6 cách bảo mật email 2026 Gmail filter alias SimpleLogin chống spam và phishing

Bởi /
6 cách bảo mật email 2026 Gmail filter alias SimpleLogin chống spam và phishing

Email là cánh cổng vào hầu hết tài khoản online — Facebook, ngân hàng, Apple ID, ví điện tử. Hacker nắm được email là nắm 50% việc chiếm tài khoản. Năm 2026, lượng email lừa đảo (phishing) tinh vi tăng gấp 3 lần kể từ AI sinh nội dung. Bài này hướng dẫn 6 lớp bảo vệ email cho người dùng cá nhân Việt Nam.

Lớp 1 — Mật khẩu mạnh + 2FA

Lớp cơ bản nhất nhưng nhiều người vẫn bỏ qua:

  • Mật khẩu unique: mỗi tài khoản 1 mật khẩu khác nhau. Dùng password manager (Bitwarden free) sinh chuỗi 16 ký tự ngẫu nhiên.
  • 2FA bắt buộc: Settings → Security → 2-Step Verification. Dùng app authenticator (Google Authenticator, Authy) thay vì SMS — SMS có thể bị SIM swap.
  • Backup codes: mỗi 2FA app cho 8-10 mã backup. In ra giấy, cất tủ. Nếu mất điện thoại có cách vào lại.

Lớp 2 — Email alias / forwarding

Đăng ký dịch vụ trực tuyến đừng dùng email chính. Tạo “alias” — email phụ tự forward về email chính.

SimpleLogin (Recommended)

Free 10 alias, $30/năm unlimited. Mỗi lần đăng ký 1 dịch vụ mới, tạo 1 alias riêng (vd: [email protected]). Forward về Gmail thật của bạn. Nếu spam đến: tắt alias đó, không ảnh hưởng email chính. Cũng biết được dịch vụ nào bán email cho spammers.

AnonAddy / addy.io

Tương tự SimpleLogin, free tier rộng hơn (20 shared domains). Open-source.

Hide My Email (Apple)

Đi kèm iCloud+. Tạo random alias [email protected]. Dễ dùng nhưng chỉ trên thiết bị Apple.

Gmail “+” trick (free, đơn giản)

Gmail tự động chấp nhận [email protected] như cùng [email protected]. Không phải alias thật (vẫn lộ tên gốc) nhưng dễ filter và phát hiện ai bán dữ liệu.

Lớp 3 — Bộ lọc Gmail mạnh tay

Vào Gmail → Settings → Filters and Blocked Addresses → Create new filter. Một số filter hữu ích:

  • Skip inbox cho promotion: category:promotions → Skip inbox + Apply label “Promo”.
  • Auto-archive newsletter: filter list: → Skip inbox + Apply label “Newsletter”.
  • Đánh dấu sao email từ ngân hàng: filter from:(@vietcombank.com.vn OR @vpbank.com.vn) → Star + Important.
  • Chặn hoàn toàn domain spam đã biết: filter from:domain.com → Delete it.

Lớp 4 — Phát hiện phishing

Email lừa đảo năm 2026 dùng AI viết nội dung gần như hoàn hảo — không còn câu sai chính tả như xưa. 5 dấu hiệu cần kiểm tra:

  • Email từ “ngân hàng” nhưng domain lạ: Vietcombank thật chỉ gửi từ @vietcombank.com.vn. Email từ @vietcombank-online.com hay @vcb-secure.net là giả.
  • URL không khớp: hover lên link (KHÔNG click) xem URL thực. https://vietcombank.com.vn vs https://vietcombank.com.vn-secure.tk — domain thật là vn-secure.tk, không phải Vietcombank.
  • Tạo cảm giác khẩn cấp: “tài khoản sẽ bị khoá trong 24 giờ”, “thanh toán phải xác nhận ngay” — đó là cách lừa đảo cổ điển.
  • Yêu cầu thông tin nhạy cảm: ngân hàng KHÔNG BAO GIỜ hỏi mật khẩu, mã OTP qua email/tin nhắn.
  • File đính kèm bất ngờ: không mở .doc, .xls, .pdf từ email lạ — đặc biệt nếu file đòi “enable macros”.

