How can attackers create such perfect copies of legitimate emails?

Attackers obtain legitimate emails through several methods: compromising email accounts to access sent messages, intercepting emails through network vulnerabilities, or using publicly available information from data breaches. Once they have a genuine email, they use simple copy-paste techniques to recreate it exactly, only modifying the embedded links or attachments. Modern email design tools make it trivial to replicate professional email templates with perfect accuracy.

Why don't spam filters catch clone phishing emails?

Clone phishing emails often bypass spam filters because they contain legitimate content, proper formatting, and accurate branding from real organizations. The only malicious element is typically a modified link or attachment, which filters may not detect if the destination website is newly created and not yet blacklisted. Additionally, if the email comes from a compromised legitimate account, it passes authentication checks like SPF and DKIM that filters rely on to identify spoofed messages.

If I clicked a link but didn't enter any information, am I still at risk?

Simply clicking a link in a clone phishing email can still pose risks, though less severe than providing credentials. The malicious website may attempt drive-by downloads of malware, track your IP address and browser information, or use exploits targeting browser vulnerabilities. Immediately run anti-malware scans, clear your browser cache and cookies, and monitor your accounts for unusual activity. Change passwords as a precaution if the link led to a fake login page, even if you didn't submit information.

How quickly do I need to act if I realize I fell for a clone phishing attack?

Act within minutes if possible. Immediately change the password for any account where you entered credentials, starting with your email account since attackers often use compromised email to reset other passwords. Enable multi-factor authentication on all affected accounts. Contact your bank or credit card company if you provided financial information. For work-related incidents, notify your IT security team immediately so they can secure systems and alert other potential targets. The faster you respond, the more you can limit the damage.

Can clone phishing happen with text messages or social media, or just email?

Clone phishing primarily occurs through email because attackers need access to previous communications to create convincing duplicates, which is easier with email interception. However, similar techniques called "smishing" (SMS phishing) can clone text messages from banks or service providers, and social media messages can be duplicated if an attacker compromises an account. The core technique of copying legitimate communications and modifying links works across platforms, though email remains the most common vector due to its widespread business use and technical vulnerabilities.

Rủi ro cao Thiệt hại trung bình: $2,000 Thời gian thường thấy: 1-3 days

Clone Phishing: Khi Email Hợp Lệ Trở Nên Nguy Hiểm

Clone phishing là một cuộc tấn công tinh vi, trong đó tội phạm mạng chặn hoặc tái tạo các email hợp lệ từ các tổ chức đáng tin cậy, sau đó gửi lại các bản sao gần như giống hệt với các liên kết hoặc tệp đính kèm độc hại. Khác với phishing truyền thống tạo email giả từ đầu, clone phishing tận dụng uy tín của các thông tin liên lạc thực tế mà bạn đã nhận hoặc dự kiến sẽ nhận được. Kẻ tấn công thường theo dõi lưu lượng email, sao chép một tin nhắn thật từ ngân hàng, nhà tuyển dụng hoặc nhà cung cấp dịch vụ của bạn, và thay thế các liên kết hợp lệ bằng các liên kết độc hại dẫn đến các trang web thu thập thông tin đăng nhập hoặc tải phần mềm độc hại. Kỹ thuật này đã tăng 35% theo năm trong báo cáo Tội phạm Mạng năm 2023 của FBI, với thiệt hại trung bình lên tới 46 triệu đồng mỗi nạn nhân. Cuộc tấn công đặc biệt hiệu quả vì email giả thường đến ngay sau email hợp lệ, xuất hiện trong cùng một chuỗi email và chứa thương hiệu, logo, cũng như nội dung giống hệt. Các cuộc tấn công clone phishing thường nhắm vào các chuyên gia kinh doanh trong quá trình xử lý hóa đơn, yêu cầu đặt lại mật khẩu và thông báo cập nhật phần mềm. Mối nguy hiểm của clone phishing nằm ở việc khai thác các mối quan hệ tin cậy đã được thiết lập. Khi bạn nhận được một tin nhắn dường như là tiếp theo từ bộ phận IT hoặc thông báo thứ hai từ công ty thẻ tín dụng, bạn sẽ có xu hướng cảnh giác thấp hơn so với các thông tin bất ngờ. Kẻ tấn công lợi dụng điểm yếu tâm lý này, biết rằng người nhận có khả năng cao sẽ nhấp vào các liên kết trong các tin nhắn dường như tiếp tục cuộc trò chuyện hợp pháp. Ủy ban Thương mại Liên bang Mỹ (FTC) báo cáo rằng các vụ lừa đảo email doanh nghiệp liên quan đến clone phishing đã gây thiệt hại hơn 62 nghìn tỷ đồng trong năm 2023, trở thành một trong những hình thức gian lận mạng tốn kém nhất.

