Security365

Phishing Simulation trong EC-Council AWARE

by

IT-PRO
in

Phishing Simulation trong EC-Council AWARE: Công cụ thực chiến giúp nhân viên Việt Nam nhận biết và ngăn chặn tấn công Social Engineering

Năm 2024, thiệt hại do lừa đảo trực tuyến tại Việt Nam ước tính lên đến 18.900 tỷ đồng — tương đương gần 800 triệu USD. Cứ 220 người dùng điện thoại thông minh thì có 1 người trở thành nạn nhân. Sang năm 2025, dù số vụ tấn công giảm nhẹ, thiệt hại vẫn vượt 8.000 tỷ đồng và phishing tiếp tục là hình thức tấn công phổ biến nhất, chiếm tỷ trọng lớn nhất trong tổng số hơn 552.000 cuộc tấn công mạng được ghi nhận.

Điểm chung của hầu hết các vụ tấn công này: chúng không khai thác lỗ hổng phần mềm mà khai thác lỗ hổng con người — một cú click vào link giả mạo, một file đính kèm được mở vội vàng, một cuộc gọi “từ ngân hàng” được tin tưởng. Và giải pháp không nằm ở việc mua thêm firewall, mà ở việc đào tạo con người nhận biết và phản ứng đúng trước tấn công social engineering.

EC-Council AWARE cung cấp chính xác công cụ để làm điều đó — thông qua hệ thống phishing simulation thực chiến đa kênh kết hợp đào tạo tự động.

Phishing Simulation đa kênh: Email, SMS và Voice trên một nền tảng

Kẻ tấn công không chỉ sử dụng email. Chúng gọi điện giả mạo ngân hàng, gửi SMS giả mạo shipper, và kết hợp nhiều kênh cùng lúc để tạo niềm tin giả. AWARE là một trong những nền tảng hiếm hoi tích hợp cả ba hình thức mô phỏng trên cùng một hệ thống:

Phishing (Email) — Gửi email giả lập giống hệt email lừa đảo thật đến nhân viên. Template có thể tùy chỉnh theo ngữ cảnh Việt Nam: giả mạo thông báo từ phòng Nhân sự về bảng lương, email từ ngân hàng yêu cầu xác minh tài khoản, hoặc hóa đơn từ nhà cung cấp yêu cầu thanh toán khẩn. Khi nhân viên click vào link, hệ thống ghi nhận hành vi và tự động hiển thị nội dung đào tạo ngay lập tức — biến khoảnh khắc “suýt bị lừa” thành bài học nhớ đời.

SMiShing (SMS) — Mô phỏng tin nhắn SMS giả mạo — hình thức đang bùng nổ tại Việt Nam với các tin nhắn giả danh ngân hàng, ví điện tử, hoặc cơ quan thuế. Ví dụ: “[VCB] Tài khoản của bạn đã bị khóa do đăng nhập bất thường. Xác minh tại: vcb-verify.xyz”. AWARE gửi tin nhắn tương tự đến điện thoại nhân viên để kiểm tra phản ứng — ai click link, ai bỏ qua, ai báo cáo.

Vishing (Voice) — Mô phỏng cuộc gọi lừa đảo qua điện thoại — chính xác hình thức mà theo khảo sát NCA năm 2025, mạo danh công an đã trở thành hình thức lừa đảo phổ biến nhất. AWARE cho phép tạo kịch bản vishing với nhiều giọng nói khác nhau, kiểm tra xem nhân viên có tiết lộ thông tin nhạy cảm qua điện thoại không.

Sự kết hợp cả ba kênh trên một nền tảng duy nhất giúp doanh nghiệp đánh giá toàn diện mức độ dễ bị tấn công của nhân viên — không chỉ qua email mà qua mọi kênh mà kẻ tấn công thực sự sử dụng.

CheckAPhish và Phish Reporter: Biến nhân viên thành tuyến phòng thủ chủ động

Phát hiện phishing không đủ — nhân viên cần biết cách báo cáo để đội IT xử lý kịp thời. AWARE trang bị hai công cụ quan trọng cho việc này:

Phish Reporter — Plugin tích hợp trực tiếp vào Outlook và Gmail, cho phép nhân viên báo cáo email đáng ngờ chỉ bằng một click. Thay vì phải suy nghĩ “email này có phải lừa đảo không, gửi cho ai, gửi thế nào”, nhân viên chỉ cần nhấn nút Report — email tự động được gửi đến đội ATTT để phân tích. Đơn giản hóa quy trình báo cáo nghĩa là nhiều người sẽ báo cáo hơn.

