Smishing Là Gì? (Giải Thích Hình Thức Lừa Đảo Qua Sms)

Smishing (viết tắt của SMS phishing) là một kỹ thuật tấn công mạng trong đó kẻ xấu gửi tin nhắn văn bản giả mạo nhằm đánh lừa người dùng nhấp vào liên kết độc hại, cung cấp thông tin nhạy cảm hoặc cài đặt mã độc.

Khác với phishing qua email, smishing khai thác mức độ tin tưởng cao mà người dùng dành cho tin nhắn SMS, đồng thời lợi dụng việc SMS không có sẵn các cơ chế xác thực và kiểm soát bảo mật chặt chẽ.

Các tin nhắn smishing thường giả mạo thương hiệu quen thuộc, ứng dụng, nhà cung cấp dịch vụ, hoặc nguy hiểm hơn là các thông báo bảo mật. Mục tiêu của chúng là đánh cắp thông tin đăng nhập, cookie phiên làm việc, dữ liệu cá nhân hoặc mã xác thực đa yếu tố (MFA).

Cách Các Chiến Dịch Smishing Hoạt Động: Những Thủ Đoạn Phổ Biến

Tin tặc sử dụng nhiều kỹ thuật thao túng tâm lý để thúc ép nạn nhân hành động ngay lập tức.

Giả Mạo Thương Hiệu

Kẻ tấn công giả danh ngân hàng, công ty giao hàng, nền tảng SaaS hoặc thậm chí các công cụ an ninh mạng.
Ví dụ: “Tài khoản của bạn đã bị khóa. Xác minh ngay tại đây để khôi phục quyền truy cập.”

Chèn Liên Kết Độc Hại Trong Sms

Các liên kết dẫn đến trang web giả mạo được thiết kế nhằm đánh cắp thông tin đăng nhập hoặc kích hoạt tải mã độc.

Khai Thác MFA Và Session Token

Nạn nhân bị dụ nhập mã MFA hoặc mã đặt lại mật khẩu, qua đó tạo điều kiện cho tin tặc chiếm quyền tài khoản.

Tạo Kịch Bản Giả Và Sự Khẩn Cấp

Thông điệp gây áp lực thời gian như: “Dịch vụ sẽ bị ngừng”, “Thanh toán thất bại”, “Phát hiện hoạt động đáng ngờ”.

Tấn Công Nhắm Mục Tiêu Hẹp (Spear-Smishing)

Tin nhắn được cá nhân hóa cho một cá nhân hoặc nhân viên cụ thể trong doanh nghiệp, dựa trên dữ liệu OSINT hoặc cơ sở dữ liệu bị rò rỉ.

Những Mẫu Smishing Phổ Biến

• Thông báo giao hàng giả mạo
  Yêu cầu xác minh tài khoản ngân hàng
• Thông báo đặt lại mật khẩu các nền tảng đám mây
  Tin nhắn từ bộ phận nhân sự hoặc tiền lương giả mạo hệ thống nội bộ
  Yêu cầu phê duyệt đăng nhập MFA giả

Theo thời gian, các chiến dịch smishing ngày càng tinh vi hơn khi sử dụng trình rút gọn URL, tài nguyên thương hiệu bị đánh cắp và các tên miền “na ná” để khiến liên kết trông hợp pháp.

Smishing Mở Đường Cho Tấn Công Chuỗi Cung Ứng Như Thế Nào

Trước đây, smishing thường chỉ nhắm vào cá nhân. Tuy nhiên, các chiến dịch hiện đại ngày càng được sử dụng như một điểm truy cập ban đầu để thực hiện các cuộc tấn công chuỗi cung ứng.

Kịch bản xảy ra khi một nhân viên của công ty cung cấp dịch vụ đáng tin cậy bị xâm nhập, từ đó tin tặc có thể truy cập hệ thống bên ngoài, API key hoặc bảng điều khiển quản trị đang phục vụ nhiều khách hàng khác.

Những Cách Smishing Gây Ra Sự Cố Chuỗi Cung Ứng

Đánh Cắp Tài Khoản Quản Trị Nền Tảng

Khi chiếm được tài khoản nhân viên của các nền tảng phân tích dữ liệu, đám mây, thanh toán hoặc marketing, tin tặc có thể truy cập dữ liệu nhạy cảm của khách hàng.

Vượt Qua Hệ Thống Phòng Thủ Email

Smishing né tránh hoàn toàn các cơ chế bảo mật email doanh nghiệp, khiến việc phát hiện và chặn tấn công sớm trở nên khó khăn.