Thủ đoạn phổ biến Cách nhận biết Cách tự bảo vệ Ví dụ thực tế Nơi báo cáo

Thủ đoạn phổ biến

• Chặn các email hợp lệ thông qua tài khoản email bị xâm nhập hoặc các cuộc tấn công man-in-the-middle, cho phép kẻ tấn công xem các thông tin liên lạc thật trước khi sao chép và chỉnh sửa độc hại.
• Tạo các bản sao y hệt email từ những người gửi đáng tin cậy như ngân hàng, nhà tuyển dụng hoặc nhà cung cấp dịch vụ, chỉ thay thế các liên kết hoặc tệp đính kèm trong khi giữ nguyên tất cả nội dung, thương hiệu và định dạng khác.
• Gửi email giả sao chép đúng thời điểm, thường trong vòng vài giờ hoặc vài ngày sau email hợp lệ, với nội dung như là thông báo tiếp theo, chỉnh sửa hoặc cập nhật khẩn cấp yêu cầu hành động ngay lập tức.
• Giả mạo địa chỉ người gửi để email giả trông như đến từ cùng một nguồn hợp pháp, sử dụng các kỹ thuật như thay đổi tên hiển thị hoặc các tên miền trông giống nhau.
• Chèn các liên kết độc hại chuyển hướng đến các trang đăng nhập thu thập thông tin đăng nhập được thiết kế giống hệt các trang web hợp pháp, nhằm lấy cắp tên người dùng và mật khẩu khi nạn nhân cố gắng đăng nhập.
• Sử dụng các tài khoản email bị xâm nhập của đồng nghiệp, đối tác hoặc các liên hệ quen thuộc để gửi các tin nhắn giả, khiến cuộc tấn công có vẻ xuất phát từ bên trong mạng lưới tin cậy và tăng độ tin cậy.

Cách nhận biết

Nhận được các email trùng lặp hoặc gần như trùng lặp về cùng một chủ đề trong khoảng thời gian ngắn, đặc biệt nếu chúng cho rằng email trước đó có lỗi hoặc yêu cầu hành động khẩn cấp.
Phát hiện các điểm khác biệt nhỏ trong địa chỉ email người gửi, như có thêm ký tự, số hoặc tên miền trông giống nhưng chỉ khác một chữ cái so với nguồn hợp pháp.
Thấy các liên kết trong email khi di chuột qua hiển thị URL không khớp với tên miền của tổ chức hợp pháp hoặc chuyển hướng qua các URL rút gọn hoặc địa chỉ IP lạ.
Nhận thấy sự cấp bách bất thường trong các tin nhắn tiếp theo, như cảnh báo tài khoản sẽ bị khóa, thanh toán bị từ chối hoặc yêu cầu xác minh ngay lập tức, trong khi thông tin liên lạc gốc không có sự cấp bách như vậy.
Quan sát các điểm không đồng nhất nhỏ về định dạng, thay đổi font chữ bất thường hoặc sự khác biệt nhỏ trong logo hoặc chữ ký mà trước đây không có trong các email hợp pháp từ cùng người gửi.
Nhận được yêu cầu đặt lại mật khẩu, cập nhật hóa đơn hoặc thông báo vận chuyển mà bạn không khởi xướng, đặc biệt nếu chúng đến ngay sau khi nhận được thông tin hợp pháp tương tự.

