Email phishing là gì? tại sao nó lại nguy hiểm?

Email phishing là gì? tại sao nó lại nguy hiểm?

Cập nhật lúc 17:18 31/12/2025
Email phishing (email giả mạo hoặc email lừa đảo) là một hình thức tấn công mạng phổ biến nhất hiện nay, được phát hiện lần đầu tiên vào năm 1987. Thuật ngữ "phishing" xuất phát từ sự kết hợp của hai từ tiếng Anh: "fishing for information" (câu thông tin) và "phreaking" (trò lừa đảo qua điện thoại), vì bản chất của nó giống như việc "câu cá" - để có được thông tin từ các nạn nhân.

Trong phishing email, các tin tặc (hacker) giả mạo thành các tổ chức uy tín như ngân hàng, chính phủ, công ty lớn (Google, Microsoft, PayPal, Dropbox), hoặc thậm chí là những người quen biết của bạn. Họ tạo ra những email có giao diện và nội dung gần giống hoàn toàn với email thực sự để lừa người nhận tin rằng đó là email chính chủ. Khi người dùng tin tưởng, họ sẽ:

  • Nhấp vào liên kết giả mạo dẫn tới website lừa đảo
  • Tải xuống tệp đính kèm chứa mã độc
  • Cung cấp thông tin cá nhân (tên đăng nhập, mật khẩu, thông tin thẻ tín dụng)

Khác biệt quan trọng: Chỉ mở email phishing không gây hại, nhưng nhấp vào liên kết hoặc tải tệp đính kèm có thể dẫn đến những hậu quả nghiêm trọng.

Tại sao Email Phishing lại nguy hiểm?

Global Phishing Attack Growth (2019-2022)
Global Phishing Attack Growth (2019-2022)

1. Quy mô tấn công khổng lồ và phát triển nhanh chóng

Email phishing không phải là một mối đe dọa nhỏ - nó đang phát triển với tốc độ kinh hoàng:

  • Mỗi ngày, có 3.4 tỷ email phishing được gửi trên toàn cầu, chiếm 1.2% tất cả lưu lượng email
  • 1 trong 412 email toàn cầu là một nỗ lực phishing
  • Từ 2019 đến 2022, các cuộc tấn công phishing tăng 150% mỗi năm
  • Kể từ khi ChatGPT ra mắt (2022), phishing attacks tăng vọt 4,151%
  • Trong quý 1 năm 2025, APWG ghi nhận hơn 1 triệu cuộc tấn công phishing duy nhất, mức cao nhất kể từ cuối 2023

2. Tác động tài chính đáng kinh ngạc

Phishing không chỉ là mối đe dọa về bảo mật - nó tạo ra thiệt hại tài chính khổng lồ:

  • Chi phí trung bình của một vụ phishing breach năm 2024: $4.88 triệu (tăng 9.7% so với 2023)
  • Business Email Compromise (BEC) gây mất $2.7 tỷ
  • Người dùng cá nhân tại Mỹ mất $245 triệu vào phishing năm 2021 (con số này khác chắc chắn cao hơn nhiều vào năm 2025)
  • Năm 2021, các doanh nghiệp trung bình mất $200,000 cho mỗi vụ phishing

Đối với doanh nghiệp lớn, con số này có thể lên tới hàng triệu đô la.

3. Phishing là cánh cửa vào cho các cuộc tấn công lớn hơn

Email phishing thường không phải là mục đích cuối cùng - nó là bước đầu tiên để xâm nhập vào hệ thống lớn hơn:

  • Phishing là véc-tơ tấn công ban đầu trong 36% tất cả các vụ vi phạm dữ liệu
  • Nó là véc-tơ phổ biến nhất trong các vụ vi phạm dữ liệu từ tháng 3/2024 đến 2/2025, chiếm 16% sự cố
  • Phishing là điểm khởi đầu của nhiều cuộc tấn công ransomware ở các quốc gia như:Ấn Độ: 21% của các cuộc tấn công ransomwareNhật Bản: 22%Chile: 20%Colombia: 24%
  • Ấn Độ: 21% của các cuộc tấn công ransomware
  • Nhật Bản: 22%
  • Chile: 20%
  • Colombia: 24%

Khi một hacker có được thông tin đăng nhập qua phishing, họ có thể điều khiển hệ thống từ xa, đánh cắp dữ liệu trí tuệ, thông tin khách hàng, hoặc triển khai ransomware để tống tiền doanh nghiệp.

4. Nguy hiểm tuyệt đối với các doanh nghiệp

Không có tổ chức nào miễn khỏi phishing:

  • 84% các tổ chức đã gặp phải ít nhất một cuộc tấn công phishing
  • Trong một công ty 1,000 nhân viên, trung bình có 2,330 cuộc tấn công phishing mỗi năm vượt qua các lớp bảo mật kỹ thuật
  • Trong số đó, 466 email phishing sẽ bị nhấp (ở các công ty có đào tạo bảo mật tiêu chuẩn)
  • Một công ty 10,000 nhân viên sẽ có 23,300 phishing emails và 4,660 lần nhấp

5. Sự kinh hoàng của tỷ lệ thành công

Phishing không cần phải có tỷ lệ thành công cao để gây sát thương:

  • Tỷ lệ nhấp chuột trung bình cho một chiến dịch phishing: 17.8%
  • Chiến dịch phishing nhắm mục tiêu cao hơn kết hợp với cuộc gọi điện thoại: 53.2% (gấp 3 lần hiệu quả hơn!)

