Scam là gì? Dấu hiệu nhận biết và cách phòng tránh hiệu quả

1. Scam là gì? Định nghĩa và khái niệm liên quan

Scam là thuật ngữ chỉ hành vi lừa đảo có chủ đích, trong đó kẻ tấn công dùng thủ thuật gian lận để chiếm đoạt tài sản, dữ liệu hoặc quyền truy cập của nạn nhân. Trong tiếng Việt, "scam nghĩa là lừa đảo" và thuật ngữ này hiện được dùng rộng rãi trong cả ngữ cảnh cá nhân lẫn doanh nghiệp. Scam thường khai thác điểm yếu tâm lý thay vì lỗ hổng kỹ thuật, khiến ngay cả hệ thống có firewall mạnh cũng có thể bị vượt qua nếu nhân viên thiếu cảnh giác.

Scam khác biệt với các khái niệm thường bị nhầm lẫn: fraud (gian lận) mang tính pháp lý và rộng hơn; phishing là dạng scam chuyên dụng qua email hoặc website giả mạo nhằm đánh cắp thông tin đăng nhập; còn spam mail là thư rác không nhất thiết có mục đích lừa đảo. Scam là khái niệm bao quát nhất, có thể xảy ra qua mọi kênh từ email, điện thoại, mạng xã hội đến gặp mặt trực tiếp.

2. Scam hoạt động như thế nào?

Không giống các cuộc tấn công kỹ thuật thuần túy, scam tấn công vào con người trước, vào hệ thống sau. Kẻ thực hiện scam khai thác social engineering để điều khiển cảm xúc nạn nhân, tạo ra trạng thái tâm lý khiến họ hành động mà không kịp xác minh. Hiểu đúng cơ chế này là chìa khóa để phòng tránh hiệu quả.

2.1. Vòng đời của một cuộc tấn công scam

Dù hình thức có đa dạng, hầu hết cuộc tấn công scam đều trải qua năm giai đoạn theo một trình tự nhất quán:

• Giai đoạn 1 - Trinh sát: Kẻ tấn công thu thập thông tin về mục tiêu từ mạng xã hội, website công ty, thông tin đăng ký doanh nghiệp để xây dựng kịch bản thuyết phục.
• Giai đoạn 2 - Tiếp cận: Liên hệ qua email, điện thoại, tin nhắn hoặc mạng xã hội với nội dung được cá nhân hóa, đề cập đúng tên, chức vụ, tên công ty.
• Giai đoạn 3 - Xây dựng niềm tin: Duy trì trao đổi trong vài ngày đến vài tuần, đôi khi thực hiện giao dịch nhỏ có lãi thật để tạo niềm tin trước khi ra đòn chính.
• Giai đoạn 4 - Khai thác: Yêu cầu cung cấp thông tin nhạy cảm, chuyển tiền, nhấp vào link hoặc cài ứng dụng độc hại. Áp lực tâm lý được đẩy lên tối đa ở giai đoạn này.
• Giai đoạn 5 - Biến mất: Sau khi đạt mục tiêu, kẻ tấn công ngắt liên lạc hoàn toàn. Với BEC hoặc scam tài chính, số tiền thường đã được chuyển qua nhiều tài khoản trung gian trước khi nạn nhân phát hiện.

2.2. Bốn trạng thái tâm lý kẻ scam khai thác

Mỗi chiến dịch scam được thiết kế để đẩy nạn nhân vào đúng một trong bốn trạng thái sau, khiến họ ra quyết định mà không có thời gian kiểm chứng:

• Ham muốn lợi ích: Hứa hẹn giải thưởng, cơ hội sinh lời hấp dẫn hoặc ưu đãi độc quyền có thời hạn. Nạn nhân hành động vì lo ngại bỏ lỡ điều gì đó giá trị.
• Lo lắng về rủi ro: Giả mạo cơ quan nhà nước, ngân hàng hoặc bộ phận pháp lý thông báo về nguy cơ bị phạt, khóa tài khoản hoặc truy cứu trách nhiệm nếu không phản hồi ngay.
• Tin tưởng vào nguồn gửi: Mạo danh người quen, cấp trên, đối tác lâu năm hoặc thương hiệu uy tín để nạn nhân thực hiện yêu cầu mà không đặt câu hỏi.
• Áp lực thời gian: Đặt deadline nhân tạo như "trong 2 giờ", "hôm nay là hạn cuối", "xử lý trước 5 giờ chiều" để cắt đứt khả năng suy nghĩ, hỏi ý kiến người khác hoặc xác minh thông tin.

