Smishing là gì?
Smishing là viết tắt của SMS phishing — một kỹ thuật tấn công mạng trong đó attacker gửi tin nhắn giả mạo để lừa người dùng nhấp vào link độc hại, chia sẻ thông tin nhạy cảm hoặc cài mã độc. Khác với email phishing, smishing khai thác mức độ tin tưởng cao mà người dùng thường dành cho tin nhắn SMS, đồng thời tận dụng thực tế là SMS gần như không có sẵn các cơ chế xác thực và bảo mật như email.
Các tin nhắn smishing thường giả mạo thương hiệu, ứng dụng, nhà cung cấp dịch vụ, thậm chí cả các thông báo bảo mật. Mục tiêu của attacker là đánh cắp:
- thông tin đăng nhập
- session cookie
- dữ liệu cá nhân
- mã MFA
Smishing hoạt động như thế nào?
Attacker thường sử dụng nhiều kỹ thuật thuyết phục để buộc nạn nhân hành động nhanh.
Giả mạo thương hiệu
Tin nhắn có thể mạo danh ngân hàng, đơn vị giao hàng, nền tảng SaaS hoặc công cụ an ninh mạng. Ví dụ: “Tài khoản của bạn đã bị khóa. Xác minh ngay tại đây để khôi phục quyền truy cập.”
Chèn link độc hại trong SMS
Các đường link này dẫn đến trang phishing nhằm đánh cắp credential hoặc kích hoạt tải mã độc.
Khai thác MFA và session token
Attacker dụ người dùng nhập mã MFA hoặc mã reset password, từ đó chiếm quyền truy cập tài khoản.
Pretexting và tạo cảm giác khẩn cấp
Tin nhắn thường mang nội dung gây áp lực như: “Dịch vụ của bạn sắp bị tạm ngưng”, “Thanh toán thất bại”, “Phát hiện hoạt động đáng ngờ”.
Spear-smishing
Tin nhắn được cá nhân hóa cho từng nhân viên hoặc cá nhân cụ thể, thường dựa trên OSINT hoặc dữ liệu rò rỉ.
Một số ví dụ smishing phổ biến
- Thông báo giao hàng giả: “Đơn hàng của bạn đang bị giữ”
- Yêu cầu xác minh từ ngân hàng
- Thông báo reset password cho nền tảng cloud
- Tin nhắn payroll hoặc HR giả mạo hệ thống nội bộ
- Yêu cầu phê duyệt MFA giả
Theo thời gian, attacker ngày càng tinh vi hơn khi sử dụng URL rút gọn, bộ nhận diện thương hiệu bị đánh cắp và lookalike domain để làm cho link phishing trông hợp lệ hơn.
Vì sao smishing có thể trở thành vector tấn công supply chain?
Trước đây, smishing chủ yếu nhắm vào cá nhân. Nhưng hiện nay, các chiến dịch này ngày càng được dùng như initial access vector cho các cuộc tấn công supply chain. Điều này xảy ra khi attacker sử dụng SMS phishing để compromise một nhân viên tại một công ty đáng tin cậy, từ đó có được quyền truy cập vào hệ thống bên ngoài, API key hoặc bảng điều khiển quản trị đang phục vụ nhiều khách hàng downstream.
Những cách smishing hỗ trợ tấn công supply chain
Đánh cắp credential của quản trị viên nền tảng
Nếu attacker chiếm được tài khoản của một nhân viên tại nền tảng dữ liệu, cloud, thanh toán hoặc marketing, họ có thể lợi dụng chính nền tảng đó để truy cập dữ liệu nhạy cảm của khách hàng.
Vượt qua lớp phòng thủ email
Smishing không đi qua hệ thống email doanh nghiệp, vì vậy nó né được nhiều lớp email security control và khiến tổ chức khó phát hiện hơn trong giai đoạn đầu.
Phát tán malware vào vendor quan trọng trong chuỗi cung ứng
Khi mã độc lây vào thiết bị của nhân viên tại nhà cung cấp, attacker có thể tiếp tục lấy được password, VPN access hoặc SSH key cho hệ thống doanh nghiệp.
Đánh cắp MFA token
Nếu nhân viên bị lừa cung cấp mã MFA, attacker có thể dùng chúng để truy cập backend system đang được chia sẻ cho nhiều khách hàng.
