Các hình thức tấn công phishing đang ngày càng trở nên tinh vi, không chỉ nhắm vào hệ thống máy tính mà còn khai thác triệt để vào mắt xích yếu nhất trong chuỗi bảo mật: yếu tố con người. Đặc biệt, trong bối cảnh năm 2025, phòng Nhân sự (HR) đã nổi lên như một mục tiêu chiến lược, một "mỏ vàng" dữ liệu mà bất kỳ tội phạm mạng nào cũng khao khát chiếm đoạt. Những email lừa đảo không còn là thư rác chung chung, mà là những đòn tấn công được "may đo" tỉ mỉ, sử dụng kỹ thuật tâm lý xã hội (social engineering) để đánh lừa ngay cả những nhân viên cẩn trọng nhất.

Tại sao Phòng Nhân sự (HR) là "Mỏ Vàng" của Tội phạm mạng?

Trước khi đi sâu vào các kỹ thuật cụ thể, chúng ta cần làm rõ tại sao phòng HR lại hấp dẫn hacker đến vậy. Lý do nằm ở bản chất công việc của họ.

• Kho lưu trữ Dữ liệu Nhạy cảm (PII): Phòng HR nắm giữ Thông tin Nhận dạng Cá nhân (Personally Identifiable Information - PII) của toàn bộ nhân viên. Đánh cắp được cơ sở dữ liệu này đồng nghĩa với việc hacker có trong tay mọi thứ để thực hiện hành vi trộm cắp danh tính hoặc bán dữ liệu trên thị trường "chợ đen"
• Vai trò "Người gác cổng" Tài chính: Phòng HR và Kế toán (Payroll) là bộ phận thực hiện các lệnh chi trả lương thưởng. Một yêu cầu lừa đảo thành công có thể khiến công ty chuyển hàng trăm triệu đồng tiền lương vào tài khoản của hacker
• Bản chất công việc phải tương tác với bên ngoài: Không giống các bộ phận khác, phòng HR (đặc biệt là tuyển dụng) bắt buộc phải mở email, mở CV, nhấp vào link portfolio từ những người lạ (ứng viên). Đây chính là kẽ hở hoàn hảo để kẻ tấn công trà trộn các tệp độc hại

5 Hình Thức Tấn Công Phishing Tinh Vi Nhắm vào Nhân Sự 2025

Dưới đây là 5 kịch bản tấn công phổ biến và nguy hiểm nhất mà bộ phận HR phải đối mặt hàng ngày.

1. Spear Phishing (Tấn công có chủ đích)

Đây là hình thức tấn công phishing phổ biến nhất nhắm vào bộ phận tuyển dụng. Thay vì gửi hàng loạt, kẻ tấn công nghiên cứu kỹ thông tin tuyển dụng của công ty (ví dụ: tin đăng trên HR1 Jobs) và gửi một email ứng tuyển "như thật".

Cách thức hoạt động: Kẻ tấn công mạo danh là một ứng viên tiềm năng, gửi email với nội dung chuyên nghiệp, bày tỏ sự quan tâm đến một vị trí đang tuyển. Yếu tố mấu chốt nằm ở tệp đính kèm hoặc đường link:

• Tệp CV độc hại: Thay vì file .pdf hoặc .docx an toàn, đó có thể là một file .zip, .html, .exe trá hình hoặc một file Word có chứa macro (.docm). Khi nhân viên HR mở tệp, macro độc hại sẽ được kích hoạt, cài đặt ransomware hoặc spyware vào máy tính.
• Link portfolio giả mạo: Email yêu cầu HR nhấp vào link "portfolio online" (ví dụ: Behance, GitHub giả). Đường link này sẽ dẫn đến một trang web giả mạo, yêu cầu đăng nhập (ví dụ: "Đăng nhập bằng tài khoản Microsoft/Google để xem") nhằm đánh cắp thông tin đăng nhập của nhân viên HR.