3. Tại sao scam ngày càng khó phát hiện?

Scam hiện đại không còn dễ nhận ra qua lỗi chính tả hay cú pháp vụng về. Kẻ tấn công đang ứng dụng AI để tạo nội dung tiếng Việt tự nhiên, giọng văn được điều chỉnh phù hợp từng đối tượng và ngữ cảnh công việc cụ thể, thậm chí giả lập giọng nói qua điện thoại bằng công nghệ deepfake âm thanh.

Kết hợp với kỹ thuật email spoofing và giả mạo domain tinh vi, một thư scam chuyên nghiệp hiện nay trông hoàn toàn giống email từ đồng nghiệp hoặc đối tác thật, kể cả khi kiểm tra bằng mắt thường. Kẻ tấn công cũng chủ động chọn thời điểm gửi phù hợp như cuối tháng khi áp lực công việc cao, hoặc ngay trước kỳ nghỉ lễ khi nhân viên xử lý công việc nhanh hơn bình thường.

Thêm vào đó, các chiến dịch scam hiện đại có thể kéo dài nhiều tuần với nhiều điểm tiếp xúc trước khi ra đòn quyết định. Điều này khiến nạn nhân đã tích lũy đủ niềm tin và không còn giữ được cảnh giác ban đầu. Đây là lý do xác minh kỹ thuật qua các tiêu chuẩn như DKIM, SPF và phân tích hành vi AI trở thành lớp bảo vệ không thể thiếu, thay thế cho phán đoán chủ quan của con người.

4. Các hình thức scam phổ biến hiện nay

Hiểu rõ từng hình thức scam giúp doanh nghiệp và cá nhân xây dựng phòng tuyến bảo vệ phù hợp. Dưới đây là những kiểu tấn công phổ biến nhất hiện nay.

4.1. Thư scam (email scam)

Thư scam là dạng phishing email được gửi hàng loạt với mục đích lừa nạn nhân cung cấp thông tin hoặc thực hiện hành động có hại. Kẻ tấn công thường dùng email spoofing để giả mạo địa chỉ người gửi. Các dạng phổ biến gồm: thư giả mạo ngân hàng yêu cầu xác minh tài khoản, thông báo trúng thưởng yêu cầu đóng phí, invoice giả gửi đến kế toán, và email đe dọa giả mạo cơ quan pháp lý.

4.2. Scam qua mạng xã hội và tin nhắn

Kẻ tấn công giả mạo tài khoản người thân, bạn bè hoặc thương hiệu uy tín để tiếp cận nạn nhân qua các nền tảng nhắn tin. Các kịch bản phổ biến gồm giả mạo người quen cần vay tiền gấp, tổ chức minigame lừa đảo, hoặc phát tán malware qua link rút ngắn. Đặc biệt nguy hiểm là các chiến dịch kết hợp deepfake giọng nói hoặc hình ảnh để tăng độ thuyết phục.

4.3. Scam tài chính và đầu tư

Kẻ tấn công xây dựng mô hình đầu tư ảo với lợi nhuận hấp dẫn rồi biến mất cùng số tiền của nhà đầu tư. Scam tuyển dụng việc làm online cũng thuộc nhóm này, trong đó nạn nhân bị yêu cầu đóng phí ký quỹ trước khi nhận việc. Thông tin cá nhân bị lộ qua các vụ này thường tiếp tục bị khai thác cho các đợt data breach tiếp theo.

4.4. Scam doanh nghiệp (Business Email Compromise)

BEC là hình thức scam nhắm thẳng vào doanh nghiệp, thường gây thiệt hại lớn nhất. Kẻ tấn công thực hiện spear phishing nhắm vào nhân sự có thẩm quyền tài chính: giả mạo email CEO, CFO hoặc đối tác để yêu cầu chuyển tiền khẩn hoặc thay đổi tài khoản thụ hưởng. Kẻ tấn công thường chọn domain có cấu hình DMARC yếu để thực hiện giả mạo.

5. 5 dấu hiệu nhận biết một cuộc tấn công scam

Nhận diện sớm là lớp phòng thủ quan trọng nhất. Dưới đây là năm dấu hiệu cần kiểm tra ngay khi tiếp nhận bất kỳ yêu cầu bất thường nào qua email hoặc tin nhắn.

