Smishing & Vishing: Phishing Không Chỉ Đến Qua Email
URL: https://training.aware.com.vn/blog/smishing-vishing-phishing-khong-chi-den-qua-email Danh mục: Phishing
Khi nói đến phishing, hầu hết mọi người nghĩ ngay đến email. Điều đó hoàn toàn có lý — email vẫn là kênh tấn công phổ biến nhất. Nhưng chính vì nhận thức về phishing qua email đang tăng lên, kẻ tấn công đã và đang chuyển dần sang những kênh mà người dùng ít đề phòng hơn nhiều: tin nhắn SMS và cuộc gọi điện thoại.
Smishing và vishing không phải là xu hướng mới — nhưng năm 2025, với sự hỗ trợ của trí tuệ nhân tạo và công cụ tự động hóa ngày càng tinh vi, hai hình thức tấn công này đang trở nên nguy hiểm hơn bao giờ hết. Và phần lớn nhân viên chưa được đào tạo để nhận diện chúng.
Smishing là gì và tại sao SMS lại nguy hiểm hơn email?
Smishing là tấn công phishing thực hiện qua tin nhắn SMS — hay rộng hơn là qua các nền tảng nhắn tin như Zalo, Telegram, WhatsApp. Kẻ tấn công gửi tin nhắn giả mạo từ ngân hàng, dịch vụ giao hàng, cơ quan nhà nước, hoặc thậm chí từ số điện thoại của người quen bị chiếm đoạt — kèm theo đường link dẫn đến trang web giả mạo hoặc yêu cầu cung cấp thông tin nhạy cảm.
Điểm khiến smishing nguy hiểm hơn email ở một số khía cạnh quan trọng.
Người dùng tin tưởng SMS hơn email. Trong nhiều năm, các tổ chức tài chính và dịch vụ đã dùng SMS như kênh liên lạc chính thức — gửi OTP, thông báo giao dịch, xác nhận đơn hàng. Người dùng được điều kiện hóa để tin vào tin nhắn SMS từ số điện thoại trông quen thuộc, tạo ra mức độ cảnh giác thấp hơn so với email.
Điện thoại di động thiếu các công cụ bảo vệ mà máy tính có. Bộ lọc spam SMS kém tinh vi hơn nhiều so với bộ lọc email doanh nghiệp. Trình duyệt trên di động thường không hiển thị đầy đủ URL, khiến việc kiểm tra tên miền khó hơn. Và phần mềm bảo mật endpoint trên điện thoại cá nhân — nếu có — thường không được cập nhật thường xuyên.
Màn hình nhỏ và thói quen đọc lướt. Trên điện thoại, người dùng thường đọc tin nhắn nhanh hơn và trong những khoảnh khắc phân tâm hơn — đang đi bộ, đang chờ thang máy, đang họp. Điều kiện đó làm giảm khả năng phân tích kỹ lưỡng trước khi hành động.
Các kịch bản smishing phổ biến nhất tại Việt Nam
Giả mạo ngân hàng và ví điện tử là kịch bản phổ biến nhất. Tin nhắn thông báo tài khoản bị đăng nhập bất thường, yêu cầu xác minh danh tính ngay để tránh bị khóa — kèm đường link dẫn đến trang đăng nhập giả mạo thu thập thông tin thẻ và OTP.
Giả mạo dịch vụ giao hàng ngày càng phổ biến trong thời đại thương mại điện tử bùng nổ. Tin nhắn thông báo gói hàng đang chờ xác nhận địa chỉ hoặc cần thanh toán phí hải quan — với đường link dẫn đến trang thanh toán giả mạo. Vì hầu hết mọi người đều có đơn hàng đang vận chuyển, tỷ lệ click vào loại tin nhắn này đặc biệt cao.
Giả mạo cơ quan nhà nước là kịch bản khai thác tâm lý sợ hãi mạnh nhất. Tin nhắn tự nhận từ cơ quan thuế, công an, hay bảo hiểm xã hội — thông báo vi phạm, yêu cầu nộp phạt hoặc cập nhật thông tin để tránh bị xử lý. Áp lực tâm lý từ kịch bản này khiến nạn nhân hành động mà không kịp suy nghĩ.
Giả mạo nhà tuyển dụng và cơ hội việc làm nhắm vào người đang tìm việc hoặc muốn có thu nhập thêm — mời phỏng vấn, yêu cầu điền form thông tin cá nhân, hoặc dẫn đến trang web yêu cầu đặt cọc để nhận việc.
Vishing: Khi giọng nói trở thành vũ khí
Vishing — voice phishing — là tấn công thực hiện qua cuộc gọi điện thoại. Kẻ tấn công giả mạo nhân viên ngân hàng, bộ phận IT, cơ quan thuế, hay thậm chí đồng nghiệp và cấp trên để lấy thông tin hoặc thuyết phục nạn nhân thực hiện hành động nguy hiểm.
Vishing đã tồn tại từ lâu — nhưng năm 2025, hai công nghệ đang thay đổi hoàn toàn mức độ nguy hiểm của nó.
Caller ID spoofing cho phép kẻ tấn công hiển thị bất kỳ số điện thoại nào trên màn hình người nhận — số hotline chính thức của ngân hàng, số nội bộ của công ty, hay số điện thoại cá nhân của giám đốc. Khi nhìn thấy số quen thuộc, người nhận gần như luôn nghe máy và tin tưởng.