CheckAPhish — Công cụ phân tích email tự động, giúp đội IT đánh giá mức độ rủi ro của email được báo cáo và đo lường hành vi an ninh mạng của từng phòng ban. Phiên bản nâng cao CheckAPhish+ còn cho phép quản trị viên quét hàng loạt mailbox nhân viên, tự động phát hiện và cách ly email phishing trước khi ai đó kịp mở — một lớp phòng thủ chủ động mà không cần can thiệp thủ công.

Hãy hình dung kịch bản thực tế: một nhân viên phòng Kế toán nhận email giả mạo nhà cung cấp yêu cầu đổi tài khoản nhận thanh toán. Nhờ đã được đào tạo qua AWARE, nhân viên nhận ra dấu hiệu bất thường — domain gửi không đúng, nội dung gấp gáp bất thường. Thay vì click vào link, nhân viên nhấn nút Phish Reporter. Email được gửi ngay đến đội ATTT, phân tích trong vài phút và xác nhận là email lừa đảo BEC (Business Email Compromise). Toàn công ty được cảnh báo. Một vụ chuyển khoản sai có thể lên đến hàng tỷ đồng đã được ngăn chặn — chỉ nhờ một cú click đúng chỗ.

Ví dụ triển khai thực tế

Một doanh nghiệp 500 nhân viên triển khai AWARE theo chu kỳ hàng quý. Đợt phishing simulation đầu tiên cho kết quả: 31% nhân viên click vào link phishing, 14% nhập thông tin đăng nhập, chỉ 5% báo cáo email đáng ngờ.

Sau 12 tháng với 4 đợt simulation kết hợp đào tạo e-learning và gamification, kết quả thay đổi đáng kể: tỷ lệ click giảm xuống 6%, tỷ lệ nhập credentials còn dưới 1%, và tỷ lệ báo cáo tăng lên 58%. Dashboard AWARE ghi nhận toàn bộ xu hướng cải thiện — từ đó, CISO có dữ liệu cụ thể để trình bày với ban lãnh đạo rằng đầu tư vào đào tạo nhận thức đang mang lại kết quả đo lường được.

Tuân thủ Luật An ninh Mạng 2025: Không chỉ là lựa chọn

Luật An ninh mạng 2025 (có hiệu lực từ 01/07/2026) hợp nhất Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018, tăng cường yêu cầu doanh nghiệp trong bảo vệ an ninh mạng. Điều 37 lần đầu tiên quy định về nâng cao năng lực tự chủ an ninh mạng — nhà nước khuyến khích tổ chức nâng cao năng lực, trong đó đào tạo nhận thức cho nhân viên là yếu tố nền tảng.

Với 52,3% cơ quan và doanh nghiệp Việt Nam chịu ảnh hưởng từ tấn công mạng trong năm 2025, việc đào tạo nhân viên không còn là “nên làm” mà là phải làm — vừa để tuân thủ pháp luật, vừa để bảo vệ chính mình.

AWARE đáp ứng trọn vẹn yêu cầu này: nền tảng đào tạo có hệ thống, phishing simulation kiểm tra thực tế, báo cáo tự động tạo hồ sơ tuân thủ, và chu trình cải tiến liên tục qua từng đợt đánh giá. Khi cơ quan chức năng yêu cầu bằng chứng đào tạo an ninh mạng, doanh nghiệp chỉ cần xuất báo cáo từ AWARE — rõ ràng, có hệ thống và đo lường được.

Bắt đầu ngay — Trước khi cuộc tấn công tiếp theo nhắm vào nhân viên của bạn

Mỗi ngày trì hoãn là thêm một ngày nhân viên của bạn đối mặt với phishing, smishing và vishing mà chưa được trang bị kỹ năng nhận biết. Với AWARE, doanh nghiệp có thể triển khai chương trình phishing simulation đầu tiên trong vài phút, không cần hạ tầng kỹ thuật phức tạp, không cần đội ngũ chuyên gia vận hành.

Đăng ký trải nghiệm và triển khai EC-Council AWARE ngay tại Security365 — đối tác phân phối chính thức của EC-Council tại Việt Nam — qua link https://cyber.security365.vn/aware. Đội ngũ Security365 hỗ trợ tư vấn, triển khai và đồng hành cùng doanh nghiệp trong suốt hành trình xây dựng “tường lửa con người” — tuyến phòng thủ quan trọng nhất mà không công nghệ nào thay thế được.