5.1. Ngôn ngữ tạo áp lực và cảm giác cấp bách

Bất kỳ thông điệp nào thúc giục bạn "hành động ngay lập tức", "trong vòng 24 giờ" hoặc "đây là cơ hội cuối cùng" đều cần dừng lại và xác minh. Sự cấp bách giả tạo là công cụ chính để kẻ scam ngăn nạn nhân suy nghĩ. Hãy đặt quy tắc: yêu cầu càng gấp, xác minh càng kỹ trước khi thực hiện.

5.2. Yêu cầu cung cấp thông tin nhạy cảm bất thường

Không tổ chức hợp pháp nào yêu cầu cung cấp mật khẩu, OTP, thông tin thẻ ngân hàng hoặc số CMND qua email hoặc tin nhắn thông thường. Nếu nhận được yêu cầu loại này, dù email trông có vẻ đến từ ngân hàng hay đồng nghiệp, đây là tín hiệu đỏ rõ ràng. Tham khảo 7 cách nhận biết email lừa đảo để có checklist đầy đủ hơn.

5.3. Địa chỉ email và domain không khớp

Kiểm tra kỹ địa chỉ người gửi, không chỉ tên hiển thị. Kẻ tấn công dùng typosquatting để tạo domain gần giống thật như "vnetw0rk.com" hoặc "vnetwork-security.com". Ngoài ra, email hợp lệ phải vượt qua ba lớp xác thực kỹ thuật: SPF, DKIM và DMARC. Thư scam thường thất bại ở ít nhất một trong ba lớp này khi được kiểm tra kỹ thuật.

5.4. File đính kèm và link đáng ngờ

File đính kèm có định dạng bất thường như .exe, .zip, .iso hoặc tên file giả mạo tài liệu hợp lệ có thể chứa trojan, spyware hoặc ransomware. Với link, hãy di chuột qua để xem địa chỉ thực trước khi nhấp. Link rút gọn hoặc URL không khớp tên thương hiệu đều cần cảnh giác, đặc biệt khi đến từ junk mail lọt vào hộp thư chính.

5.5. Nội dung không phù hợp với ngữ cảnh quan hệ

Email từ đối tác hoặc đồng nghiệp nhưng đề nghị bất thường so với lịch sử giao dịch, không gọi đúng tên bạn, hoặc đề cập thông tin không chính xác về công ty là dấu hiệu tài khoản đó đang bị giả mạo. Với các yêu cầu tài chính, luôn xác minh bằng cuộc gọi trực tiếp đến số điện thoại đã lưu trước đó, không gọi theo số điện thoại ghi trong email nghi vấn.

6. Hậu quả của scam với cá nhân và doanh nghiệp

Hậu quả của một vụ scam thường lan rộng nhanh hơn và kéo dài lâu hơn so với những gì nạn nhân dự đoán ban đầu. Dưới đây là bốn nhóm thiệt hại phổ biến nhất.

6.1. Thiệt hại tài chính trực tiếp

Thiệt hại tài chính từ scam xảy ra ngay lập tức và thường không thể thu hồi, đặc biệt khi tiền đã được chuyển qua nhiều tài khoản trung gian trước khi nạn nhân phát hiện. Với doanh nghiệp, tổn thất không dừng ở số tiền bị chiếm đoạt mà còn mở rộng sang chi phí điều tra sự cố, thuê đơn vị bảo mật xử lý hậu quả và chi phí thông báo cho các bên liên quan.

6.2. Rò rỉ dữ liệu và nguy cơ tấn công tiếp theo

Thông tin bị lộ qua một vụ scam hiếm khi dừng lại ở một thiệt hại duy nhất. Dữ liệu có thể bị bán trên dark web, dùng để cài rootkit duy trì quyền truy cập lâu dài, hoặc làm nguyên liệu cho các chiến dịch data breach và tấn công có chủ đích nhắm vào doanh nghiệp trong tương lai. Một địa chỉ email hay số điện thoại bị lộ là điểm khởi đầu cho nhiều cuộc tấn công kế tiếp.

