20. CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN TÍNH MẪN CẢM CỦA NHÂN VIÊN KẾ
TOÁN – KIỂM TOÁN ĐỐI VỚI CÁC CUỘC TẤN CÔNG THÔNG ĐIỆP GIẢ MẠO
ACCOUNTING AND AUDITING PROFESSIONALS AND PHISHING ATTACKS:
FACTORS AFFECTING VULNERABILITY
Th.S. Nguyễn Huỳnh Diễm Hương* - Tô Thị Hiền* - Nguyễn Thị Hải Yến* –
Vũ Hoàng Đào* - Trương Thị Linh* - Hà Thị Thuý Tiên*
*Trường Đại học Công nghiệp Thành phố Hồ Chí Minh
Tóm tắt
Nghiên cứu này định hướng để các nhà nghiên cứu sau này một công cụ đánh giá
hợp lý về mức độ tác động của các yếu tố ảnh hưởng đến tính mẫn cảm của nhân viên kế toán
kiểm toán đối với các cuộc tấn công thông điệp gimạo trong bối cảnh không gian mạng
Việt Nam. Để nghiên cứu đề tài, nhóm tác già đã sử dụng phương pháp phân tích nhân t
khám phá EFA, sau đó đánh giá khả năng dự báo của ba mô hình: Phân tích hồi quy Logistc;
Cây quyết định và Véc hỗ trợ để tìm ra hình dự báo hiệu quả nhất. Kết quả nghiên cứu
đã xác định được 5 yếu tố tác động ảnh hưởng đến tính mẫn cảm của nhân viên kế toán -
kiểm toán đối với các cuộc tấn công thông điệp giả mạo tại Việt Nam: hoài nghi, trì hoãn, tự
tin, tự quyết định, tìm kiếm kiến thức.
Từ khóa: lừa đảo bằng thông điệp giả mạo, tính mẫn cảm của con người, hoài nghi nghề
nghiệp, sự nghi ngờ, tính mẫn cảm.
Abstract
This study serves as a guideline for future researchers to have a reasonable assessment
tool on the impact This study aims to provide future researchers with a reasonable
assessment tool for the impact of various factors affecting the susceptibility of accounting
and auditing employees to phishing attacks in the context of Vietnam's cyber environment. To
explore the topic, the authors utilized exploratory factor analysis (EFA) and then assessed
the predictive capability of three models: Logistic Regression Analysis, Decision Trees, and
Support Vector Machines, to identify the most effective predictive model. The research results
identified five factors influencing the susceptibility of accounting and auditing employees to
phishing attacks in Vietnam: skepticism, procrastination, confidence, self-determination, and
knowledge seeking.
Keywords: phishing, Human susceptibility, Professional skepticism, Doubt or skepticism,
Susceptibility.
1
JEL Classifications: M40, M42, M49.
1. Đặt vấn đề
Trong những năm gần đây, lừa đảo trực tuyến qua thông điệp giả mạo (phishing) đã trở
thành mối đe dọa lớn tại Việt Nam, đặc biệt đối với lĩnh vực ngân hàng tài chính. Tội
phạm mạng sử dụng email, tin nhắn, phần mềm độc hại nhằm đánh lừa người nhận để lấy
thông tin nhạy cảm như mật khẩu số tài khoản. Nguyên nhân chính của sự thành công
trong các vụ tấn công này do sự bất cẩn, thiếu kiến thức của người dùng. Tính đến cuối
năm 2023, Cục An toàn Thông tin đã nhận hơn 15.900 phản ánh về lừa đảo, trong đó hơn
91% liên quan đến giả mạo trong ngân hàng - tài chính. Việc hiểu điểm yếu về nhận thức
của nhân viên giúp doanh nghiệp (DN) giảm nguy bị tấn công tăng cường bảo mật
thông tin. Tuy nhiên, nghiên cứu về mức độ mẫn cảm của nhân viên kế toán - kiểm toán trước
các cuộc tấn công giả mạo vẫn còn hạn chế tại Việt Nam. Nghiên cứu này tập trung phân tích
các yếu tố như sự nghi ngờ, nhận thức hành vi của nhân viên trước các cuộc tấn công
mạng tại Việt Nam. Đặc biệt, nghiên cứu đi sâu vào tác động của các đặc điểm tính cách
nhận thức cá nhân trong việc xác định khả năng bị lừa đảo của nhân viên kế toán – kiểm toán.
Đối tượng nghiên cứu tính mẫn cảm của nhóm nhân viên này đối với các cuộc tấn công
qua thông điệp giả mạo (phishing). Bằng cách sử dụng phương pháp định lượng, nghiên cứu
đặt mục tiêu làm các yếu tố ảnh hưởng chính, từ đó giúp các tổ chức nâng cao hiệu quả
bảo mật thông tin.
