Diễn tập Phishing toàn công ty: Công cụ và Quy trình

Theo báo cáo KnowBe4 năm 2025, khoảng 33% nhân viên sẽ click vào email phishing trước khi được đào tạo — tức cứ 3 người thì có 1 người dính bẫy. Nhưng sau 12 tháng thực hiện phishing simulation đều đặn, tỷ lệ này giảm hơn 86%. Verizon DBIR 2024 cũng ghi nhận: thời gian trung bình từ lúc nhận email phishing đến lúc click vào link là chỉ 21 giây, và 28 giây nữa để nhập thông tin nhạy cảm.

Những con số này nói lên một điều rõ ràng: phishing simulation không phải hoạt động tùy chọn — mà là biện pháp phòng thủ có hiệu quả đo lường được. Bài viết này hướng dẫn toàn bộ quy trình tổ chức diễn tập phishing toàn công ty — từ lựa chọn công cụ, thiết kế kịch bản, triển khai chiến dịch, đến đo lường kết quả và đào tạo sau diễn tập.

Phishing simulation là gì?

Phishing simulation là hoạt động gửi email phishing giả lập đến nhân viên trong tổ chức — có kiểm soát, có mục đích đào tạo — nhằm đánh giá khả năng nhận biết và phản ứng trước email lừa đảo. Hệ thống sẽ theo dõi: ai mở email, ai click link, ai nhập thông tin đăng nhập, và ai báo cáo email đáng ngờ.

Khác với tấn công phishing thật, phishing simulation:

• Được tổ chức bởi đội an ninh mạng nội bộ hoặc đối tác ủy quyền
• Không gây thiệt hại thực tế (không đánh cắp dữ liệu, không cài mã độc)
• Mục tiêu là giáo dục, không phải kỷ luật
• Kết quả được sử dụng để cải thiện đào tạo, không phải đánh giá hiệu suất cá nhân

Công cụ phishing simulation

GoPhish — Mã nguồn mở, miễn phí

Tổng quan: GoPhish là framework phishing simulation mã nguồn mở phổ biến nhất thế giới. Tự host, hoàn toàn miễn phí, cho phép tùy chỉnh toàn diện.

Tính năng chính:

• Giao diện web quản lý chiến dịch
• Tạo email template và landing page tùy chỉnh
• Theo dõi real-time: email opened, link clicked, credentials submitted
• REST API cho tự động hóa
• Hỗ trợ Windows, macOS, Linux

Cài đặt nhanh:

# Tải GoPhish
wget https://github.com/gophish/gophish/releases/download/v0.12.1/gophish-v0.12.1-linux-64bit.zip
unzip gophish-v0.12.1-linux-64bit.zip
cd gophish
# Chạy GoPhish
chmod +x gophish
./gophish

Lần đầu chạy, GoPhish hiển thị password admin trong terminal — ghi lại ngay. Truy cập admin panel tại https://localhost:3333.

Phù hợp với: Tổ chức có đội ngũ kỹ thuật tự quản lý, ngân sách hạn chế, cần tùy chỉnh cao.

Hạn chế: Không có nội dung đào tạo tích hợp, không có báo cáo tự động cho quản lý, cần tự vận hành hạ tầng.

KnowBe4 — Nền tảng thương mại hàng đầu

Tổng quan: KnowBe4 là nền tảng phishing simulation và security awareness training lớn nhất thế giới, phục vụ hơn 70.000 tổ chức.

Tính năng chính:

• Thư viện hơn 15.000 template phishing sẵn có (bao gồm template tiếng Việt)
• Nội dung đào tạo tích hợp: video, module interactive, quiz
• Báo cáo tự động cho CISO và ban lãnh đạo
• Phishing Security Test (PST) miễn phí để đánh giá baseline
• Tích hợp với Azure AD, Google Workspace
• Hỗ trợ phishing đa kênh: email, SMS (smishing), voice (vishing)

Phù hợp với: Doanh nghiệp vừa và lớn muốn giải pháp all-in-one (simulation + training + reporting), không muốn tự vận hành hạ tầng.

Các nền tảng khác đáng chú ý

Cofense PhishMe: Mạnh về phishing reporting và threat intelligence — khi nhân viên báo cáo email đáng ngờ, Cofense tự động phân tích và so sánh với threat intelligence feed.

Proofpoint Security Awareness: Tích hợp sâu với email gateway Proofpoint, tận dụng dữ liệu email thực tế để tùy chỉnh chiến dịch.

IRONSCALES: Sử dụng AI để tự động thay đổi template và độ khó theo từng nhân viên — ai đã giỏi sẽ nhận phishing khó hơn.