AI voice cloning — nhân bản giọng nói bằng trí tuệ nhân tạo — là bước ngoặt thực sự nguy hiểm. Chỉ cần vài phút âm thanh thu thập từ video trên YouTube, podcast, hay mạng xã hội, công cụ AI hiện nay có thể tạo ra giọng nói tổng hợp gần như không thể phân biệt với giọng thật. Một cuộc gọi nghe như giám đốc của bạn — ngữ điệu, cách nói, thậm chí những từ cửa miệng quen thuộc — có thể hoàn toàn là giọng AI được tạo ra theo thời gian thực.
Dấu hiệu nhận biết smishing và vishing
Với smishing, những dấu hiệu cần chú ý bao gồm tin nhắn tạo cảm giác khẩn cấp yêu cầu hành động ngay lập tức, đường link rút gọn hoặc tên miền không khớp với tổ chức được đề cập, yêu cầu cung cấp OTP hay thông tin thẻ qua tin nhắn hoặc trang web được link đến, và tin nhắn đến từ số điện thoại lạ dù nội dung tự nhận là từ tổ chức quen thuộc.
Với vishing, các dấu hiệu cảnh báo bao gồm cuộc gọi không hẹn trước yêu cầu thông tin nhạy cảm ngay trong cuộc gọi đó, áp lực không cho phép bạn dừng lại để xác minh hay gọi lại sau, yêu cầu giữ bí mật cuộc gọi với đồng nghiệp hay cấp trên khác, và bất kỳ yêu cầu nào về OTP — không có tổ chức hợp lệ nào cần OTP của bạn qua điện thoại.
Với vishing deepfake, dấu hiệu tinh tế hơn nhiều — đôi khi chỉ là cảm giác giọng nói nghe hơi "phẳng" hay thiếu tự nhiên, độ trễ nhỏ trong phản hồi, hoặc nội dung cuộc gọi không khớp với những gì người đó thường nói hay làm trong thực tế.
Quy tắc vàng khi nhận tin nhắn hoặc cuộc gọi đáng ngờ
Không bao giờ cung cấp OTP, mật khẩu, hay thông tin thẻ qua bất kỳ kênh nào — dù người yêu cầu tự nhận là ai. Không có tổ chức tài chính hay IT hợp lệ nào cần những thông tin này từ bạn qua điện thoại hay tin nhắn.
Khi nhận cuộc gọi đáng ngờ từ "ngân hàng" hay "IT", hãy cúp máy và gọi lại số hotline chính thức — số được in trên thẻ ngân hàng, trên website chính thức, hoặc trong ứng dụng. Không gọi lại số vừa gọi đến vì số đó có thể đã bị giả mạo.
Khi nhận tin nhắn có đường link, không click trực tiếp — hãy mở trình duyệt và gõ địa chỉ website chính thức để kiểm tra thông tin. Nếu thông tin trong tin nhắn là thật, nó sẽ hiển thị trong tài khoản của bạn khi đăng nhập trực tiếp.
Với các yêu cầu tài chính qua điện thoại — dù giọng nghe như giám đốc hay đồng nghiệp thân thiết — hãy xác minh lại qua một kênh khác trước khi thực hiện bất kỳ hành động nào. Một tin nhắn Zalo, một email nội bộ, hay một cuộc gặp trực tiếp — bất kỳ kênh nào độc lập với cuộc gọi ban đầu đều đủ để xác minh.
Tổ chức cần làm gì?
Đào tạo nhận thức về smishing và vishing cần được đưa vào chương trình đào tạo bảo mật chính thức — không phải như phần phụ thêm mà như nội dung cốt lõi ngang với đào tạo về phishing email. Nhân viên cần biết những hình thức tấn công này tồn tại, trông như thế nào trong thực tế, và phản xạ đúng đắn cần có là gì.
Ngoài ra, tổ chức cần xây dựng và truyền thông rõ ràng về quy trình xác minh cho các yêu cầu nhạy cảm — đặc biệt là yêu cầu tài chính và yêu cầu cung cấp thông tin đăng nhập — bất kể kênh liên lạc là gì. Khi nhân viên có quy trình rõ ràng để tuân theo, họ ít bị đặt vào tình huống phải tự quyết định trong áp lực.
Mô phỏng vishing và smishing — tương tự như mô phỏng phishing email — cũng đang được các tổ chức tiên tiến triển khai để xây dựng phản xạ thực tế cho nhân viên trên tất cả các kênh tấn công, không chỉ email.
Điện thoại trong tay bạn — và trong tay kẻ tấn công
Điện thoại di động đã trở thành thiết bị làm việc không thể thiếu — và vì vậy cũng trở thành bề mặt tấn công mà kẻ xấu ngày càng ưu tiên khai thác. Smishing và vishing hiệu quả chính xác vì chúng tấn công vào những khoảnh khắc và kênh mà người dùng ít cảnh giác nhất.
Nhận thức là lớp bảo vệ duy nhất hoạt động trên mọi thiết bị và mọi kênh liên lạc. Và nhận thức đó cần được đào tạo một cách có hệ thống — không phải chờ đến khi có người trong tổ chức trở thành nạn nhân thật sự.
👉 Đọc tiếp: QR Code Phishing (Quishing): Mối đe dọa mới qua mã QR
👉 Tìm hiểu thêm: Phishing Email 2025: Các chiêu trò mới nhất bạn cần cảnh giác
👉 Bạn muốn biết tổ chức mình đang ở đâu? Hãy sử dụng công cụ đánh giá an ninh mạng tại https://aware.com.vn/cong-cu/
👉 Đào tạo CyberAwareness giúp tuân thủ Luật An ninh mạng 2025 và giảm rủi ro: https://training.aware.com.vn/
👉 Xem thêm video thực chiến tại kênh YouTube: https://www.youtube.com/@aware-com-vn