Tìm hiểu ngay: Hậu Quả Của Tấn Công Phishing Với Doanh Nghiệp Không Chỉ Là Câu Chuyện Tiền Bạc

Tại sao nó hiệu quả? Vì nó đánh đúng vào quy trình làm việc hàng ngày của HR. Họ có nghĩa vụ phải mở CV và xem portfolio của ứng viên.

2. Business Email Compromise (BEC) 

Đây là một trong những hình thức tấn công phishing gây thiệt hại tài chính trực tiếp và nặng nề nhất. Nó không chứa link độc hại, không có virus, mà hoàn toàn dựa vào social engineering.

Cách thức hoạt động: Kẻ tấn công xâm nhập (hoặc giả mạo) email của một nhân viên trong công ty. Sau đó, chúng gửi một email đến phòng HR/Kế toán với nội dung:

"Chào chị A (HR),

Em mới thay đổi tài khoản ngân hàng. Chị vui lòng cập nhật thông tin nhận lương tháng này của em sang số tài khoản mới dưới đây nhé. Cảm ơn chị!

[Số tài khoản ngân hàng của hacker]"

Do email đến từ một đồng nghiệp (hoặc trông giống hệt email đồng nghiệp), nhân viên HR/Payroll nếu không cảnh giác, không có quy trình xác minh chéo, sẽ cập nhật thông tin. Đến ngày lương, toàn bộ tiền lương của nhân viên đó sẽ được chuyển thẳng vào tài khoản của kẻ lừa đảo. Thiệt hại chỉ được phát hiện khi nhân viên thật thắc mắc vì không nhận được lương.

3. Whaling (Tấn công "Cá Voi")

Whaling là một dạng Spear Phishing cao cấp, nhắm vào các mục tiêu "Cá Voi" (Lãnh đạo cấp C: CEO, CFO, CHRO - Giám đốc Nhân sự).

Cách thức hoạt động: Kẻ tấn công mạo danh email của CEO hoặc CFO, gửi một yêu cầu khẩn cấp và bảo mật đến Trưởng phòng Nhân sự.

"Chào B (Trưởng phòng HR),

Tôi đang họp kín với đối tác, không tiện nghe máy. Chúng ta đang thực hiện một thương vụ M&A bí mật và cần gấp danh sách lương thưởng của toàn bộ cấp quản lý. Yêu cầu bảo mật tuyệt đối, gửi cho tôi ngay file Excel vào email này trước 3 giờ chiều."

Đọc thêm: 7 Cách Nhận Biết Email Tấn Công Phishing Chi Tiết

Tại sao nó hiệu quả? Hình thức tấn công phishing này khai thác tâm lý sợ hãi quyền lực và áp lực thời gian. Nhân viên HR, dưới áp lực từ sếp lớn, có xu hướng bỏ qua các quy trình bảo mật thông thường để hoàn thành nhiệm vụ "khẩn". Việc rò rỉ bảng lương là một trong những thảm họa dữ liệu lớn nhất của phòng nhân sự.

4. Smishing & Vishing (Lừa đảo qua Tin nhắn SMS & Giọng nói)

Khi email ngày càng bị lọc chặt chẽ, hacker chuyển sang các kênh cá nhân hơn.

• Smishing (SMS Phishing): Nhân viên nhận được một tin nhắn SMS mạo danh "Phòng Nhân Sự" hoặc "Bộ phận IT": "Hệ thống chấm công/phúc lợi của bạn cần được cập nhật. Vui lòng đăng nhập tại [link giả mạo] để xác thực."
• Vishing (Voice Phishing): Tinh vi hơn, kẻ tấn công sử dụng công nghệ AI Deepfake Voice để giả mạo giọng nói của sếp hoặc đồng nghiệp, gọi điện cho HR yêu cầu cung cấp thông tin hoặc thực hiện một giao dịch khẩn cấp.

5. Quishing (QR Code Phishing)

Đây là một hình thức tấn công phishing tương đối mới nhưng cực kỳ nguy hiểm trong môi trường văn phòng hybrid.