Hoxhunt: Gamification nâng cao — nhân viên tích điểm khi báo cáo phishing, tạo động lực tham gia thay vì ép buộc.

Bảng so sánh nhanh

Quy trình diễn tập phishing toàn công ty

Phase 1 — Chuẩn bị (2–4 tuần trước)

Xin phê duyệt từ ban lãnh đạo: Đây là bước quan trọng nhất. Phishing simulation ảnh hưởng đến toàn bộ nhân viên — cần sự đồng ý từ CEO/CTO, Giám đốc Nhân sự và Pháp chế. Trình bày rõ mục tiêu (đào tạo, không phải kỷ luật), phạm vi, timeline và cách xử lý kết quả.

Phối hợp với HR và Pháp chế: Đảm bảo chương trình không vi phạm quy định nội bộ hoặc luật pháp. Thống nhất: kết quả phishing simulation không được sử dụng trong đánh giá hiệu suất nhân viên, không kỷ luật người click, và dữ liệu cá nhân được bảo mật.

Thông báo chung (không tiết lộ chi tiết): Gửi thông báo cho toàn công ty rằng chương trình phishing awareness sẽ được triển khai trong thời gian tới — nhưng không tiết lộ khi nào gửi, nội dung gì, hay đến bộ phận nào. Mục đích: minh bạch về sự tồn tại của chương trình, nhưng giữ yếu tố bất ngờ của từng chiến dịch.

Cấu hình hạ tầng kỹ thuật:

• Thiết lập SMTP server hoặc cấu hình gửi email qua dịch vụ (SendGrid, Amazon SES)
• Whitelist IP/domain gửi phishing trên email gateway để email đến inbox (không vào spam)
• Tạo landing page thu thập credential (hoặc chỉ tracking click)
• Test gửi email đến nhóm nhỏ IT để xác minh hoạt động

Lưu ý quan trọng: Không gửi quá nhiều phishing email từ domain chính của công ty trong thời gian ngắn — có thể khiến email gateway hoặc nhà cung cấp email đánh dấu domain là spam, ảnh hưởng đến email business thật.

Phase 2 — Thiết kế chiến dịch

Xác định baseline: Đợt đầu tiên nên đo tỷ lệ dính phishing hiện tại (baseline) — chưa cần đào tạo trước. Kết quả này dùng để so sánh với các đợt sau.

Thiết kế email template theo độ khó tăng dần:

Đợt 1 (Dễ nhận biết):

• Sender: “IT Helpdesk support@company-security.com” (domain lạ)
• Subject: “Mật khẩu của bạn sắp hết hạn — Click để đổi ngay”
• Dấu hiệu: domain gửi lạ, urgency, link không phải domain công ty
• Mục đích: đo baseline, bắt đầu từ mức dễ

Đợt 2 (Trung bình):

• Sender: giả mạo email nội bộ (spoofed address)
• Subject: “Cập nhật chính sách làm việc từ xa — Phòng Nhân sự”
• Nội dung: đính kèm file hoặc link đến trang giả mạo intranet
• Dấu hiệu: nội dung phù hợp ngữ cảnh, nhưng link đáng ngờ

Đợt 3 (Khó):

• Sender: giả mạo đối tác/nhà cung cấp thật
• Subject: “Hóa đơn tháng 3 — Yêu cầu xác nhận thanh toán”
• Nội dung: đề cập đúng tên đối tác, số hợp đồng gần đúng
• Dấu hiệu: rất tinh vi, chỉ kiểm tra kỹ URL mới phát hiện

Đợt 4 (Spear phishing):

• Sender: giả mạo CEO hoặc CFO
• Subject: “Khẩn — Chuyển khoản thanh toán nhà cung cấp”
• Nội dung: gửi riêng đến phòng Kế toán/Tài chính
• Mục đích: test khả năng chống BEC (Business Email Compromise)

Thiết kế landing page:

Khi nhân viên click link, landing page nên:

• Thu thập thông tin đăng nhập (username/password) — nhưng KHÔNG lưu trữ password thật, chỉ ghi nhận hành vi “đã nhập credentials”
• Ngay sau khi submit, hiển thị trang thông báo: “Đây là bài kiểm tra phishing simulation. Bạn đã click link và nhập thông tin — đây là dấu hiệu bạn có thể bị lừa đảo trong thực tế. Hãy xem hướng dẫn nhận biết phishing dưới đây.”
• Cung cấp ngay nội dung đào tạo ngắn (teachable moment): 3–5 dấu hiệu nhận biết phishing

Phase 3 — Triển khai chiến dịch

Lịch gửi: Gửi rải ra trong 2–3 ngày, không gửi tất cả cùng lúc (tránh nhân viên cảnh báo nhau quá sớm). Gửi vào giờ làm việc bình thường.