57.9% các email phishing được gửi từ các tài khoản đã bị xâm phạm, làm cho việc xác định và chặn chúng khó hơn nhiều. Hơn nữa, 11.4% của những email đó từ các tài khoản bị xâm phạm trong chuỗi cung ứng của tổ chức - điều này có nghĩa là tin tặc đã xâm nhập sâu vào hệ thống của bạn.

Phishing Vulnerability by Age Group (2025)
Phishing Vulnerability by Age Group (2025)

6. Mục tiêu là con người, không phải công nghệ

Phishing khai thác tâm lý con người, chứ không phải các lỗ hổng kỹ thuật phức tạp:

  • Negligence gây ra 98% vụ vi phạm dữ liệu vào năm 2023, thường liên quan đến phishing
  • Phishing email có thể trông rất chân thực và khó phát hiện - ngay cả những người có kinh nghiệm cũng có thể bị lừa
  • Phishing sử dụng tâm lý sợ hãi, khẩn cấp, lòng tin, tò mò để thực hiện
  • Các hacker sử dụng email từ bộ phận nhân sự, CEO, người quen biết để tăng độ tin cậy

Các thư rác phishing thường chứa lời nhắn khẩn cấp như:

  • "Tài khoản của bạn sẽ bị đóng trong 48 giờ nếu bạn không phản hồi"
  • "Phát hiện hoạt động đáng ngờ trên tài khoản của bạn"
  • "Yêu cầu xác minh tài khoản ngay lập tức"
  • "Bạn nợ tiền thuế"

Những lời nhắn này tạo ra tình trạng hoảng loạn khiến người nhận không có thời gian suy nghĩ.

7. Phương pháp tấn công ngày càng tinh vi

Phishing không dừng lại ở email đơn giản:

  • Spear Phishing: Nhắm mục tiêu vào các cá nhân, tổ chức hoặc doanh nghiệp cụ thể bằng cách sử dụng thông tin cá nhân để tăng độ tin cậy
  • Evil Twin WiFi: Tạo ra một mạng WiFi hợp pháp để dụ nạn nhân kết nối, sau đó chuyển hướng họ tới trang lừa đảo
  • Phishing qua ứng dụng nhắn tin: 90% phishing qua Whatsapp, cộng với Telegram, Messenger
  • Mobile Phishing: Tăng 22%, thường nhắm vào các thiết bị không được quản lý
  • Quishing (QR Code Phishing): Tấn công 9.5% các chiến dịch vào cuối 2024

Những phương pháp này vượt quá email, khiến rất khó để bảo vệ.

8. AI Đang làm cho Phishing tồi tệ hơn

Dù hiện tại chỉ 0.7-4.7% các email phishing được tạo bằng AI, những email này tinh vi hơn nhiều vì:

  • AI có thể tạo ra nội dung với ngữ pháp hoàn hảo
  • Không có lỗi chính tả để nơi kẻ tấn công thường giảng
  • Chúng có thể được cá nhân hóa quy mô lớn dựa trên dữ liệu từ mạng xã hội

Các loại Phishing Email phổ biến nhất

Theo các báo cáo Việt Nam, những loại email phishing này rất nguy hiểm:

Các loại Phishing Email phổ biến nhất
Các loại Phishing Email phổ biến nhất

Phishing là cuộc chiến không bao giờ kết thúc

Email phishing là nguy hiểm vì nó:

  1. Quy mô khổng lồ: 3.4 tỷ email mỗi ngày
  2. Tác động tài chính nặng nề: Lên tới $4.88 triệu mỗi vụ vi phạm
  3. Là điểm khởi đầu cho các cuộc tấn công lớn: 36% vụ vi phạm dữ liệu bắt đầu từ phishing
  4. Rất khó chống: Khai thác tâm lý con người, không phải lỗ hổng kỹ thuật
  5. Nguy hiểm cho mọi người: Từ cá nhân tới doanh nghiệp lớn
  6. Đang trở nên tinh vi hơn: AI, spear phishing, mobile attacks

Để bảo vệ bản thân, cần:

  • Cảnh giác với mọi email yêu cầu cung cấp thông tin nhạy cảm
  • Không bao giờ nhấp vào liên kết từ email lạ
  • Kiểm tra địa chỉ email người gửi kỹ lưỡng
  • Sử dụng xác thực hai yếu tố (2FA)
  • Cập nhật phần mềm thường xuyên
  • Báo cáo email phishing cho các tổ chức chuyên trách
  • Tổ chức đào tạo nhân viên về nhận biết phishing (đối với doanh nghiệp)

Phishing không phải là vấn đề công nghệ mà là vấn đề về nhận thức và cảnh giác.

timeExc: 244ms, state: HIT, #1767176590719
    vnDev Co., Ltd.
  • Make with ❤️ in Vietnam
  • © Since 2008 - A member of vnDev Co., Ltd.