6.3. Thiệt hại uy tín thương hiệu

Một sự cố scam được công khai, dù doanh nghiệp là nạn nhân hay bị kẻ tấn công lợi dụng tên thương hiệu để giả mạo, đều gây tổn hại nghiêm trọng đến niềm tin của khách hàng và đối tác. Trong các ngành nhạy cảm như tài chính, y tế hoặc thương mại điện tử, thiệt hại uy tín đôi khi còn đắt giá và kéo dài hơn cả thiệt hại vật chất trực tiếp.

6.4. Trách nhiệm pháp lý

Doanh nghiệp có thể đối mặt với trách nhiệm bồi thường khi dữ liệu khách hàng bị lộ do không triển khai biện pháp bảo mật đủ mức. Các quy định theo Luật Bảo vệ dữ liệu cá nhân và Luật An ninh mạng đang ngày càng được thắt chặt, khiến việc chủ động phòng tránh scam trở thành nghĩa vụ pháp lý, không còn là lựa chọn tùy nghi.

7. Cách phòng tránh scam hiệu quả cho cá nhân và tổ chức

7.1. Biện pháp phòng tránh cho người dùng cá nhân

Người dùng cá nhân có thể giảm thiểu nguy cơ bằng cách xây dựng thói quen kiểm tra thông tin trước khi hành động:

• Xác minh nguồn gửi bằng cách gọi điện trực tiếp trước khi thực hiện bất kỳ yêu cầu tài chính nào.
• Không nhấp vào link trong email hoặc tin nhắn từ nguồn không rõ ràng; thay vào đó truy cập trực tiếp website chính thức.
• Tuyệt đối không cung cấp OTP, mật khẩu hoặc thông tin thẻ ngân hàng qua bất kỳ kênh nào ngoài ứng dụng chính thức.
• Bật xác thực hai yếu tố (2FA) cho tất cả tài khoản quan trọng.

7.2. Biện pháp bảo vệ cho doanh nghiệp và IT Manager

Ở cấp độ tổ chức, IT Manager cần áp dụng chiến lược Defense in Depth kết hợp công nghệ, quy trình và đào tạo con người:

• Tổ chức đào tạo nhận thức an ninh mạng định kỳ cho toàn bộ nhân viên, đặc biệt bộ phận tài chính và nhân sự.
• Triển khai hệ thống lọc email thông minh, tham khảo bộ quy tắc bảo mật email ITU để xây dựng chính sách email chuẩn quốc tế.
• Thiết lập quy trình xác minh giao dịch tài chính với tối thiểu hai lớp phê duyệt, không chuyển khoản chỉ dựa trên email.
• Áp dụng nguyên tắc Zero Trust để hạn chế phạm vi thiệt hại khi một tài khoản bị chiếm quyền.

8. EG-Platform: Giải pháp bảo mật email chuyên biệt chống scam 

8.1. Mô hình ba lớp bảo vệ

EG-Platform hoạt động theo mô hình ba lớp độc lập nhưng liên thông dữ liệu với nhau, tạo thành hệ thống phòng thủ không có điểm mù:

• SpamGUARD: Sử dụng Machine Learning và bộ lọc Bayes để chấm điểm rủi ro từng email. Kiểm tra đồng thời SPF, DKIM, DMARC để phát hiện giả mạo tên miền. Lớp này lọc và chặn sớm thư scam, phishing mail và email chứa mã độc ngay từ vòng ngoài.
• ReceiveGUARD: Phishing email tinh vi không chứa malware vẫn bị phát hiện nhờ phân tích hành vi người dùng và kiểm tra nội dung, tệp đính kèm, URL trong môi trường sandbox. Khi phát hiện rủi ro, liên kết đáng ngờ bị vô hiệu hóa trước khi người dùng truy cập. Lớp này phát hiện 17 loại tấn công có chủ đích bao gồm BEC và APT theo chuẩn ITU-T X.1236.
• SendGUARD: Kiểm soát email gửi ra ngoài, ngăn tài khoản nội bộ bị chiếm quyền phát tán spear phishing hoặc rò rỉ dữ liệu. Cơ chế lọc theo IP, quốc gia và nội dung nhạy cảm giúp giảm thiểu nguy cơ lan rộng sự cố từ bên trong tổ chức.

