If I have a strong password and haven't shared it with anyone, can my account still be compromised?

Yes. Session hijacking doesn't require your password at all—attackers intercept your active login session using techniques like public WiFi interception or malware. Your strong password provides no protection once an active session is established. This is why monitoring login activity and using VPNs on public networks is critical, regardless of password strength.

Does two-factor authentication protect me from session hijacking?

Two-factor authentication primarily protects you from account takeover using stolen passwords, but once an attacker controls your authenticated session, they've already bypassed the initial 2FA challenge. However, 2FA will still prevent them from changing your password or accessing recovery options if they logout and attempt to re-login. Combined with session monitoring, 2FA significantly reduces damage from session hijacking.

How can I know if I'm on a real website versus a fake login page used in a session hijacking attack?

Always verify the URL is correct (check carefully for subtle misspellings), look for the padlock icon indicating HTTPS encryption, and never click login links from emails—instead, open the website directly in a new browser tab by typing the address yourself. Legitimate companies never ask you to 'verify your session' via email links. If you're unsure, contact the organization directly using a phone number from their official website.

I think my session was hijacked. What should I do immediately?

First, change your password immediately from a different device and network (not the potentially compromised device or WiFi). Log out all active sessions in your account settings, then review recent account activity and change security questions, recovery email, and phone numbers if they appear altered. Contact your bank or service provider to report suspicious activity and consider freezing credit with the major bureaus if financial accounts were compromised.

Are certain types of accounts or industries more targeted for session hijacking?

Yes. Financial accounts (banking, PayPal, cryptocurrency wallets), email accounts (which unlock many other accounts through password recovery), and business accounts (particularly for companies with access to funds or sensitive data) are prime targets. Attackers prioritize high-value targets where even a few hours of unauthorized access can result in significant financial loss or data theft. Individual email accounts are especially valuable because they often serve as the master key to other accounts.

Rủi ro cao Thiệt hại trung bình: $5,000 Thời gian thường thấy: 1-7 days

Lừa Đảo Chiếm Đoạt Phiên Đăng Nhập: Đánh Cắp Phiên Đăng Nhập Đang Hoạt Động

Chiếm đoạt phiên đăng nhập xảy ra khi kẻ lừa đảo chặn và kiểm soát phiên làm việc trực tuyến đã xác thực của bạn, bỏ qua việc phải đánh cắp mật khẩu. Khi bạn đăng nhập vào một trang web hoặc ứng dụng, trình duyệt của bạn sẽ nhận được một mã phiên hoặc cookie giữ cho bạn được xác thực. Kẻ tấn công sử dụng nhiều phương pháp khác nhau — bao gồm tấn công người trung gian trên WiFi công cộng, tiêm phần mềm độc hại hoặc mạng bị xâm nhập — để thu thập các mã phiên này và giả danh bạn. Khác với việc đánh cắp thông tin đăng nhập truyền thống, chiếm đoạt phiên có thể diễn ra âm thầm; bạn vẫn đăng nhập trong khi kẻ tấn công đồng thời truy cập tài khoản từ vị trí khác, khiến việc phát hiện trở nên khó khăn. Theo Trung tâm Khiếu nại Tội phạm Mạng của FBI, các cuộc tấn công dựa trên phiên đã ảnh hưởng đến hơn 300.000 cá nhân trong năm 2023, với thiệt hại trung bình 115 triệu đồng mỗi nạn nhân. Mối nguy càng tăng khi kẻ tấn công nhắm vào dịch vụ tài chính, tài khoản email hoặc mạng xã hội — nơi họ có thể chuyển tiền, đặt lại mật khẩu hoặc phát động các cuộc tấn công tiếp theo trước khi bạn nhận ra điều gì đó bất thường.

Thủ đoạn phổ biến Cách nhận biết Cách tự bảo vệ Ví dụ thực tế Câu hỏi thường gặp Nơi báo cáo

Thủ đoạn phổ biến

• Triển khai phần mềm độc hại hoặc tiện ích mở rộng trình duyệt âm thầm ghi lại cookie HTTP và mã phiên từ trình duyệt của bạn, truyền chúng đến máy chủ do kẻ tấn công kiểm soát theo thời gian thực mà bạn không hay biết.
• Thực hiện tấn công người trung gian (MITM) trên các mạng WiFi công cộng không mã hóa, sử dụng các công cụ như Wireshark hoặc Ettercap để chặn lưu lượng phiên không mã hóa giữa thiết bị của bạn và máy chủ trang web.
• Tiêm mã JavaScript độc hại vào các trang web hoặc mạng quảng cáo bị xâm nhập để thu thập cookie phiên từ trình duyệt của khách truy cập và gửi chúng về hạ tầng của kẻ tấn công.
• Khai thác lỗ hổng Cross-Site Request Forgery (CSRF) để thực hiện các hành động trái phép sử dụng phiên đã xác thực của bạn, như thay đổi địa chỉ email hoặc khởi tạo đặt lại mật khẩu từ các trang do kẻ tấn công kiểm soát.
• Sử dụng các cuộc tấn công cấp mạng nhắm vào máy chủ DNS hoặc hạ tầng ISP để chuyển hướng bạn đến các trang đăng nhập giả, sau đó thu thập mã phiên khi bạn cố gắng đăng nhập trên trang giả mạo.
• Mua hoặc lấy mã phiên bị rò rỉ từ các vụ vi phạm dữ liệu, chợ đen trên mạng hoặc các mối đe dọa nội bộ, rồi sử dụng ngay lập tức để truy cập tài khoản trước khi phiên gốc hết hạn (thường từ 15 phút đến 24 giờ).