Phát Tán Mã Độc Đến Nhà Cung Ứng Then Chốt

Thiết bị của nhân viên nhà cung cấp bị nhiễm mã độc có thể làm lộ mật khẩu, quyền VPN hoặc khóa SSH của hệ thống doanh nghiệp.

Thu Thập Mã MFA

Khi nhân viên bị lừa cung cấp mã xác thực, tin tặc có thể truy cập các hệ thống backend được dùng chung cho nhiều khách hàng.

Nghiên Cứu Tình Huống: Tấn Công Smishing Liên Quan Đến Mixpanel

Một trong những ví dụ gần đây liên quan đến Mixpanel – nhà cung cấp nền tảng phân tích số. Vào cuối năm 2025, tin tặc đã sử dụng chiến dịch smishing giả mạo hệ thống xác thực nội bộ để đánh cắp thông tin đăng nhập của một nhân viên Mixpanel.

Sau khi xâm nhập thành công, kẻ tấn công đã truy cập trái phép vào dữ liệu phân tích của khách hàng, bao gồm cả OpenAI.

Vụ việc cho thấy hiệu ứng lan truyền nguy hiểm:

Điểm xâm nhập ban đầu đến từ tấn công smishing nhắm vào nhân viên Mixpanel.
Tác động lan rộng đến các khách hàng của Mixpanel, điển hình của một cuộc tấn công chuỗi cung ứng.
Các tổ chức bị ảnh hưởng hầu như không có khả năng quan sát hoặc kiểm soát nguồn gốc sự cố ban đầu.

Cách Phòng Ngừa Smishing Và Giảm Thiểu Rủi Ro Chuỗi Cung Ứng

Doanh nghiệp cần kết hợp nhận thức người dùng, biện pháp kỹ thuật và quản trị chuỗi cung ứng để giảm thiểu rủi ro.

Áp Dụng MFA Nhưng Tránh MFA Qua Sms

Ưu tiên:

• Ứng dụng xác thực
• Khóa bảo mật phần cứng FIDO2
  MFA dạng thông báo đẩy

Những hình thức này giúp giảm nguy cơ bị đánh cắp mã xác thực qua smishing.

Triển Khai Giải Pháp Bảo Mật Thiết Bị Di Động

Đặc biệt quan trọng với nhân viên có quyền quản trị hoặc truy cập hệ thống chuỗi cung ứng.

Đào Tạo Liên Tục Về Phishing Và Smishing

Các bài kiểm tra giả lập giúp nhân viên nhận diện liên kết giả, dấu hiệu tạo áp lực và số điện thoại đáng ngờ.

Kiểm Soát Quyền Truy Cập Nhà Cung Ứng

Hạn chế quyền truy cập không cần thiết thông qua:

• Cấp quyền theo thời gian
• Phân quyền theo vai trò
• Giới hạn OAuth token
• Luân chuyển API key định kỳ

Giám Sát Hành Vi Đăng Nhập Bất Thường

Sử dụng phân tích hành vi để phát hiện đăng nhập lạ, bất thường phiên làm việc hoặc truy cập diễn ra ngay sau các tin nhắn khả nghi.

Đánh Giá Mức Độ An Toàn Của Nhà Cung Ứng

Đảm bảo đối tác triển khai MFA mạnh, bảo mật thiết bị di động, chống tấn công phi kỹ thuật và có quy trình ứng phó sự cố rõ ràng.

Kết Luận

Smishing đã vượt xa phạm vi lừa đảo cá nhân, trở thành một vector tấn công tinh vi có khả năng kích hoạt các sự cố chuỗi cung ứng trên diện rộng. Bằng cách nhắm vào nhân viên của các nhà cung cấp dịch vụ quan trọng, tin tặc có thể xâm nhập vào hệ thống đang phục vụ hàng nghìn tổ chức khác, như bài học từ sự cố Mixpanel.

Ngăn chặn smishing trong bối cảnh chuỗi cung ứng đòi hỏi cách tiếp cận toàn diện: tăng cường bảo mật thiết bị di động, loại bỏ MFA qua SMS, đào tạo con người và siết chặt kiểm soát truy cập nhà cung ứng. Trong bối cảnh mối đe dọa liên tục tiến hóa, những tổ chức ưu tiên xác thực an toàn và khả năng quan sát chuỗi cung ứng sẽ có lợi thế rõ rệt trong việc phòng thủ trước làn sóng tấn công tiếp theo.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.