Cách tự bảo vệ

Xác minh các email nghi ngờ bằng cách liên hệ với người gửi qua một kênh liên lạc độc lập, chẳng hạn như số điện thoại lấy từ trang web chính thức, tuyệt đối không dùng thông tin liên hệ trong email đáng ngờ.
Gõ thủ công địa chỉ website vào trình duyệt thay vì nhấp vào các liên kết trong email, đặc biệt với các tài khoản ngân hàng, email hoặc các tài khoản nhạy cảm khác yêu cầu đăng nhập.
Kích hoạt xác thực đa yếu tố cho tất cả các tài khoản quan trọng bao gồm email, ngân hàng và hệ thống công việc, giúp ngăn chặn kẻ tấn công truy cập dù có mật khẩu của bạn qua clone phishing.
Di chuột qua tất cả các liên kết trước khi nhấp để kiểm tra URL đích thực, và cảnh giác với bất kỳ liên kết nào không dẫn đến tên miền hợp pháp của tổ chức hoặc sử dụng dịch vụ rút gọn URL.
Áp dụng các quy tắc lọc email và phần mềm bảo mật phát hiện địa chỉ người gửi giả mạo, cảnh báo các email bên ngoài giả danh nội bộ và báo hiệu các email có đặc điểm đáng ngờ.
Thiết lập quy trình xác minh trong tổ chức cho các giao dịch tài chính, thay đổi hóa đơn và yêu cầu nhạy cảm, yêu cầu xác nhận qua phương thức liên lạc thứ hai trước khi thực hiện hành động.

Ví dụ thực tế

Một chủ doanh nghiệp nhỏ nhận được email dường như là thông báo thứ hai từ nhà cung cấp văn phòng phẩm về hóa đơn còn nợ 42 triệu đồng. Email giống hệt hóa đơn hợp lệ nhận được hai ngày trước, bao gồm chi tiết đơn hàng và logo nhà cung cấp. Điểm khác biệt duy nhất là một liên kết "xem chi tiết thanh toán cập nhật" dẫn đến cổng thanh toán giả. Sau khi nhập thông tin ngân hàng để thanh toán, kẻ tấn công đã rút sạch 280 triệu đồng trong tài khoản doanh nghiệp trước khi phát hiện vụ lừa đảo.

Một nhân viên tại công ty công nghệ nhận được email giả mạo từ bộ phận IT, yêu cầu xác minh tài khoản Microsoft 365 sau một bản cập nhật bảo mật. Email là bản sao chính xác của thông báo IT hợp pháp gửi toàn công ty ba giờ trước đó. Nhân viên nhấp vào liên kết xác minh và nhập thông tin đăng nhập trên trang đăng nhập giả mạo rất thuyết phục. Trong vòng 30 phút, kẻ tấn công truy cập tài khoản email của nhân viên và gửi yêu cầu chuyển khoản đến khách hàng công ty, gây thiệt hại 1 tỷ đồng.

Một chủ nhà nhận được email giả mạo từ đơn vị quản lý khoản vay thế chấp, yêu cầu xác nhận chi tiết tài khoản ký quỹ. Tin nhắn đến một ngày sau báo cáo phân tích ký quỹ hợp lệ hàng năm. Tin rằng đây là thông báo tiếp theo để đảm bảo chính xác, chủ nhà nhấp vào liên kết và cung cấp thông tin đăng nhập ngân hàng trực tuyến. Kẻ lừa đảo sử dụng thông tin này để thực hiện các chuyển khoản quốc tế tổng cộng 370 triệu đồng trước khi hệ thống phát hiện gian lận của ngân hàng cảnh báo hoạt động đáng ngờ.

Nơi báo cáo — Việt Nam

Các kênh chính thức trong khu vực của bạn để báo cáo lừa đảo này.

Cục An toàn thông tin (Bộ TT&TT)

Tội phạm mạng

Cổng tiếp nhận phản ánh tin nhắn rác, cuộc gọi rác và lừa đảo trực tuyến.

Truy cập →

Bộ Công an - Cảnh báo lừa đảo

Báo cáo

Trang cảnh báo và tiếp nhận tố giác lừa đảo của Bộ Công an.

113 Truy cập →

Cục Cạnh tranh và Bảo vệ người tiêu dùng

Bảo vệ người tiêu dùng

Tổng đài bảo vệ người tiêu dùng — miễn phí cuộc gọi.

1800-6838 Truy cập →

Ngân hàng Nhà nước Việt Nam

Cơ quan tài chính

Báo cáo các trường hợp lừa đảo tài chính, ngân hàng, đầu tư bất hợp pháp.

Truy cập →

Nghi ngờ gặp phải lừa đảo này?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), clone phishing: khi email hợp lệ trở nên nguy hiểm is described at https://scamlens.org/vi/encyclopedia/clone-phishing.

https://scamlens.org/vi/encyclopedia/clone-phishing

Bắt đầu từ đây

Kiểm Tra An Toàn

Tình Báo

Công Cụ & Báo Cáo

Dịch Vụ Cao Cấp

Tiện Ích & API