8.2. Tính năng nổi bật

• Phát hiện sớm chiến dịch phishing và scam email tinh vi trước khi gây thiệt hại, kể cả khi email không chứa malware.
• Sandbox phân tích tệp đính kèm và URL nguy hiểm trong môi trường cô lập, phản ứng với tấn công zero-day theo thời gian thực.
• Phân tích hành vi người dùng để nhận diện email giả mạo domain có độ tương đồng cao với địa chỉ thật mà bộ lọc truyền thống bỏ qua.
• Bảo vệ email hai chiều, ngăn đồng thời tấn công từ bên ngoài và rò rỉ dữ liệu nội bộ qua kênh email. Tích hợp hoàn toàn với hạ tầng bảo vệ web như WAF và chống brute force để tạo phòng tuyến đa lớp.
• Tuân thủ tiêu chuẩn bảo mật email quốc tế ITU-T X.1236, đáp ứng yêu cầu tuân thủ Luật An ninh mạng và Luật Bảo vệ dữ liệu cá nhân.

Kết luận

Scam là mối đe dọa ngày càng tinh vi, nhắm vào cả cá nhân lẫn tổ chức với nhiều hình thức đa dạng từ thư scam, scam mạng xã hội đến BEC phức tạp. Hiểu rõ scam là gì, cơ chế tâm lý kẻ tấn công khai thác, nhận diện đúng dấu hiệu và xây dựng quy trình phòng tránh là bước đầu tiên để bảo vệ tài sản và dữ liệu. Doanh nghiệp cần kết hợp đào tạo nhân viên với hệ thống bảo mật kỹ thuật, trong đó EG-Platform của VNETWORK là giải pháp chuyên biệt cho bảo mật email và chống lừa đảo. Liên hệ VNETWORK ngay hôm nay để được tư vấn phương án bảo vệ phù hợp với quy mô và đặc thù ngành của tổ chức bạn.

FAQ - Những câu hỏi thường gặp về scam

1. Scam là gì và khác gì với phishing?

Scam là thuật ngữ chỉ mọi hành vi lừa đảo có chủ đích nhằm chiếm đoạt tài sản, dữ liệu hoặc quyền truy cập của nạn nhân. Phishing là một dạng scam cụ thể, tập trung vào việc giả mạo website hoặc email của tổ chức uy tín để đánh cắp thông tin đăng nhập. Nói cách khác, phishing luôn là scam nhưng scam không chỉ có phishing.

2. Thư scam thường có đặc điểm gì để nhận biết?

Thư scam thường có địa chỉ email người gửi không khớp với tên tổ chức, nội dung tạo cảm giác cấp bách hoặc đưa ra lời đề nghị hấp dẫn bất thường, yêu cầu nhấp vào link hoặc tải file đính kèm, và không gọi đúng tên người nhận. Kiểm tra kỹ phần header email và domain gửi là cách nhanh nhất để xác minh tính hợp lệ.

3. Doanh nghiệp cần làm gì ngay khi phát hiện bị scam?

Khi phát hiện sự cố scam, doanh nghiệp cần khoanh vùng và cô lập hệ thống bị ảnh hưởng ngay lập tức, đổi mật khẩu toàn bộ tài khoản liên quan, liên hệ ngân hàng nếu có giao dịch tài chính bất thường, đồng thời báo cáo cho bộ phận IT hoặc đơn vị bảo mật để điều tra nguyên nhân gốc rễ và ngăn chặn tái diễn.

4. Scam nghĩa là gì trong ngữ cảnh tài chính?

Trong ngữ cảnh tài chính, scam nghĩa là các hành vi gian lận nhằm chiếm đoạt tiền của nạn nhân thông qua đầu tư ảo, mô hình đa cấp biến tướng, giả mạo sàn giao dịch hoặc ví điện tử. Nạn nhân thường bị dẫn dụ bởi cam kết lợi nhuận cao và rủi ro thấp, trong khi thực tế không có sản phẩm hoặc hoạt động kinh doanh thực sự nào đằng sau.

5. Làm thế nào để báo cáo hành vi scam tại Việt Nam?

Tại Việt Nam, người dùng có thể báo cáo hành vi scam đến Cục An toàn thông tin thuộc Bộ Thông tin và Truyền thông qua cổng thông tin chính thức, hoặc phản ánh đến cơ quan công an địa phương. Ngoài ra, các nền tảng mạng xã hội và ngân hàng đều có kênh tiếp nhận phản ánh lừa đảo trực tuyến để kịp thời xử lý và cảnh báo cộng đồng.