How can scammers make text messages appear from legitimate company numbers?

Scammers use SMS spoofing technology that allows them to manipulate the sender ID displayed on your phone, making messages appear from recognized company shortcodes or phone numbers. This technique exploits vulnerabilities in the SMS infrastructure that doesn't verify sender authenticity. Always verify suspicious messages through official channels rather than trusting the displayed sender information.

What should I do if I already clicked a link in a smishing text?

Immediately disconnect your phone from Wi-Fi and cellular data to prevent malware transmission, then change passwords for all accounts using a different secure device. Contact your bank and credit card companies to monitor for fraudulent activity, run a mobile security scan if you have antivirus software installed, and consider doing a factory reset if you entered personal information. Report the incident to the FTC at IdentityTheft.gov and your local authorities.

Can I get malware just from receiving a smishing text without clicking anything?

Simply receiving a smishing text cannot install malware on modern smartphones, but you should still delete suspicious messages immediately. However, clicking embedded links or downloading attachments can install spyware, keyloggers, or banking trojans that steal information. Some sophisticated attacks exploit zero-day vulnerabilities in messaging apps, though these are rare and typically patched quickly through operating system updates.

Why do legitimate companies send text messages if it's so risky for phishing?

Companies use SMS for legitimate purposes like appointment reminders, delivery notifications, and two-factor authentication because texts have high engagement rates and customer preference. Legitimate messages will never ask for passwords, payment information, or urgent action through links. Reputable organizations are implementing authenticated messaging standards like RCS and branded sender verification to help distinguish real communications from scams.

How do smishing scams specifically target different age groups?

Scammers tailor smishing messages based on demographic research: younger victims receive fake package delivery and social media security alerts exploiting online shopping habits, while older adults get targeted with Social Security suspension, Medicare fraud, and grandparent scam texts exploiting less familiarity with digital fraud tactics. Middle-aged victims often receive employment, tax, and banking scams. Understanding your risk profile helps recognize targeted attacks designed specifically for your demographic vulnerabilities.

Rủi ro cao Thiệt hại trung bình: $800 Thời gian thường thấy: 1-3 days

Smishing (Lừa đảo qua SMS): Giải thích về các chiêu trò tin nhắn lừa đảo

Smishing, kết hợp giữa SMS và phishing, là một trong những mối đe dọa tội phạm mạng phát triển nhanh nhất, với Ủy ban Thương mại Liên bang Mỹ báo cáo mức tăng 146% các báo cáo gian lận qua SMS từ năm 2020 đến 2023. Các cuộc tấn công này lợi dụng tính tức thời và sự tin tưởng trong tin nhắn văn bản, khiến nạn nhân mất trung bình 18 triệu đồng mỗi vụ. Khác với phishing qua email thường bị lọc, tin nhắn SMS có tỷ lệ mở lên đến 98% và được đọc trong vòng ba phút sau khi nhận, khiến chúng trở thành phương thức tấn công vô cùng hiệu quả. Kẻ lừa đảo gửi các tin nhắn giả mạo ngân hàng, dịch vụ giao hàng, cơ quan chính phủ hoặc nhà tuyển dụng để tạo cảm giác cấp bách và hoảng loạn. Những tin nhắn này thường chứa các liên kết độc hại dẫn đến các trang web giả mạo nhằm thu thập thông tin đăng nhập, số thẻ tín dụng, số an sinh xã hội hoặc các thông tin nhạy cảm khác. Trung tâm Khiếu nại Tội phạm Internet của FBI đã nhận hơn 52.000 báo cáo smishing chỉ trong năm 2023, với tổng thiệt hại vượt quá 1 nghìn tỷ đồng. Điều làm cho smishing đặc biệt nguy hiểm là khả năng vượt qua các biện pháp bảo mật truyền thống. Thiết bị di động thường thiếu các bộ lọc spam và phần mềm bảo mật mạnh mẽ như trên máy tính, và người dùng có xu hướng tin tưởng tin nhắn SMS hơn email. Kẻ tấn công sử dụng công nghệ giả mạo để làm cho tin nhắn trông như được gửi từ số điện thoại hợp pháp hoặc mã ngắn của công ty, đồng thời lợi dụng các kích thích tâm lý như sợ bị khóa tài khoản, thất bại trong giao hàng hoặc vấn đề thuế để thúc đẩy hành động ngay lập tức mà không suy nghĩ kỹ.

