Mỗi năm, ngành cybersecurity đều tạo ra thêm firewall mạnh hơn, hệ thống phát hiện thông minh hơn và cơ chế xác thực phức tạp hơn.
Nhưng nghịch lý là: phishing vẫn tiếp tục hoạt động.
Không phải vì công nghệ phòng thủ yếu.
Mà vì phishing chưa bao giờ chỉ là một cuộc tấn công kỹ thuật.
Nó là một cuộc tấn công tâm lý.
Phishing hiện đại không còn “ngớ ngẩn”
Nhiều người vẫn nghĩ phishing là những email đầy lỗi chính tả với tiêu đề kiểu:
“Your account has been hacked!!!”
Thực tế hiện nay hoàn toàn khác.
Một chiến dịch phishing hiện đại có thể:
- bắt chước giao diện công ty thật,
- sử dụng domain gần giống domain chính thức,
- gửi email đúng thời điểm,
- dùng AI để viết nội dung tự nhiên,
- và cá nhân hóa cho từng mục tiêu.
Kẻ tấn công không còn spam hàng triệu email vô nghĩa.
Họ nghiên cứu con người trước.
Con người luôn là “attack surface” lớn nhất
Hầu hết hệ thống ngày nay đều có:
- MFA,
- EDR,
- SIEM,
- email filtering,
- threat intelligence.
Nhưng tất cả công nghệ đó vẫn phụ thuộc vào một điều:
Con người phải đưa ra quyết định đúng.
Và đó chính là nơi phishing tồn tại.
Một email tạo cảm giác khẩn cấp.
Một thông báo “tài khoản sắp bị khóa”.
Một lời mời họp từ “quản lý”.
Một file “báo cáo lương tháng”.
Phishing khai thác:
- sự tin tưởng,
- áp lực thời gian,
- thói quen,
- và sự mất tập trung.
AI đã thay đổi phishing như thế nào?
AI khiến phishing nguy hiểm hơn ở ba điểm:
1. Nội dung tự nhiên hơn
Email phishing giờ ít lỗi ngữ pháp hơn, văn phong chuyên nghiệp hơn và giống email thật hơn rất nhiều.
2. Cá nhân hóa dễ hơn
Chỉ từ LinkedIn, GitHub hoặc mạng xã hội, attacker có thể biết:
- vị trí công việc,
- đồng nghiệp,
- dự án đang làm,
- công nghệ công ty đang dùng.
Điều này giúp tạo spear phishing cực kỳ thuyết phục.
3. Scale lớn hơn
Một người giờ có thể tạo hàng trăm email khác nhau chỉ trong vài phút.
Automation + AI làm phishing rẻ hơn và nhanh hơn.
Điều đáng sợ không phải là click vào link
Điều đáng sợ là phishing thường chỉ là bước đầu tiên.
Sau khi có được:
- credential,
- session token,
- MFA approval,
- hoặc quyền truy cập email,
attacker có thể:
- di chuyển ngang trong hệ thống,
- đánh cắp dữ liệu,
- triển khai ransomware,
- hoặc duy trì persistence trong thời gian dài.
Một cú click đôi khi chỉ là điểm bắt đầu của cả một chuỗi compromise.
Phòng thủ chống phishing không chỉ là công nghệ
Nhiều công ty đầu tư rất mạnh vào security tools nhưng bỏ quên yếu tố con người.
Trong khi đó, phishing thường thắng bằng:
- timing,
- social engineering,
- và context.
Defense hiệu quả cần:
- security awareness thực tế,
- phishing simulation,
- least privilege,
- MFA đúng cách,
- monitoring hành vi bất thường,
- và giảm “decision fatigue” cho nhân viên.
Kết
Phishing vẫn hiệu quả năm 2026 vì nó không tấn công máy tính trước tiên.
Nó tấn công cách con người phản ứng dưới áp lực.
Và miễn là con người còn phải đưa ra quyết định nhanh trong một thế giới đầy notification, email và cảnh báo — phishing vẫn sẽ tồn tại.