Case study: Vụ tấn công smishing liên quan đến Mixpanel
Một trong những ví dụ điển hình gần đây liên quan đến Mixpanel, nhà cung cấp nền tảng digital analytics. Vào cuối năm 2025, attacker đã sử dụng một chiến dịch smishing để đánh cắp credential của một nhân viên Mixpanel bằng cách giả mạo hệ thống xác thực nội bộ. Sau khi có được quyền truy cập trái phép, họ có thể truy cập dữ liệu analytics của khách hàng, trong đó có cả OpenAI.
Sự cố này cho thấy rõ hiệu ứng lan truyền nguy hiểm của smishing:
- điểm compromise ban đầu đến từ SMS phishing nhắm vào nhân viên Mixpanel
- tác động lại lan sang các khách hàng của Mixpanel
- các tổ chức downstream gần như không có visibility với vector xâm nhập ban đầu
Đây chính là một ví dụ điển hình của supply chain breach bắt đầu từ social engineering trên thiết bị di động.
Cách phòng ngừa smishing và giảm rủi ro supply chain
Để giảm thiểu các cuộc tấn công smishing có thể dẫn đến compromise chuỗi cung ứng, doanh nghiệp cần kết hợp đồng thời nhận thức người dùng, kiểm soát kỹ thuật và governance với vendor.
Ưu tiên MFA không dựa trên SMS
Doanh nghiệp nên tránh dùng SMS-based MFA bất cứ khi nào có thể. Thay vào đó, nên ưu tiên:
- ứng dụng authenticator theo chuẩn TOTP
- FIDO2 hardware key
- push-based MFA
Các lựa chọn này giúp giảm đáng kể khả năng attacker đánh cắp session code qua smishing.
Triển khai Mobile Threat Defense (MTD)
Các thiết bị di động được nhân viên sử dụng, đặc biệt là những người có quyền admin trên các nền tảng trong chuỗi cung ứng, cần được bảo vệ bằng giải pháp MTD.
Đào tạo phishing và smishing liên tục
Doanh nghiệp nên tổ chức các bài kiểm tra smishing mô phỏng để giúp nhân viên nhận diện:
- link giả
- dấu hiệu tạo áp lực
- số điện thoại gửi đến đáng ngờ
Kiểm soát truy cập của vendor
Cần hạn chế quyền truy cập của vendor và supplier nội bộ bằng các biện pháp như:
- just-in-time access
- Role-Based Access Control (RBAC)
- hạn chế OAuth token
- xoay vòng API key
Theo dõi các mẫu xác thực bất thường
Nên sử dụng behavioral analytics để phát hiện:
- đăng nhập khác thường
- phiên làm việc bất thường
- login xuất hiện ngay sau hoạt động SMS đáng ngờ
Đánh giá tư thế bảo mật của nhà cung cấp
Doanh nghiệp cần bảo đảm vendor của mình cũng triển khai:
- MFA mạnh
- mobile security
- kiểm soát social engineering
- quy trình incident response
Kết luận
Smishing đã không còn là những trò lừa đảo nhỏ lẻ nhắm vào người tiêu dùng. Nó đã tiến hóa thành một attack vector tinh vi có thể kích hoạt các sự cố supply chain ở quy mô lớn. Bằng cách dùng tin nhắn SMS để nhắm vào nhân viên tại các vendor hoặc service provider quan trọng, attacker có thể xâm nhập vào những hệ thống đang phục vụ hàng nghìn khách hàng, như vụ việc liên quan đến Mixpanel đã cho thấy.
Để ngăn chặn các cuộc tấn công supply chain được kích hoạt qua smishing, doanh nghiệp cần một cách tiếp cận toàn diện: tăng cường mobile security, thay thế SMS-based MFA, đào tạo nhân viên thường xuyên và áp dụng kiểm soát truy cập nghiêm ngặt với vendor. Trong một threat landscape ngày càng biến động, những tổ chức ưu tiên xác thực an toàn và visibility trên toàn chuỗi cung ứng sẽ có lợi thế lớn hơn nhiều trong việc chặn đứng làn sóng xâm nhập tiếp theo bắt nguồn từ smishing.
Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua:
Email: info@unitas.vn
Hotline: (+84) 939 586 168.