2. Tổng quan lý thuyết
2.1. Cơ sở lý thuyết
2.1.1. Lừa đảo trực tuyến
Internet đã đánh dấu bước tiến quan trọng trong lịch sử, mở ra kỷ nguyên kết nối toàn cầu
thay đổi sâu sắc mọi khía cạnh đời sống, từ thông tin, giao tiếp, kinh tế đến văn hóa, giáo
dục giải trí. Giống như radio tivi trước đây, Internet thu hẹp khoảng cách, kết nối mọi
người khắp nơi. Tuy nhiên, cùng với các lợi ích, Internet cũng mang đến nhiều rủi ro, đặc
biệt là về an ninh mạng và lừa đảo trực tuyến. Các tội phạm mạng đã tận dụng Internet để mở
rộng hoạt động, phát triển các phương thức lừa đảo mới giúp chúng dễ dàng tiếp cận nhiều
nạn nhân tiềm năng trên toàn cầu, không phân biệt vị trí địa lý, tuổi tác hay trình độ học vấn
(Cassandra Cross, 2019). Trong thập kỷ qua, lừa đảo trực tuyến các hành vi lừa đảo nhằm
trục lợi qua công nghệ Internet đã gia tăng đáng kể, đe dọa an toàn của nhiều cá nhân tổ
chức trên toàn thế giới (Barney Warf, 2018).
2
2.1.2. Các cơ chế để tác động qua mạng
Sự phát triển của mạng hội trực tuyến đã tạo ra một công cụ mạnh mẽ với khả năng
kết nối, chia sẻ tạo ra những thay đổi tích cực cho hội nhưng cũng tiềm ẩn nhiều nguy
về an ninh mạng. Mọi nỗ lực tinh vi nhằm tác động đến nhận thức, suy nghĩ hành vi
của người dùng trực tuyến thường được gọi “tấn công phi kỹ thuật” (Atkins & Huang,
2013). Mục đích chính của kỹ thuật này là khuyến khích người dùng thực hiện những hành vi
không an toàn, gây tổn hại đến bản thân hoặc cung cấp thông tin cho kẻ tấn công, chẳng hạn
như: Mở tệp đính kèm email chứa mã độc hại, dẫn đến việc lây nhiễm virus hoặc đánh cắp dữ
liệu nhân, tiết lộ thông tin mật như tài khoản người dùng, mật khẩu, thông tin tài chính,
tạo hội cho kẻ xấu thực hiện hành vi gian lận hoặc chiếm đoạt tài sản. (Mitnick & Simon,
2006).
2.1.3. Phishing là gì?
Những tiến bộ trong công nghệ đã mang đến cho chúng ta số tiện ích, giúp cải thiện
cách thức làm việc, giao tiếp kết nối với mọi người. Đồng thời, công nghệ thông tin cũng
là cửa ngõ cho các hoạt động tội phạm, điều này khiến cho DN và người dân phải đối mặt với
nhiều mối đe dọa khác nhau, một trong số đó lừa đảo thông qua các thông điệp giả mạo
(phishing). Các cuộc tấn công giả mạo là một trong những mối đe dọa an ninh mạng phổ biến
nhất các nhân DN phải đối mặt trên khắp thế giới, khiến nạn nhân thiệt hại hàng tỷ
đô la (Darem, A. 2021). Trong quý 3/2019, các cuộc tấn công lừa đảo mối đe doạ số một
đối với người dùng nhân số hai đối với các tổ chức:Trong 81% trường hợp, việc lây
nhiễm phần mềm độc hại vào s hạ tầng của công ty bắt đầu bằng một tin nhắn lừa đảo”
( Cybersecurity Threatscape, 2019).
2.2. Phát triển giả thuyết nghiên cứu
2.2.1. Sự nghi ngờ và tính nhạy cảm của cá nhân đối với các cuộc tấn công lừa đảo
Giả thuyết 1: Mức độ nghi ngờ cao hơn có thể làm giảm khả năng cá nhân bị lừa đảo
Nhân tố thứ hai trong thái độ hoài nghi đặc điểm luôn trì hoãn ra quyết định cân nhắc
xem xét kỹ lại mọi vấn đề khi đủ bằng chứng ràng phụ hợp mới đưa ra quyết định.
Quyết định về chuẩn mực kiểm toán số 1 AICPA 1977b có thảo luận về việc thận trọng trong
quá trình thực hiện các công việc đưa ra nhiều bằng chứng cụ thể để đối chiếu xem việc
thu thập bằng chứng cũng như chờ đợi xem bằng chứng đủ bằng chứng đáng tin trước khi
ra viết định. Trong AU 230.9, nêu ra rằng “kiểm toán viên không nên hài lòng với những
bằng chứng ít đáng tin”.
