điểm nguy hiểm kép: không chỉ vượt qua bộ lọc, quishing còn chuyển cuộc tấn công sang thiết bị di động cá nhân nằm ngoài tầm kiểm soát của bộ phận IT. Và người dùng thường ít cảnh giác hơn khi quét mã QR so với khi click đường link trên máy tính.
Các email quishing phổ biến giả mạo thông báo xác thực tài khoản, hóa đơn cần xem, tài liệu cần ký điện tử, hoặc thông báo bảo mật yêu cầu xác nhận danh tính.
Phishing nhắm vào chuỗi cung ứng
Thay vì tấn công trực tiếp vào mục tiêu lớn được bảo vệ tốt, kẻ tấn công ngày càng chọn cách tấn công vào mắt xích yếu hơn trong chuỗi cung ứng — nhà cung cấp phần mềm, đối tác dịch vụ, công ty con — rồi dùng đó làm bàn đạp tấn công vào mục tiêu chính.
Từ góc độ của nạn nhân cuối cùng, email đến từ địa chỉ của đối tác quen thuộc, với nội dung liên quan đến công việc đang triển khai, và yêu cầu hoàn toàn có vẻ hợp lý. Không có gì trông như tấn công — vì thực tế điểm tấn công đã xảy ra ở nơi khác từ trước đó.
Đây là lý do tại sao bảo mật chuỗi cung ứng và đánh giá rủi ro từ bên thứ ba ngày càng quan trọng — và tại sao không thể tin tưởng tuyệt đối vào bất kỳ email nào chỉ vì đến từ địa chỉ quen thuộc.
Những dấu hiệu nhận biết trong thế giới phishing hiện đại
Khi các dấu hiệu truyền thống không còn đáng tin cậy, cần chuyển sang tư duy khác — thay vì tìm kiếm dấu hiệu của email giả, hãy xác minh tính hợp lệ của mọi yêu cầu nhạy cảm bất kể email trông như thế nào.
Một số câu hỏi cần tự hỏi khi nhận email yêu cầu hành động: Yêu cầu này có xuất hiện đột ngột và tạo cảm giác khẩn cấp không? Nó có liên quan đến tiền, thông tin đăng nhập, hoặc dữ liệu nhạy cảm không? Tôi có thể xác minh yêu cầu này qua một kênh khác không — gọi điện trực tiếp, nhắn tin nội bộ? Nếu tôi không thực hiện ngay, điều tệ nhất có thể xảy ra là gì?
Nguyên tắc quan trọng nhất: tốc độ là vũ khí của kẻ tấn công. Mọi yêu cầu tạo áp lực phải hành động ngay lập tức đều xứng đáng bị dừng lại và xem xét kỹ hơn — dù nguồn gốc trông có vẻ hoàn toàn hợp lệ.
Bộ lọc kỹ thuật là cần thiết nhưng không đủ
Các giải pháp kỹ thuật — bộ lọc email, sandboxing, phân tích URL thời gian thực — đang ngày càng tinh vi và cần thiết hơn bao giờ hết. Nhưng khi kẻ tấn công dùng AI để tạo nội dung, khi họ tấn công qua mã QR thay vì đường link, khi họ gửi từ địa chỉ email thật đã bị xâm nhập — không có bộ lọc nào có thể bắt được tất cả.
Lớp phòng thủ cuối cùng vẫn là con người. Nhân viên được đào tạo để nhận biết các chiêu trò mới nhất, được luyện tập qua mô phỏng thực tế định kỳ, và hoạt động trong văn hóa khuyến khích xác minh trước khi hành động — đó là lớp bảo vệ mà không công nghệ nào có thể thay thế hoàn toàn.
Phishing ngày càng tinh vi — nhận thức cũng cần tinh vi theo
Kẻ tấn công đang đầu tư vào công cụ, dữ liệu và kỹ thuật để làm cho phishing trở nên khó phát hiện hơn mỗi ngày. Câu trả lời không phải là hoảng loạn hay không tin vào bất kỳ email nào — mà là xây dựng phản xạ đúng: dừng lại, đánh giá, xác minh.
Phản xạ đó không đến tự nhiên. Nó được đào tạo, luyện tập và củng cố qua thời gian — đúng như cách bất kỳ kỹ năng phòng thủ nào được hình thành.
👉 Đọc tiếp: Cách nhận diện email phishing trong 30 giây
👉 Tìm hiểu thêm: Social Engineering: Kẻ tấn công thao túng tâm lý như thế nào?
👉 Bạn muốn biết tổ chức mình đang ở đâu? Hãy sử dụng công cụ đánh giá an ninh mạng tại https://aware.com.vn/cong-cu/
👉 Đào tạo CyberAwareness giúp tuân thủ Luật An ninh mạng 2025 và giảm rủi ro: https://training.aware.com.vn/