Thủ đoạn phổ biến Cách nhận biết Cách tự bảo vệ Ví dụ thực tế Nơi báo cáo

Thủ đoạn phổ biến

• Lừa đảo giao hàng khi kẻ gian gửi tin nhắn thông báo gói hàng bị trì hoãn, chưa được giao hoặc cần hành động ngay, kèm theo liên kết đến các trang giả mạo FedEx, UPS, USPS hoặc Amazon nhằm đánh cắp thông tin thanh toán hoặc đăng nhập.
• Cảnh báo bảo mật tài khoản ngân hàng giả mạo thông báo hoạt động đáng ngờ, tài khoản bị khóa hoặc yêu cầu xác minh, sử dụng số điện thoại giả mạo trùng với ngân hàng thực của nạn nhân để tạo sự tin cậy và dẫn người dùng đến các trang web thu thập thông tin đăng nhập.
• Tin nhắn giả mạo cơ quan thuế hoặc chính phủ thông báo nợ thuế, tạm ngưng an sinh xã hội, đủ điều kiện nhận trợ cấp hoặc đe dọa lệnh bắt giữ, yêu cầu thanh toán ngay qua thẻ quà tặng, chuyển khoản hoặc tiền điện tử để giải quyết các vấn đề giả tạo.
• Tấn công vượt qua xác thực hai yếu tố khi kẻ gian gửi mã xác thực giả mạo từ các dịch vụ hợp pháp, lừa nạn nhân chuyển tiếp mã xác thực giúp kẻ tấn công truy cập tài khoản thực trong vòng vài phút.
• Thông báo trúng thưởng và xổ số giả mạo thông báo trúng giải xổ số, thẻ quà tặng hoặc giải thưởng cuộc thi, yêu cầu nạn nhân trả phí xử lý, cung cấp thông tin ngân hàng hoặc nhấp vào liên kết độc hại để nhận giải thưởng không tồn tại.
• Lừa đảo tuyển dụng và trả lương nhắm vào nhân viên với tin nhắn giả mạo từ phòng nhân sự hoặc lãnh đạo yêu cầu thông tin W-2, thay đổi tài khoản nhận lương hoặc chuyển khoản khẩn cấp, thường diễn ra vào những thời điểm bận rộn khi việc kiểm tra ít được chú ý.

Cách nhận biết

Tin nhắn bất ngờ từ số điện thoại hoặc mã ngắn không rõ, tự nhận là đại diện cho các công ty quen thuộc, đặc biệt khi bạn không có giao dịch, đơn hàng hay vấn đề tài khoản nào đang chờ xử lý với tổ chức đó.
Ngôn ngữ cấp bách tạo áp lực thời gian giả như 'phản hồi trong 24 giờ', 'yêu cầu hành động ngay', hoặc 'tài khoản sẽ bị đóng' nhằm vượt qua sự nghi ngờ tự nhiên của bạn và ép buộc quyết định vội vàng.
URL rút gọn hoặc liên kết đáng ngờ không khớp với tên miền chính thức của người gửi được cho là, thường sử dụng bit.ly, tinyurl.com hoặc các biến thể sai chính tả của trang web công ty hợp pháp.
Yêu cầu cung cấp thông tin nhạy cảm qua tin nhắn như mật khẩu, số an sinh xã hội, thông tin thẻ tín dụng hoặc mã PIN tài khoản, mà các tổ chức hợp pháp không bao giờ yêu cầu qua SMS.
Lời chào chung chung như 'Kính gửi Khách hàng' hoặc 'Chủ tài khoản' thay vì tên thật của bạn, cho thấy tin nhắn được gửi hàng loạt thay vì giao tiếp cá nhân từ các công ty biết rõ danh tính bạn.
Lỗi ngữ pháp và chính tả, định dạng lạ hoặc cách diễn đạt vụng về khác với phong cách giao tiếp chuyên nghiệp của các tổ chức hợp pháp, thường cho thấy tin nhắn được dịch từ các chiến dịch lừa đảo nước ngoài.

