Theo khảo sát từ Statista, ba phần tư người dùng tại Hoa Kỳ sử dụng Gmail như dịch vụ email chính hoặc phụ. Điều này tương đương khoảng 160 triệu người dùng chỉ riêng tại Mỹ.

Trong thời đại mà đăng nhập bằng tài khoản mạng xã hội trở thành phương thức truy cập phổ biến cho hầu hết các ứng dụng, một tài khoản Gmail có thể là “chìa khóa” mở ra hàng loạt dịch vụ trực tuyến. Đây cũng chính là lý do Gmail trở thành mục tiêu giá trị cao của các cuộc lừa đảo.

Bài viết này sẽ giải thích ba dạng lừa đảo Gmail phổ biến, chỉ ra các dấu hiệu cảnh báo và chia sẻ những biện pháp bảo mật quan trọng để giúp bạn bảo vệ một trong những tài khoản quan trọng nhất của mình.

CÁC HÌNH THỨC LỪA ĐẢO GMAIL PHỔ BIẾN

Theo khảo sát F-Secure Living Secure năm trước, 54% các vụ lừa đảo trực tuyến được thực hiện qua email. Những kẻ lừa đảo liên tục thay đổi chiến thuật và theo Pew Research, 63% người dùng cho biết họ nhận được ít nhất một email lừa đảo mỗi tuần.

Các thủ đoạn có thể thay đổi, nhưng hầu hết đều bắt đầu bằng một email trông có vẻ hợp pháp. Dưới đây là ba dạng phổ biến nhất.

1. GIẢ MẠO GMAIL HOẶC GOOGLE SUPPORT

Đây là hình thức lừa đảo phổ biến nhất: email giả mạo Google hoặc Gmail Support thông báo có vấn đề với tài khoản của bạn như đăng nhập đáng ngờ, vượt dung lượng hoặc cảnh báo khóa tài khoản.

Email thường chứa nút “Bảo mật tài khoản” hoặc “Xem hoạt động” dẫn đến trang đăng nhập Google giả, được thiết kế để đánh cắp mật khẩu. Một số kẻ gian tinh vi hơn còn giả mạo địa chỉ gửi như no-reply@google.com hoặc tạo trang hỗ trợ giả với số điện thoại. Nếu bạn gọi, chúng có thể yêu cầu mật khẩu, mã xác minh hoặc truy cập từ xa.

Nguyên tắc quan trọng nhất: không đăng nhập tài khoản Google thông qua đường link trong email. Hãy mở tab mới và truy cập trực tiếp myaccount.google.com để kiểm tra bảo mật.

2. LỪA ĐẢO THÔNG QUA GOOGLE SITES

Google Sites cho phép tạo website đơn giản, nhanh chóng và có chứa tên miền google.com trong URL, khiến nhiều người dễ lầm tưởng đây là trang chính thức.

Kẻ gian đang lợi dụng điều này bằng cách tạo các website giả mạo Google Sites kèm theo email trông chuyên nghiệp, nội dung y như Google hỗ trợ. Mục tiêu vẫn là đánh cắp tên đăng nhập và mật khẩu Gmail.

Trong một trường hợp được ghi nhận, email lừa đảo thậm chí còn hiển thị như được gửi từ no-reply@google.com. Dấu hiệu duy nhất để nhận biết là đường dẫn trong email trỏ đến sites.google.com chứ không phải trang Google chính thức.

3. LỪA ĐẢO QUA TÓM TẮT EMAIL BẰNG AI

Từ giữa năm 2024, Google triển khai trợ lý Gemini AI trong Gmail. Tuy mang lại tiện ích, nó cũng mở ra cơ hội mới cho kẻ gian.

Một thủ đoạn ngày càng phổ biến là chèn các liên kết độc hại hoặc số điện thoại giả vào phần văn bản ẩn trong email – nội dung mà con người không nhìn thấy nhưng AI có thể đọc được. Khi người dùng bấm “Tóm tắt email”, Gemini sẽ đưa thông tin ẩn vào phần tóm tắt.

Người dùng thường tin tưởng nội dung hiển thị trong bảng tóm tắt hơn email gốc và dễ bấm vào các liên kết độc hại dẫn đến trang giả hoặc cài đặt malware.

4. LỪA ĐẢO SIÊU CÁ NHÂN HÓA BẰNG AI

AI hiện nay có thể quét hàng năm dữ liệu công khai, mạng xã hội và dữ liệu bị rò rỉ để xây dựng email lừa đảo mang tính cá nhân hóa cao.

Các email này có thể nhắc đến dự án bạn từng làm, người quen, hoặc sự kiện đời sống – khiến chúng trở nên cực kỳ thuyết phục và dễ vượt qua bộ lọc spam.

DẤU HIỆU NHẬN BIẾT EMAIL LỪA ĐẢO TRÊN GMAIL

Dưới đây là những dấu hiệu cảnh báo quan trọng:

• Nội dung khẩn cấp, thúc ép hành động ngay

• Email đến từ địa chỉ lạ, chưa từng tương tác trước đó

• Liên kết hoặc file đính kèm đáng ngờ

• Yêu cầu cung cấp thông tin cá nhân hay mật khẩu (Google không bao giờ làm điều này)

• Các đề nghị quá hấp dẫn, trúng thưởng, hoàn tiền bất ngờ

Trước đây, lỗi chính tả hoặc thiết kế kém là dấu hiệu rõ ràng. Nhưng hiện nay, email lừa đảo được làm rất chỉn chu, vì thế người dùng cần cảnh giác hơn.

CÁCH BẢO VỆ TÀI KHOẢN GMAIL

Phòng ngừa luôn là biện pháp mạnh nhất trong bảo mật. Dưới đây là các bước quan trọng để giảm thiểu rủi ro:

1. CHẠY KIỂM TRA BẢO MẬT GOOGLE

Truy cập myaccount.google.com/security-checkup để xem các gợi ý bảo mật được Google đề xuất.

2. SỬ DỤNG MẬT KHẨU MẠNH VÀ DUY NHẤT

Không dùng lại mật khẩu cũ. Nên sử dụng trình tạo mật khẩu mạnh với độ dài lớn và kết hợp chữ, số, ký tự.

3. KÍCH HOẠT XÁC MINH 2 BƯỚC (2FA)

Dù đôi khi gây bất tiện, nhưng đây là lớp bảo mật cực kỳ hiệu quả để ngăn truy cập trái phép.

4. KIỂM TRA CÀI ĐẶT ĐỊNH KỲ

Xem lại thiết bị đăng nhập, quy tắc chuyển tiếp email hoặc thay đổi bất thường. Đây thường là dấu hiệu đầu tiên cho thấy tài khoản đã bị xâm nhập.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.