Bảng thuật ngữ
| Thuật ngữ | Dịch / Giải nghĩa ngắn gọn |
| Smishing | Hình thức lừa đảo qua tin nhắn SMS nhằm đánh cắp thông tin hoặc phát tán mã độc |
| SMS phishing | Lừa đảo qua tin nhắn SMS |
| threat actor | Tác nhân đe dọa, đối tượng thực hiện tấn công mạng |
| malicious link | Liên kết độc hại dẫn đến trang giả mạo hoặc mã độc |
| malware | Phần mềm độc hại |
| brand impersonation | Giả mạo thương hiệu để lừa người dùng tin tưởng |
| SaaS | Phần mềm cung cấp dưới dạng dịch vụ qua Internet |
| session cookie | Dữ liệu phiên đăng nhập giúp duy trì trạng thái truy cập |
| MFA | Xác thực đa yếu tố |
| MFA token | Mã hoặc thông tin xác thực dùng trong cơ chế MFA |
| pretexting | Kỹ thuật tạo ra một câu chuyện hoặc ngữ cảnh giả để lừa nạn nhân |
| spear-smishing | Smishing có chủ đích, nhắm vào một cá nhân hoặc nhóm cụ thể |
| OSINT | Thông tin tình báo từ nguồn mở, thu thập từ dữ liệu công khai |
| URL shortener | Công cụ rút gọn đường link |
| lookalike domain | Tên miền giả mạo có hình thức gần giống tên miền thật |
| supply chain attack | Tấn công chuỗi cung ứng, xâm nhập thông qua nhà cung cấp hoặc đối tác |
| initial access vector | Con đường hoặc phương thức xâm nhập ban đầu vào hệ thống |
| API key | Khóa truy cập dùng để xác thực khi gọi API |
| administrative dashboard | Bảng điều khiển quản trị |
| downstream clients | Các khách hàng hoặc hệ thống ở phía sau trong chuỗi phụ thuộc |
| email security controls | Các biện pháp bảo mật cho email doanh nghiệp |
| VPN access | Quyền truy cập vào hệ thống thông qua mạng riêng ảo |
| SSH key | Khóa xác thực dùng để đăng nhập an toàn qua SSH |
| backend system | Hệ thống phía sau, xử lý logic và dữ liệu của ứng dụng |
| credential | Thông tin xác thực như tài khoản, mật khẩu, token |
| digital analytics provider | Nhà cung cấp nền tảng phân tích dữ liệu số |
| internal authentication systems | Hệ thống xác thực nội bộ |
| unauthorized access | Truy cập trái phép |
| supply chain breach | Sự cố xâm nhập chuỗi cung ứng |
| visibility | Khả năng quan sát, theo dõi và nhận biết rủi ro trong hệ thống |
| app-based MFA | MFA thông qua ứng dụng xác thực thay vì SMS |
| TOTP | Mã xác thực dùng một lần có hiệu lực theo thời gian |
| FIDO2 hardware key | Thiết bị khóa vật lý hỗ trợ xác thực mạnh theo chuẩn FIDO2 |
| push-based MFA | MFA bằng cách gửi yêu cầu phê duyệt đến thiết bị người dùng |
| Mobile Threat Defense (MTD) | Giải pháp bảo vệ thiết bị di động trước các mối đe dọa |
| just-in-time access | Quyền truy cập chỉ được cấp trong thời gian cần thiết |
| Role-Based Access Control (RBAC) | Kiểm soát truy cập dựa trên vai trò người dùng |
| OAuth token | Mã ủy quyền dùng để cấp quyền truy cập cho ứng dụng hoặc dịch vụ |
| API key rotation | Thay đổi định kỳ API key để giảm rủi ro bị lộ |
| behavioral analytics | Phân tích hành vi để phát hiện dấu hiệu bất thường |
| session anomaly | Bất thường trong phiên đăng nhập hoặc sử dụng hệ thống |
| supplier security posture | Mức độ sẵn sàng và năng lực bảo mật của nhà cung cấp |
| social engineering | Kỹ thuật thao túng con người để đánh cắp thông tin hoặc quyền truy cập |
| incident response | Quy trình phát hiện, xử lý và khắc phục sự cố an ninh mạng |
| secure authentication | Xác thực an toàn, giảm nguy cơ bị chiếm quyền truy cập |
| threat landscape | Bức tranh tổng thể về các mối đe dọa hiện tại |
| intrusion | Hành vi xâm nhập trái phép vào hệ thống |
Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua:
Email: info@unitas.vn
Hotline: (+84) 939 586 168.