Cách nhận biết

Nhận thông báo đăng nhập đồng thời từ tài khoản của bạn ở các vị trí địa lý khác nhau hoặc thiết bị lạ, cho thấy kẻ tấn công đang truy cập phiên của bạn cùng lúc với bạn.
Thấy hoạt động tài khoản bất thường như email gửi đi mà bạn không viết, thay đổi cài đặt hoặc giao dịch được khởi tạo, nhưng mật khẩu không bị đổi và bạn không bị khóa tài khoản.
Quan sát việc bạn bị đăng xuất khỏi tài khoản một cách bất ngờ trong khi vẫn đang sử dụng, hoặc phiên làm việc có trạng thái không nhất quán với dữ liệu bộ nhớ đệm lạ.
Phát hiện các tiện ích mở rộng trình duyệt hoặc thanh công cụ đáng ngờ xuất hiện mà bạn không cài đặt, đặc biệt là những tiện ích yêu cầu quyền truy cập dữ liệu hoặc quản lý cookie quá mức.
Tìm thấy bằng chứng mã xác thực hai yếu tố (2FA) của bạn đã được sử dụng để cố gắng truy cập tài khoản, nhưng bạn không thực hiện đăng nhập và mật khẩu vẫn nguyên vẹn, cho thấy kẻ tấn công kiểm soát phiên thay vì đánh cắp thông tin đăng nhập.
Nhận cảnh báo từ các trang web hoặc ứng dụng về đăng nhập 'thiết bị mới', truy cập 'vị trí bất thường' hoặc cảnh báo bảo mật về phiên làm việc của bạn, mặc dù bạn không thực hiện đăng nhập mới.

Cách tự bảo vệ

Luôn sử dụng các trang web chỉ hỗ trợ HTTPS (xác nhận biểu tượng ổ khóa và https:// trong URL) và tránh nhập thông tin nhạy cảm trên các kết nối không mã hóa, đặc biệt là trên mạng WiFi công cộng.
Tắt kết nối WiFi tự động và không bao giờ dùng WiFi công cộng để truy cập ngân hàng, email hoặc các tài khoản nhạy cảm; thay vào đó, sử dụng dịch vụ VPN nếu phải truy cập trên mạng công cộng.
Thường xuyên kiểm tra các phiên đăng nhập đang hoạt động trong cài đặt tài khoản (có trên Google, Microsoft, Apple, Facebook và hầu hết ngân hàng) và chấm dứt ngay các phiên không nhận dạng được.
Xóa cookie trình duyệt, bộ nhớ đệm và lịch sử duyệt web hàng tuần, và cân nhắc sử dụng chế độ duyệt web riêng tư/ẩn danh cho các trang nhạy cảm để tránh lưu trữ mã phiên lâu dài.
Cài đặt phần mềm diệt virus và chống phần mềm độc hại uy tín (như Malwarebytes hoặc Windows Defender) và cập nhật thường xuyên để phát hiện và loại bỏ phần mềm độc hại chiếm đoạt phiên trên trình duyệt.
Kích hoạt xác thực hai yếu tố trên tất cả các tài khoản quan trọng và theo dõi chặt chẽ các thông báo đăng nhập; ngay lập tức đổi mật khẩu và kiểm tra hoạt động tài khoản nếu phát hiện các lần đăng nhập lạ.

Ví dụ thực tế

Một chuyên gia kinh doanh đăng nhập email công ty trên mạng WiFi công cộng tại quán cà phê. Kẻ tấn công sử dụng công cụ bắt gói tin WiFi gần đó chặn cookie phiên trước khi kết nối HTTPS được mã hóa hoàn toàn. Chỉ trong vài giờ, kẻ tấn công truy cập tài khoản email, chuyển tiếp tài liệu nhạy cảm của công ty cho chính mình và khởi tạo đặt lại mật khẩu. Nhân viên chỉ phát hiện khi bộ phận IT cảnh báo về các quy tắc chuyển tiếp email bất thường vào ngày hôm sau. Kẻ tấn công đã truy cập được 18 giờ trước khi bị phát hiện.

