Được xuất bản vào ngày 2 tháng 12 năm 2025, 3:00 chiều EST
Niềm đam mê của Tashreef với công nghệ tiêu dùng bắt đầu từ thư viện trường học khi anh tình cờ đọc được một tạp chí công nghệ, CHIP, tạp chí này cuối cùng đã truyền cảm hứng cho anh theo đuổi tấm bằng Khoa học Máy tính. Kể từ năm 2012, Tashreef là tác giả chuyên nghiệp của hơn một nghìn bài viết hướng dẫn, đóng góp cho Windows Report và How-To Geek. Anh hiện tập trung vào nội dung Microsoft Windows tại MakeUseOf mà anh đã sử dụng từ năm 2007.
Với kinh nghiệm thực tế khi xây dựng trang web và blog công nghệ, anh mang đến những hiểu biết thực tế dành cho nhà phát triển vào bài viết kỹ thuật của mình. Bạn có thể xem danh mục công việc hoàn chỉnh của anh ấy tại itashreef.com.
Bạn cũng có thể tình cờ xem được video giải thích cách thực hiện ngắn gọn của anh ấy, giúp đơn giản hóa các chủ đề phức tạp. Ngoài việc viết lách, Tashreef còn thích tạo các video giải thích ngắn, chơi trò chơi và khám phá các chương trình hoạt hình.
Hãy tưởng tượng việc nhấp vào một email Microsoft trông giống thật với logo, bố cục và URL quen thuộc nhưng cuối cùng lại làm mất thông tin xác thực tài khoản của bạn. Email lừa đảo ngày càng thông minh hơn vì các tác nhân đe dọa hiện đang khai thác ảo ảnh đánh máy để đánh lừa bạn cung cấp thông tin đăng nhập của mình.
Hình thức tấn công này được gọi là đánh máy và có vẻ tinh vi. Thoạt nhìn, địa chỉ người gửi có vẻ hợp pháp. Thiết kế email phù hợp với những gì bạn mong đợi từ Microsoft. Ngay cả liên kết trong email cũng có vẻ đúng. Nhưng hãy nhìn kỹ hơn và bạn sẽ nhận thấy có điều gì đó không ổn:chỉ một ký tự thôi cũng đủ khiến tài khoản của bạn bị hack.
Lỗi đánh máy là gì và nó hoạt động như thế nào
Thủ thuật trực quan khai thác cách chúng ta đọc
Nhà cung cấp: Tashreef Shareef / MakeUseOf Trong trường hợp này, các tác nhân đe dọa đã đăng ký một miền như rnicrosoft.com và gửi email từ miền đó như thể họ là bộ phận hỗ trợ chính thức của Microsoft. Thoạt nhìn và đặc biệt là trên điện thoại, bộ não của bạn có thể coi đó là microsoft.com thay vì "r-nicrosoft". Đây là cách đánh máy cổ điển (hay còn gọi là chiếm quyền điều khiển URL).
Đánh máy liên quan đến việc tạo các miền giả trông gần giống với các trang web phổ biến. Những kẻ tấn công sử dụng lỗi chính tả, ký tự bị hoán đổi, các tên miền cấp cao nhất khác nhau (.co thay vì .com) hoặc các tên miền phụ bị thay đổi để khiến mọi người mất cảnh giác.
Mục đích là lừa bạn nhấp vào liên kết hoặc nhập URL dẫn đến một miền tương tự. Khi đó, nạn nhân thường gặp phải một trang web nhân bản có thương hiệu và thiết kế phù hợp. Bạn đăng nhập, nhập chi tiết thanh toán hoặc tải tệp xuống và cung cấp cho kẻ tấn công những gì chúng cần.
Việc đánh máy có hiệu quả vì bộ não của chúng ta xử lý các từ quen thuộc dưới dạng mẫu thay vì đọc từng chữ cái riêng lẻ. Khi bạn nhìn thấy "microsoft" hàng trăm lần, não của bạn bắt đầu nhận dạng hình dạng thay vì xác minh từng ký tự. Những kẻ lừa đảo khai thác điều này bằng cách sử dụng các chữ cái trông giống nhau như "rn" cho "m", "vv" cho "w" hoặc "1" cho "l".
Nhà cung cấp dịch vụ: Tashreef Shareef / MakeUseOf Vấn đề còn tồi tệ hơn trên thiết bị di động. Màn hình nhỏ hơn, phông chữ mặc định và khả năng cuộn nhanh khiến những khác biệt tinh tế này gần như vô hình. Bạn đang kiểm tra email trên điện thoại trong giờ ăn trưa, bạn nhìn thấy một tin nhắn từ thứ trông giống như Microsoft và bạn nhấn vào mà không cần suy nghĩ kỹ.
Điều làm cho việc đánh máy trở nên hiệu quả là việc sử dụng nó trong các email lừa đảo. Kẻ lừa đảo có thể đăng ký tên miền lỗi chính tả, thiết lập xác thực email thích hợp (SPF, DKIM, DMARC) và gửi tin nhắn trông hoàn toàn hợp pháp. Email vượt qua các bộ lọc thư rác, đến hộp thư đến của bạn và chờ bạn nhấp vào.