Giả thuyết 2: Sự trì hoãn quyết định giúp làm giảm khả năng bị lừa đảo trước các cuộc
tấn công thông điệp giả mạo
3
AU 230.08 chỉ ra rằng mỗi kiểm toán viên nên đánh giá một cách khách quan, công bằng
toàn diện các bằng chứng kiểm toán để xác định tính đầy đủ tính đáng tin cậy của
chúng, từ đó đưa ra phán đoán chuyên môn. Điều này ủng hộ đặc tính tự chủ - khi kiểm toán
viên dũng cảm đưa ra quyết định trong việc đánh giá, lập và duy trì ý kiến kiểm toán; tự mình
quyết định mức độ bằng chứng cần thiết để chấp nhận một giả thuyết cụ thể. Ngay từ năm
1961, Mautz và Sharaf đã nhận thấy sự cần thiết của sự tự chủ trong nghề kiểm toán.
Giả thuyết 3: Mức độ tự chủ càng cao, khả năng miễn nhiễm với các chiêu trò lừa đảo
càng lớn. duy khách quan, một biểu hiện của sự tự chủ, giúp nhân không dễ bị cuốn
theo đám đông hoặc tin vào những lời nói không có cơ sở
2.2.2. Đặc điểm nhân ảnh hưởng đến khả năng bị lừa đảo trước các cuộc tấn công
thông điệp giả mạo
Giả thuyết 4: Việc tìm kiếm mở rộng kiến thức của nhân viên kế toán giúp dễ dàng nhận
ra các cuộc tấn công thông điệp giả mạo hơn
Mautz Sharaf, (1961) đã nghiên cứu xác nhận rằng sự tự tin một phần của đặc
điểm hoài nghi. Sự tự tin được định nghĩa niềm tin vào khả năng thực hiện của chính một
người (Bandura, 1977; Chemers, et al., 2000; Clark et al., 2008), “cảm giác về năng lực
kỹ năng của mọi người, khả năng được nhận thức của họ trong việc xử hiệu quả các tình
huống khác nhau” (Shrauger & Schohn, 1995, tr. 256). Sự tự tin dường như một thành
phần đánh giá của khái niệm bản thân, sự thể hiện nhận thức của một người về chính họ
(Filomena Maggino, 2023). Sự tự tin sự phán đoán về một tình huống (Hollenbeck và Hall
2004), sự phán đoán về việc đạt được mục tiêu của một người (National Research Council
1994).
Giả thuyết 5: Sự tự tin càng cao, nhân sẽ càng ít bị ảnh hưởng bởi các thông tin liên
lạc lừa đảo
Sự hiểu biết giữa các nhân là một khía cạnh quan trọng của việc đánh giá bằng chứng
kiểm toán về các cuộc tấn công thông điệp giả mạo, Các cuộc tấn công giả mạo, chẳng hạn
như lừa đảo nhằm khai thác các chiến thuật kỹ thuật hội để đánh lừa cácnhân cung cấp
thông tin nhạy cảm. Các cuộc tấn công này thường liên quan đến việc gửi các email chứa liên
kết độc hại hoặc thông tin sai lệch, khiến người nhận tình xâm phạm bảo mật dữ liệu của
họ.
Giả thuyết 6: Sự hiểu biết giữa các nhân về lòng tự trọng quyền tự chủ trong việc
đánh giá bằng chứng đặc tính khiến nhân viên kế toán kiểm toán sẽ càng quan tâm đối với
các cuộc tấn công thông điệp giả mạo
4
3. Phương pháp nghiên cứu
3.1. Quy trình nghiên cứu
Với mục tiêu nghiên cứu các yếu tố ảnh ởng đến tính mẫn cảm của nhân viên kế
toán kiểm toán đối với các cuộc tấn công thông điệp giả mạo. Quy trình nghiên cứu được
thực hiện theo các bước như Sơ đồ 1.
Sơ đồ 1: Quy trình nghiên cứu
(Nguồn: Nhóm nghiên cứu tổng hợp)
3.2. Mô hình nghiên cứu
3.2.1. Xây dựng thang đo
Để đo lường các nhân tố tác động đến khả năng dễ bị lừa đảo của nhân viên kế toán kiểm
toán, chúng tôi sử dụng thang đo đặc trưng về tính hoài nghi nghề nghiệp của Hurt (2010).
trong đó gồm các biến 30 biến và 6 nhân tố, cụ thể ở bảng 1.
Bảng 1: Dữ liệu nghiên cứu
nhân tố
Tên nhân
tố Mã biến Tên biến
SK Tìm kiếm
kiến thức
SK1 Niềm vui trong học tập
SK2 Niềm vui khi học hỏi những điều mới
SK3 Học tập là điều thú vị
SK4 Thích học hỏi những điều mới
SK5 Thích kiểm chứng những thông tin
SK6 Yêu thích việc học hỏi
SJ Trì hoãn SJ1 Trì hoãn quyết định do thiếu thông tin
5