Một freelancer cài đặt tiện ích mở rộng trình duyệt có vẻ hữu ích giúp tự động điền biểu mẫu và quản lý mật khẩu. Người dùng không biết rằng tiện ích này ghi lại cookie phiên mỗi khi họ truy cập trang web ngân hàng hoặc cổng khách hàng. Kẻ tấn công theo dõi các phiên này và khi freelancer đăng nhập vào ứng dụng ngân hàng, ngay lập tức sử dụng phiên bị đánh cắp để chuyển 180 triệu đồng sang tài khoản khác trước khi hệ thống phát hiện gian lận của ngân hàng cảnh báo. Freelancer phát hiện giao dịch sau 3 ngày khi kiểm tra sao kê.

Chủ doanh nghiệp nhỏ nhận được email có vẻ như từ nhà cung cấp dịch vụ thanh toán, yêu cầu 'xác minh phiên làm việc' bằng cách nhấp vào liên kết. Liên kết dẫn đến trang đăng nhập giả do kẻ lừa đảo kiểm soát. Khi chủ doanh nghiệp nhập thông tin đăng nhập, kẻ lừa đảo không chỉ lấy mật khẩu mà còn chuyển hướng lưu lượng để tạo mã phiên hợp lệ. Họ sau đó truy cập tài khoản nhà cung cấp thanh toán thật bằng phiên bị đánh cắp và thực hiện các giao dịch trái phép tổng cộng 270 triệu đồng trước khi doanh nghiệp phát hiện sau một tuần.

Câu hỏi thường gặp

Nếu tôi có mật khẩu mạnh và không chia sẻ với ai, tài khoản của tôi vẫn có thể bị xâm phạm không?

Có. Chiếm đoạt phiên không cần mật khẩu của bạn — kẻ tấn công chặn phiên đăng nhập đang hoạt động bằng các kỹ thuật như chặn WiFi công cộng hoặc phần mềm độc hại. Mật khẩu mạnh của bạn không giúp gì khi phiên làm việc đã được thiết lập. Vì vậy, việc theo dõi hoạt động đăng nhập và sử dụng VPN trên mạng công cộng là rất quan trọng, bất kể mật khẩu của bạn mạnh đến đâu.

Xác thực hai yếu tố có bảo vệ tôi khỏi chiếm đoạt phiên không?

Xác thực hai yếu tố chủ yếu bảo vệ bạn khỏi việc chiếm đoạt tài khoản bằng mật khẩu bị đánh cắp, nhưng khi kẻ tấn công đã kiểm soát phiên đã xác thực của bạn, họ đã vượt qua bước 2FA ban đầu. Tuy nhiên, 2FA vẫn ngăn họ thay đổi mật khẩu hoặc truy cập các tùy chọn khôi phục nếu họ đăng xuất và cố gắng đăng nhập lại. Kết hợp với việc theo dõi phiên, 2FA giảm thiểu đáng kể thiệt hại do chiếm đoạt phiên gây ra.

Làm sao tôi biết mình đang ở trang web thật thay vì trang đăng nhập giả dùng trong tấn công chiếm đoạt phiên?

Luôn kiểm tra URL chính xác (cẩn thận với các lỗi chính tả tinh vi), tìm biểu tượng ổ khóa cho thấy mã hóa HTTPS, và không bao giờ nhấp vào liên kết đăng nhập trong email — thay vào đó, mở trang web trực tiếp trong tab trình duyệt mới bằng cách gõ địa chỉ. Các công ty hợp pháp không bao giờ yêu cầu bạn 'xác minh phiên làm việc' qua liên kết email. Nếu không chắc chắn, hãy liên hệ trực tiếp với tổ chức qua số điện thoại trên trang web chính thức của họ.

Nơi báo cáo — Việt Nam

Các kênh chính thức trong khu vực của bạn để báo cáo lừa đảo này.

Cục An toàn thông tin (Bộ TT&TT)

Tội phạm mạng

Cổng tiếp nhận phản ánh tin nhắn rác, cuộc gọi rác và lừa đảo trực tuyến.

Truy cập →

Bộ Công an - Cảnh báo lừa đảo

Báo cáo

Trang cảnh báo và tiếp nhận tố giác lừa đảo của Bộ Công an.

113 Truy cập →

Cục Cạnh tranh và Bảo vệ người tiêu dùng

Bảo vệ người tiêu dùng

Tổng đài bảo vệ người tiêu dùng — miễn phí cuộc gọi.

1800-6838 Truy cập →

Ngân hàng Nhà nước Việt Nam

Cơ quan tài chính

Báo cáo các trường hợp lừa đảo tài chính, ngân hàng, đầu tư bất hợp pháp.

Truy cập →

Nghi ngờ gặp phải lừa đảo này?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), lừa đảo chiếm đoạt phiên đăng nhập: đánh cắp phiên đăng nhập đang hoạt động is described at https://scamlens.org/vi/encyclopedia/session-hijacking.

https://scamlens.org/vi/encyclopedia/session-hijacking

Bắt đầu từ đây

Kiểm Tra An Toàn

Tình Báo

Công Cụ & Báo Cáo

Dịch Vụ Cao Cấp

Tiện Ích & API