Chia nhóm: Chia nhân viên thành các nhóm theo phòng ban — để so sánh tỷ lệ dính phishing giữa các bộ phận (IT vs Kế toán vs Kinh doanh vs Ban Giám đốc).

Giám sát real-time: Theo dõi dashboard GoPhish/KnowBe4 để nắm tỷ lệ click theo thời gian. Chuẩn bị phương án nếu có nhân viên hoảng sợ hoặc báo cáo sự cố thật.

Theo dõi hành vi báo cáo: Đây là chỉ số quan trọng nhất — bao nhiêu người báo cáo email đáng ngờ cho đội IT/SOC thay vì click vào? Tổ chức cần có nút “Report Phishing” trên email client (Outlook add-in hoặc button trong email).

Phase 4 — Đo lường kết quả

Các chỉ số cần theo dõi:

Phân tích theo chiều sâu:

• Phòng ban nào có tỷ lệ click cao nhất?
• Cấp bậc nào dễ dính nhất (nhân viên, quản lý, giám đốc)?
• Template nào hiệu quả nhất (urgency, curiosity, authority)?
• Có tương quan giữa thời gian gửi và tỷ lệ click không?

Phase 5 — Đào tạo sau diễn tập

Nguyên tắc vàng: đào tạo, không kỷ luật. Nghiên cứu NDSS Symposium 2025 cho thấy phishing simulation kèm hình phạt (kỷ luật, ảnh hưởng lương) gây phản tác dụng — nhân viên sợ hãi và giấu sự cố thay vì báo cáo. Mục tiêu là xây dựng văn hóa báo cáo cởi mở.

Teachable moment (ngay sau khi click): Landing page hiển thị nội dung đào tạo ngay lập tức — đây là lúc nhân viên tiếp thu tốt nhất vì vừa trải nghiệm “suýt bị lừa”.

Đào tạo bổ sung cho nhóm có tỷ lệ click cao: Tổ chức buổi training ngắn 30 phút cho các phòng ban có tỷ lệ dính cao, tập trung vào kỹ năng thực hành nhận biết phishing — không phải bài giảng lý thuyết.

Khen thưởng hành vi đúng: Công nhận và khen thưởng nhân viên/phòng ban có tỷ lệ báo cáo phishing cao nhất. Tạo leaderboard (không public danh sách người dính bẫy).

Chia sẻ kết quả chung (ẩn danh): Gửi email toàn công ty tóm tắt kết quả đợt diễn tập — tỷ lệ chung, template được sử dụng, dấu hiệu nhận biết — giúp cả những người không dính bẫy cũng được học.

Phase 6 — Lặp lại và cải thiện

Tần suất khuyến nghị: Mỗi quý một đợt phishing simulation (4 lần/năm). Quá thường xuyên (hàng tháng) gây mệt mỏi, quá ít (1 lần/năm) không đủ hiệu quả.

Nâng dần độ khó: Mỗi đợt tăng độ tinh vi — từ phishing generic → spear phishing → BEC → vishing (phone) → smishing (SMS) → deepfake.

Theo dõi xu hướng cải thiện: So sánh tỷ lệ click qua các đợt — đồ thị xu hướng giảm dần chính là bằng chứng ROI rõ ràng nhất để trình bày với ban lãnh đạo.

Những sai lầm cần tránh

“Gotcha” culture: Gửi phishing rồi treo bảng “Chúc mừng, bạn đã bị hack” — phá hủy niềm tin giữa IT và nhân viên. Thay vào đó, sử dụng ngôn ngữ tích cực: “Cảm ơn bạn đã tham gia bài kiểm tra — đây là cơ hội để chúng ta cùng cải thiện.”

Sử dụng kịch bản thao túng cảm xúc quá mức: Giả email “Bạn bị sa thải”, “Kết quả xét nghiệm y tế”, “Tiền thưởng Tết” — những kịch bản này có tỷ lệ click cao nhưng gây phẫn nộ và mất lòng tin. Sử dụng kịch bản business thực tế thay vì khai thác cảm xúc cá nhân.

Không đào tạo trước khi test: Gửi phishing mà nhân viên chưa bao giờ được dạy cách nhận biết — tạo cảm giác bị “bẫy”. Ít nhất nên có một buổi đào tạo awareness cơ bản trước đợt simulation đầu tiên.

Gửi phishing trong thời điểm nhạy cảm: Tránh gửi khi công ty đang trong giai đoạn tái cơ cấu, cắt giảm nhân sự, hoặc có sự kiện nội bộ quan trọng — nhân viên có thể nhầm email phishing giả với thông báo thật và gây hoảng loạn.