Quy tắc vàng: nếu nghi ngờ, KHÔNG click link trong email. Mở trình duyệt, tự gõ địa chỉ ngân hàng/dịch vụ. Hoặc gọi tổng đài chính thức để xác minh.

Lớp 5 — Email recovery riêng

Tài khoản email chính nên có 1 email phụ làm “recovery” — không dùng cho gì khác. Tạo Gmail mới, đặt mật khẩu cực mạnh, 2FA, không cho ai biết. Chỉ dùng để khôi phục khi bị khoá.

Tương tự, số điện thoại recovery KHÔNG nên là số đăng dùng hàng ngày để tránh SIM swap. Số phụ chỉ dùng cho mục đích bảo mật.

Lớp 6 — Mã hoá end-to-end (cho người làm việc nhạy cảm)

Gmail mặc định KHÔNG mã hoá end-to-end — Google đọc được nội dung. Nếu bạn là luật sư, kế toán, nhà báo, hoặc chỉ muốn privacy:

  • ProtonMail: free 1GB, paid 1.99 EUR/tháng cho 15GB + custom domain. End-to-end encryption mặc định khi gửi giữa 2 ProtonMail. Khi gửi ra Gmail/Outlook: gửi mã + mật khẩu riêng cho người nhận.
  • Tutanota: tương tự ProtonMail, trụ sở Đức.
  • PGP/GPG: chuẩn mã hoá email truyền thống. Phức tạp setup nhưng linh hoạt nhất. Phù hợp người chuyên môn.

Checklist 30 phút bảo mật email

Áp dụng cho Gmail/Outlook chính của bạn ngay hôm nay:

  • ☐ Đổi mật khẩu thành 16+ ký tự random qua password manager.
  • ☐ Bật 2FA, tải Google Authenticator hoặc Authy.
  • ☐ In/lưu backup codes vào nơi an toàn.
  • ☐ Kiểm tra “Recent activity” — đảm bảo không có thiết bị lạ đăng nhập.
  • ☐ Tạo tài khoản SimpleLogin free, dùng cho mọi đăng ký mới.
  • ☐ Tạo email recovery riêng nếu chưa có.
  • ☐ Cập nhật số điện thoại recovery (nên dùng số phụ).

FAQ

SimpleLogin và Hide My Email khác nhau thế nào?

Hide My Email chỉ trên thiết bị Apple, free đi kèm iCloud+. SimpleLogin dùng được mọi nền tảng, có cả cài extension trình duyệt để tạo alias 1 click. Cả 2 đều hợp lệ.

2FA qua SMS có an toàn không?

An toàn hơn không có 2FA, nhưng kém app authenticator. Có nguy cơ SIM swap — kẻ xấu lừa nhân viên viễn thông phát SIM mới với số của bạn. Dùng app authenticator (Authy, Google Authenticator) hoặc khoá vật lý (YubiKey) tốt hơn.

Bao lâu nên đổi mật khẩu một lần?

Quy tắc cũ “đổi mật khẩu 90 ngày” đã lỗi thời. NIST 2017 khuyến nghị: chỉ đổi khi có dấu hiệu rò rỉ. Mật khẩu mạnh + unique + 2FA quan trọng hơn việc đổi định kỳ. Kiểm tra haveibeenpwned.com xem email đã bị lộ ở đâu chưa — nếu có thì đổi mật khẩu các tài khoản liên quan.

Email lừa đảo bằng tiếng Việt có nhiều không?

Năm 2026, AI dịch ngữ pháp tiếng Việt tự nhiên — phishing tiếng Việt tăng vọt. Lừa đảo phổ biến: giả VNPT/Viettel báo “thuê bao quá hạn”, giả ngân hàng “cập nhật thông tin sinh trắc học”, giả Shopee/Tiki “đơn hàng không giao được, nhấn link cập nhật”.

Tổng kết

6 lớp bảo vệ email không phải tất cả phải làm cùng lúc. Bắt buộc tối thiểu: mật khẩu mạnh + 2FA + biết phát hiện phishing. Khuyến nghị mạnh: dùng SimpleLogin alias cho dịch vụ mới + email recovery riêng. Phù hợp người làm nhạy cảm: ProtonMail. Đầu tư 30 phút setup ban đầu sẽ tiết kiệm hàng giờ xử lý sự cố nếu bị hack.

Lên đầu trang