Tại sao bộ lọc trình duyệt và email không phải lúc nào cũng bắt được những điều này
Các miền có vẻ hợp pháp sẽ được kiểm tra tự động
Nhà cung cấp: Tashreef Shareef / MakeUseOf Bạn có thể nghĩ rằng nhà cung cấp email hoặc trình duyệt của bạn sẽ phát hiện ra các URL giả mạo hoặc sai chính tả rõ ràng và thực tế thường là như vậy. Edge và Chrome thậm chí có thể phát hiện lỗi chính tả trong URL. Thật không may, việc đánh máy sẽ khai thác những khoảng trống mà các hệ thống tự động này bỏ sót.
Các miền bị đánh máy thường được đăng ký hợp lệ với chứng chỉ SSL hợp lệ và nội dung trông có vẻ lành tính. Cổng email tập trung vào các mẫu thư rác và những người gửi xấu đã biết, nhưng một email từ miền lỗi chính tả được định cấu hình chính xác với xác thực phù hợp có thể trông giống với lưu lượng truy cập hợp pháp về mặt thống kê. Trừ khi bộ lọc kiểm tra cụ thể sự tương đồng về thương hiệu hoặc sử dụng công nghệ máy học được điều chỉnh cho các miền tương tự, nếu không bộ lọc sẽ không gắn cờ thư là đáng ngờ.
Bảo vệ trình duyệt có những hạn chế tương tự. Các miền lỗi chính tả mới xuất hiện liên tục và chỉ có thể được sử dụng trong thời gian ngắn trước khi chuyển sang cơ sở hạ tầng mới. Danh sách chặn và tính năng chống lỗi đánh máy có thể bị tụt lại phía sau hoặc bỏ lỡ hoàn toàn các cuộc tấn công có mục tiêu, khối lượng thấp. Vào thời điểm miền bị gắn cờ, thiệt hại thường đã xảy ra.
Thật dễ dàng để bảo vệ khỏi lỗi đánh máy, nhưng chỉ khi bạn biết cách
Những thói quen và công cụ đơn giản giúp bạn an toàn
Các công ty công nghệ lớn như Google, Microsoft, Amazon và các công ty khác tích cực đấu tranh chống lại lỗi đánh máy và thường xuyên mua các phiên bản sai chính tả phổ biến của tên miền của họ và chuyển hướng chúng đến các trang web chính thức của họ. Ví dụ:nếu bạn nhập gooogle.com (có thêm "o "), bạn sẽ được chuyển hướng đến đúng URL, Google.com. Điều này ngăn chặn những kẻ lừa đảo đăng ký các lỗi chính tả phổ biến. Nhưng họ không thể mua mọi biến thể có thể có, điều đó có nghĩa là bạn vẫn cần phải luôn cảnh giác.
Cách phòng thủ đơn giản nhất là tạm dừng trước khi bạn nhấp chuột. Di chuột qua các liên kết trong email để xem URL thực tế trước khi nhấp vào. Kiểm tra thanh địa chỉ một cách cẩn thận, đặc biệt là trên thiết bị di động, nơi màn hình nhỏ khiến khó phát hiện ra những khác biệt nhỏ. Nếu có điều gì đó không ổn về trang đăng nhập, bao gồm phông chữ sai, thành phần bị thiếu hoặc bất kỳ thứ gì có vẻ không ổn, hãy đóng tab và điều hướng trực tiếp đến trang web bằng cách tự nhập URL hoặc sử dụng dấu trang.
Trình quản lý mật khẩu cung cấp tính năng bảo vệ tích hợp tại đây. Nếu trình quản lý mật khẩu của bạn không tự động điền vào trang đăng nhập, đó là tín hiệu mạnh mẽ cho thấy miền đó không phải là miền bạn thường sử dụng. Trình quản lý mật khẩu kiểm tra miền chính xác chứ không kiểm tra hình thức trực quan, vì vậy các trang web có lỗi đánh máy sẽ không kích hoạt tính năng tự động điền.
Để bảo vệ mạnh mẽ hơn nữa, hãy cân nhắc chuyển sang mật khẩu thay vì mật khẩu. Theo thiết kế, mã khóa có khả năng chống lừa đảo vì chúng được gắn với các miền cụ thể và sẽ không hoạt động trên các trang web tương tự. Bạn cũng có thể sử dụng khóa bảo mật phần cứng cho các tài khoản hỗ trợ mật mã. Các thiết bị vật lý này xác minh tính xác thực của trang web trước khi xác thực, khiến cho các cuộc tấn công đánh máy về cơ bản trở nên vô dụng.
Luôn hoài nghi về các liên kết email
Typosquatting hoạt động vì nó khai thác cách bộ não của chúng ta xử lý thông tin quen thuộc. Chúng ta thấy những gì chúng ta mong đợi thấy, chứ không phải những gì thực sự ở đó. Những kẻ lừa đảo dựa vào điều này để tạo ra các miền và email vượt qua bài kiểm tra nhanh.
Tuy nhiên, khi bạn biết thủ thuật này hoạt động như thế nào, bạn sẽ bắt đầu nhận thấy việc hoán đổi ký tự tinh vi đó dễ dàng hơn. Hãy dành thêm một giây để xác minh địa chỉ và URL của người gửi, đặc biệt đối với các trang đăng nhập và giao dịch tài chính. Sử dụng dấu trang cho các trang web bạn truy cập thường xuyên và để trình quản lý mật khẩu thực hiện xác minh tên miền cho bạn. Việc tạm dừng ngắn ngủi đó có thể giúp bạn tránh khỏi việc chuyển thông tin xác thực của mình cho người đã đăng ký một miền trông gần như—nhưng không hẳn—đúng.