Đánh giá hiệu suất dựa trên kết quả phishing: Tuyệt đối không đưa kết quả phishing simulation vào KPI hay đánh giá nhân viên. Điều này khiến nhân viên giấu sự cố thay vì báo cáo — đúng ngược lại mục tiêu.

Kịch bản phishing mẫu cho doanh nghiệp Việt Nam

Dưới đây là một số template phù hợp với ngữ cảnh Việt Nam:

Template 1 — IT Support:

• Từ: “Phòng CNTT it.support@congty-lab.com“
• Tiêu đề: “[KHẨN] Cập nhật mật khẩu email trước 17:00 hôm nay”
• Nội dung: “Hệ thống email đang được nâng cấp. Vui lòng đăng nhập tại link dưới đây để xác nhận tài khoản.”

Template 2 — HR / Nhân sự:

• Từ: “Phòng Nhân sự hr@congty-lab.com“
• Tiêu đề: “Cập nhật thông tin bảo hiểm xã hội năm 2024”
• Nội dung: “Theo yêu cầu của BHXH, vui lòng cập nhật thông tin cá nhân tại đây trước ngày 15 tháng này.”

Template 3 — Tài chính:

• Từ: “Kế toán trưởng ketoan@congty-lab.com“
• Tiêu đề: “Bảng lương tháng 3 — Có thay đổi quan trọng”
• Nội dung: “Vui lòng kiểm tra bảng lương tháng 3 tại link đính kèm. Có điều chỉnh về phụ cấp.”

Template 4 — BEC (giả mạo Giám đốc):

• Từ: “Nguyễn Văn X – CEO ceo.nguyenvanx@outlook.com“
• Tiêu đề: “Chuyển khoản khẩn — Bảo mật”
• Nội dung: “Tôi đang họp không tiện gọi. Vui lòng chuyển 150 triệu cho nhà cung cấp ABC theo thông tin đính kèm. Xử lý gấp trước 14:00.”

Template 5 — Đối tác/Nhà cung cấp:

• Từ: “Công ty ABC accounting@abc-corp.vn“
• Tiêu đề: “Hóa đơn VAT tháng 2 — Yêu cầu đối soát”
• Nội dung: “Gửi kèm hóa đơn VAT tháng 2. Vui lòng tải file đính kèm để đối soát và xác nhận thanh toán.”

Đo lường ROI cho ban lãnh đạo

Ban lãnh đạo quan tâm đến con số. Dưới đây là cách trình bày kết quả phishing simulation:

Trước chương trình (Baseline): 33% nhân viên click link phishing, 15% nhập credentials, 3% báo cáo.

Sau 12 tháng (4 đợt simulation + đào tạo): 5% click, 1% nhập credentials, 65% báo cáo.

Giá trị kinh doanh: Nếu một vụ phishing thật gây thiệt hại trung bình 2–5 tỷ VND (gián đoạn hệ thống, mất dữ liệu, xử lý sự cố, ảnh hưởng uy tín), thì đầu tư vào phishing simulation (vài chục triệu/năm với GoPhish hoặc vài trăm triệu/năm với KnowBe4) có ROI cực kỳ rõ ràng.

Kết luận

Phishing simulation toàn công ty không phải dự án IT — mà là chương trình thay đổi văn hóa bảo mật. Mục tiêu cuối cùng không phải giảm tỷ lệ click về 0% (điều gần như không thể) mà là xây dựng một tổ chức nơi mọi nhân viên đều biết cách nhận biết email đáng ngờ và tự tin báo cáo thay vì click.

Bắt đầu bằng GoPhish nếu ngân sách hạn chế, hoặc KnowBe4 nếu muốn giải pháp toàn diện. Chạy baseline đầu tiên, đào tạo, rồi lặp lại mỗi quý. Sau 12 tháng, bạn sẽ có dữ liệu cụ thể chứng minh rằng đầu tư vào con người hiệu quả không kém đầu tư vào công nghệ.

Security365 cung cấp dịch vụ tổ chức diễn tập phishing simulation toàn diện — từ thiết lập hạ tầng GoPhish, thiết kế template phù hợp ngữ cảnh Việt Nam, triển khai chiến dịch, đến đào tạo sau diễn tập và báo cáo kết quả cho ban lãnh đạo. Liên hệ với chúng tôi để bắt đầu chương trình phishing awareness cho tổ chức bạn.

Đặc biệt, Security365 còn cung cấp giải pháp AWARE của EC-Council với những thiết lập và hướng dẫn đầy đủ cho các công ty và tổ chức quy mô vừa đến lớn vài ngàn user. Hãy tham khảo https://cyber.security365.vn/aware