Từ vụ Quang Hải bị hack Facebook, Tiến sỹ RMIT chỉ ra 1001 cách tấn công tài khoản ở Việt Nam bất chấp bảo mật 2 lớp và mật khẩu lắt léo kiểu A_03iYsPct#

26/06/2020 16:26 PM | Công nghệ

Phần lớn những trường hợp tấn công tài khoản thành công ở Việt Nam đều lừa đảo qua giao tiếp xã hội chứ không qua kỹ thuật. Dù người dùng rất cảnh giác và không dễ bị lừa, ví như trường hợp về cầu thủ bóng đá có tiếng gần đây, nguy cơ bị tấn công vẫn cao khi chúng ta chỉ có ít thời gian mỗi ngày để nghĩ về an ninh và bảo mật, trong khi tội phạm mạng có hẳn 24 giờ/ngày để làm việc này...

Đặt mật khẩu phức tạp kiểu chữ hoa - chữ thường - số - ký tự đặc biệt lẫn lộn, bảo mật 2 lớp, hay cực đoan đến mức điện thoại hỏng thì mua mới luôn thay vì mang đi sửa, nhưng nguy cơ bị tấn công tài khoản vẫn hiện hữu.

Những người nổi tiếng như  người mẫu, diễn viên hay cầu thủ càng dễ trở thành nạn nhân của loại tội phạm mạng này. Tin tặc tấn công tài khoản của nạn nhân như thế nào và làm thế nào để tự bảo vệ mình?

Chúng tôi có cuộc trò chuyện với Tiến sĩ Jonathan Crelin và Tiến sĩ Nguyễn Ngọc Thành, giảng viên Khoa Khoa học và Công nghệ thuộc Đại học RMIT Việt Nam, để giải đáp các thắc mắc trên.

Tiến sĩ Jonathan Crelin là chuyên gia về bảo mật và pháp y kỹ thuật số (Digital Forensics), nguyên giảng viên Đại học Portsmouth (Vương quốc Anh).

Tiến sĩ Nguyễn Ngọc Thành là chuyên gia về điện toán đám mây và các hệ thống lớn,  lấy bằng Tiến sĩ tại Đại học Oslo (Na Uy).

* Thưa Tiến sĩ Thành, ông có thể lý giải tại sao gần đây việc đánh cắp tài khoản và công khai thông tin cá nhân của những người nổi tiếng lại nổi lên nhiều như vậy không?

Từ vụ Quang Hải bị hack Facebook, Tiến sỹ RMIT chỉ ra 1001 cách tấn công tài khoản ở Việt Nam bất chấp bảo mật 2 lớp và mật khẩu lắt léo kiểu A_03iYsPct# - Ảnh 1.

Tiến sĩ Nguyễn Ngọc Thành.

Tiến sĩ Nguyễn Ngọc Thành: Tấn công mạng không phải là chủ đề mới. Phần đông chúng ta đều từng gặp phải tình huống tương tự cho đến bị mất tài khoản, bị lừa gửi tiền cho người quen. Khá lý thú là có lần tôi yêu cầu sinh viên trong lớp tôi dạy kể về kinh nghiệm của họ về tấn công mạng, có đến 80-90% sinh viên kể lại câu chuyện mà chính họ là nạn nhân. Như các loại tội phạm khác, tội phạm mạng diễn ra hàng giờ, hàng phút và mỗi chúng ta đều có thể là nạn nhân.

Do danh tiếng của mình, những người nổi tiếng thường bị tội phạm mạng nhắm đến nhiều hơn. Trong an ninh mạng, đối tượng này thường được xem là những mục tiêu có giá trị cao. Người nổi tiếng thường quảng giao, gặp gỡ nhiều người cả ngoài đời thực lẫn trên mạng, nên sẽ để lộ nhiều sơ hở hơn người bình thường. Do đó, ngày càng nhiều người nổi tiếng bị tin tặc tấn công là điều dễ hiểu.

* Tin tặc tấn công tài khoản của những người này như thế nào?

Tiến sĩ Crelin: Đây là một câu hỏi khá hóc búa. Thực tế không có đáp án duy nhất và tuyệt đối. Điều này phụ thuộc vào rất nhiều yếu tố. Trong nhiều trường hợp, nạn nhân không báo cáo và công khai chuyện của họ nên chúng ta chỉ có thể phỏng đoán.

Hiện nay, các nhà cung cấp dịch vụ mạng cũng đã tăng cường bảo mật trên nền tảng của họ nên tin tặc khó có thể dùng các kỹ thuật truyền thống như SQL Injection, Cross Site Scripting, Cross Request Forgery, v.v. để tấn công tài khoản người dùng. Do đó, nhiều tội phạm hiện sử dụng một kỹ thuật có tên Social Engineering (tạm hiểu là lừa đảo qua giao tiếp xã hội chứ không qua kỹ thuật). Phần lớn những trường hợp tấn công tài khoản thành công ở Việt Nam đều dùng kỹ thuật này.

* Ông có thể giải thích rõ hơn về kỹ thuật này không?

Từ vụ Quang Hải bị hack Facebook, Tiến sỹ RMIT chỉ ra 1001 cách tấn công tài khoản ở Việt Nam bất chấp bảo mật 2 lớp và mật khẩu lắt léo kiểu A_03iYsPct# - Ảnh 2.