Cách thức hoạt động: Kẻ tấn công có thể (một cách vật lý hoặc qua email) gửi cho nhân viên một mã QR.

• Tại văn phòng: Dán đè một mã QR giả lên các thông báo nội bộ thật (ví dụ: "Quét để kết nối Wi-Fi khách", "Quét để xem menu căng-tin", "Quét để đăng ký phúc lợi mới").
• Qua email: Gửi email thông báo "Xác thực đa yếu tố (MFA) mới", yêu cầu nhân viên quét mã QR trên màn hình để đồng bộ hóa.

Khi nhân viên quét mã, điện thoại của họ sẽ được chuyển hướng đến một trang đăng nhập giả mạo (ví dụ: trang Microsoft 365 giả) để đánh cắp tên đăng nhập và mật khẩu.

Xây dựng "Bức tường lửa" Phòng thủ cho HR

Nhận diện các hình thức tấn công phishing là bước một. Xây dựng một quy trình phòng thủ vững chắc là bước quan trọng tiếp theo.

1. Quy trình Xác minh Đa kênh (Multi-Channel Verification)

Đây là "Quy tắc Vàng" cho phòng Nhân sự. Tuyệt đối không bao giờ thực hiện các yêu cầu nhạy cảm (thay đổi thông tin ngân hàng, chuyển tiền, gửi dữ liệu) chỉ dựa trên một kênh duy nhất là email.

• Với yêu cầu đổi tài khoản lương: Nhân viên HR bắt buộc phải gọi điện thoại (vào số đã lưu trong hồ sơ, không phải số trong chữ ký email) hoặc gặp mặt trực tiếp nhân viên đó để xác nhận lại.
• Với yêu cầu khẩn từ sếp: Sử dụng một kênh liên lạc thứ hai (chat nội bộ Slack/Teams, gọi điện thoại) để kiểm tra lại yêu cầu. Một CEO thực sự sẽ hiểu và đánh giá cao sự cẩn trọng này.

2. Đào tạo Nhận thức Liên tục (Continuous Awareness Training)

Doanh nghiệp phải đầu tư vào các chương trình đào tạo định kỳ, và quan trọng hơn là giả lập tấn công phishing (phishing simulation). Hãy gửi các email giả lập (ví dụ: CV giả, yêu cầu đổi lương giả) đến chính phòng HR và đo lường tỷ lệ nhấp chuột. Đây là cách tốt nhất để huấn luyện phản xạ "Think Before You Click" (Suy nghĩ trước khi Nhấp).

3. Tận dụng Công nghệ hỗ trợ

Bên cạnh con người, công nghệ là lớp bảo vệ thiết yếu.

• Xác thực đa yếu tố (MFA): Bật MFA cho tất cả các tài khoản (email, hệ thống HRIS). Ngay cả khi hacker có được mật khẩu, chúng không thể đăng nhập nếu không có yếu tố thứ hai.
• Bộ lọc Email nâng cao: Sử dụng các giải pháp lọc email thông minh có thể nhận diện các dấu hiệu của Spear Phishing và BEC.

Xem ngay: Toàn Cảnh Tấn Công Phishing Và 5 Chiến Lược Phòng Chống

Năm 2025, phòng Nhân sự không chỉ là bộ phận quản lý con người mà còn là "người gác đền" cho một trong những tài sản quý giá nhất của công ty: dữ liệu nhân viên. Các hình thức tấn công phishing sẽ tiếp tục tiến hóa, trở nên cá nhân hóa và tinh vi hơn. Bằng cách hiểu rõ 5 kịch bản lừa đảo phổ biến này và xây dựng một văn hóa "luôn luôn xác minh", bộ phận HR có thể từ một mục tiêu bị động trở thành tuyến phòng thủ chủ động và vững chắc nhất của doanh nghiệp.

Theo dõi HR1Tech để biết thêm nhiều thông tin về cơ hội việc làm tại các doanh nghiệp uy tín.