Cách tự bảo vệ

Không bao giờ nhấp vào liên kết trong tin nhắn không mong muốn, ngay cả khi chúng trông có vẻ hợp pháp; thay vào đó, hãy tự nhập địa chỉ trang web chính thức của công ty vào trình duyệt hoặc sử dụng ứng dụng chính thức để kiểm tra trạng thái tài khoản.
Kích hoạt xác thực đa yếu tố sử dụng ứng dụng xác thực thay vì mã SMS khi có thể, vì xác thực hai yếu tố qua SMS vẫn dễ bị tấn công hoán đổi SIM và chặn mã bởi tội phạm tinh vi.
Xác minh các tin nhắn đáng ngờ bằng cách liên hệ trực tiếp với tổ chức qua số điện thoại lấy từ trang web chính thức hoặc mặt sau thẻ tín dụng, không dùng thông tin liên hệ có trong tin nhắn đáng ngờ.
Báo cáo các cố gắng smishing cho nhà mạng di động bằng cách chuyển tiếp tin nhắn nghi ngờ đến 7726 (SPAM), giúp nhà cung cấp nhận diện và chặn tin nhắn lừa đảo đồng thời đóng góp vào cơ sở dữ liệu phòng chống gian lận rộng hơn.
Cài đặt phần mềm bảo mật di động có tính năng chống phishing và thường xuyên cập nhật hệ điều hành điện thoại để vá các lỗ hổng mà smishing lợi dụng để cài đặt phần mềm độc hại hoặc gián điệp.
Đăng ký số điện thoại của bạn vào Danh sách Không Gọi Quốc gia và đặc biệt cảnh giác với bất kỳ tin nhắn nào yêu cầu mã xác thực, vì các công ty hợp pháp sẽ không bao giờ yêu cầu bạn chia sẻ mã xác thực qua bất kỳ hình thức liên lạc nào.

Ví dụ thực tế

Một cư dân Chicago nhận được tin nhắn có vẻ từ USPS thông báo gói hàng không thể giao do địa chỉ sai và cung cấp liên kết cập nhật thông tin giao hàng. Liên kết dẫn đến trang web USPS giả mạo rất thuyết phục yêu cầu thông tin thẻ tín dụng để trả phí giao lại 80.000 đồng. Sau khi nhập thông tin, kẻ gian ngay lập tức thực hiện các giao dịch gian lận trị giá 56 triệu đồng và bán thông tin thẻ trên mạng đen, gây ra nhiều tháng rắc rối về đánh cắp danh tính.

Một chủ doanh nghiệp nhỏ ở Texas nhận được tin nhắn có vẻ từ mã ngắn chính thức của ngân hàng cảnh báo hoạt động đáng ngờ và yêu cầu xác minh danh tính ngay bằng cách nhấp vào liên kết. Trang web ngân hàng giả mạo thu thập tên đăng nhập, mật khẩu và câu hỏi bảo mật của anh ta. Trong vòng 45 phút, kẻ gian đã chuyển khoản 420 triệu đồng ra nước ngoài trước khi chủ doanh nghiệp phát hiện gian lận khi kiểm tra ứng dụng ngân hàng chính thức.

Một cặp vợ chồng lớn tuổi ở Florida nhận được tin nhắn thông báo họ nợ 20 triệu đồng tiền thuế chưa đóng và sẽ bị bắt trong 72 giờ nếu không thanh toán ngay qua thẻ quà tặng. Tin nhắn kèm số điện thoại giả mạo nhân viên IRS gọi lại, người này gây áp lực trong cuộc gọi kéo dài ba giờ để họ mua thẻ iTunes và Google Play trị giá 120 triệu đồng, đọc số thẻ qua điện thoại trước khi họ nhận ra không có cơ quan chính phủ nào chấp nhận thanh toán bằng thẻ quà tặng.

Nơi báo cáo — Việt Nam

Các kênh chính thức trong khu vực của bạn để báo cáo lừa đảo này.

Cục An toàn thông tin (Bộ TT&TT)

Tội phạm mạng

Cổng tiếp nhận phản ánh tin nhắn rác, cuộc gọi rác và lừa đảo trực tuyến.

Truy cập →

Bộ Công an - Cảnh báo lừa đảo

Báo cáo

Trang cảnh báo và tiếp nhận tố giác lừa đảo của Bộ Công an.

113 Truy cập →

Cục Cạnh tranh và Bảo vệ người tiêu dùng

Bảo vệ người tiêu dùng

Tổng đài bảo vệ người tiêu dùng — miễn phí cuộc gọi.

1800-6838 Truy cập →

Ngân hàng Nhà nước Việt Nam

Cơ quan tài chính

Báo cáo các trường hợp lừa đảo tài chính, ngân hàng, đầu tư bất hợp pháp.

Truy cập →

Nghi ngờ gặp phải lừa đảo này?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), smishing (lừa đảo qua sms): giải thích về các chiêu trò tin nhắn lừa đảo is described at https://scamlens.org/vi/encyclopedia/smishing-sms-phishing.

https://scamlens.org/vi/encyclopedia/smishing-sms-phishing

Bắt đầu từ đây

Kiểm Tra An Toàn

Tình Báo

Công Cụ & Báo Cáo

Dịch Vụ Cao Cấp

Tiện Ích & API