Tiến sĩ Crelin: Nghe phức tạp nhưng kỹ thuật này cực kỳ đơn giản. Ví dụ, tội phạm gửi cho nạn nhận tin nhắn đại loại như: Anh đẹp trai ơi, mật khẩu facebook của anh là gì vậy?

Hẳn nhiên, tội phạm không gửi khơi khơi như vậy, chúng sẽ gửi cho bạn một trang web hứa hẹn chứa đựng nhiều thông tin hấp dẫn. Đại loại như bạn được tặng trọn gói một chuyến du lịch châu Âu nghỉ dưỡng ở resort 5 sao hay thông tin tương tự như vậy và bạn phải đăng nhập để nhận thưởng. Trang đăng nhập này thực chất là trang giả và khi đăng nhập vào mật khẩu của bạn sẽ chuyển thẳng vào email hay tin nhắn của tin tặc.

Các kỹ thuật hiện tại như Single Sign On thông qua OAuth2 trên Google hay Facebook cũng góp phần củng cố niềm tin khiến nạn nhân nghĩ rằng mình đã đăng nhập và không mảy may nghi ngờ.

Kỹ thuật này còn được dùng rất nhiều trên các phương tiện khác như gọi điện thoại báo trúng thưởng hay giả danh cơ quan điều tra đe dọa rằng nạn nhân đang bị vướng vào một vụ rửa tiền và cần phải chuyển tiền vào tài khoản cơ quan điều tra để tránh bị bắt. Còn phần lớn các quý bà độc thân thì bị tấn công theo hình thức kết bạn, chuyển quà tặng có giá trị nhưng bị tắc ở Hải quan và cần phải nộp tiền để lấy hàng ra.

* Giả sử rằng người nổi tiếng rất cảnh giác và không dễ bị lừa bởi những kỹ thuật tấn công qua giao tiếp xã hội này, tin tặc có thể dùng cách nào khác không? Đặc biệt là trường hợp về cầu thủ bóng đá có tiếng gần đây.

Tiến sĩ Crelin: Chúng ta chỉ có ít thời gian mỗi ngày để nghĩ về an ninh và bảo mật, trong khi tội phạm mạng có hẳn 24 giờ/ngày để làm việc đó. Khi tới khách sạn, quán ăn, nhà hàng hay quán cafe, hàng loạt camera an ninh có thể bị tội phạm lợi dụng để ăn cắp mã PIN điện thoại hay mã vẽ hình để mở điện thoại của bạn. Đối với vận động viên hay diễn viên, phần lớn thời gian (khi tập luyện, thi đấu, hay diễn xuất) họ sẽ không giữ điện thoại bên mình. Họ có thể để điện thoại trong giỏ, trong locker của phòng thay đồ, hay gửi cho trợ lý giữ giùm. Đây là cơ hội cho các cuộc tấn công.

Mang điện thoại đi sửa hay cài phần mềm cũng hết sức nguy hiểm. Đã có nhiều trường hợp ảnh nóng hay những đoạn phim nhạy cảm bị rò rỉ ra ngoài theo những cách không thể đơn giản hơn.

Tuy hơi cực đoan nhưng có lẽ người nổi tiếng – những mục tiêu có giá trị cao -- nên cân nhắc mua điện thoại mới thay vì mang đi sửa. Dĩ nhiên là những thông tin quan trọng trên điện thoại như danh bạ nên được sao lưu định kỳ. Điện thoại cũ nên được khôi phục cài đặt gốc hoặc vô hiệu hoá hoàn toàn.

* Nếu những người này luôn giữ điện thoại bên mình và không đưa cho ai hết, liệu họ có thể bị tin tặc tấn công không?

Tiến sĩ Nguyễn Ngọc Thành: Có thể. Hiện tại, việc dùng một mật khẩu cho các trang web khác nhau là khá phổ biến, nên tin tặc có biết một mật khẩu và qua đó suy đoán ra các mật khẩu còn lại. Việc bạn tạo tài khoản trên nhiều trang web khác nhau và dùng cùng một mật khẩu là yếu điểm rất lớn. Bạn hiếm khi nghĩ rằng tài khoản bạn tạo từ năm hay thậm chí mười năm trước nay được rao bán đầy trên thị trường web chợ đen. Việc tin tặc lục lại những dữ liệu này và tìm thấy email hay mật khẩu của người nổi tiếng, rồi đăng nhập thử vào tài khoản Gmail hay Facebook hiện nay của họ là điều hoàn toàn có thể xảy ra.

* Giả sử một người đã loại trừ hết các trường hợp kể trên, liệu họ có khả năng bị tấn công?

Tiến sĩ Jonathan: Câu trả lời của tôi là có thể. Bạn có nhớ trường hợp Social Engineering mà tôi vừa kể trên không? Có bao giờ bạn lên Facebook, thử tìm kiếm tên tài khoản của bạn và phát hiện ra nhiều tài khoản nhái, dùng tên và hình ảnh thật của bạn chưa? Tôi chắc là có. Tin tặc có thể tạo tài khoản giả của những diễn viên hay những hot-girl mới nổi rồi kết bạn với các vận động viên. Sau một thời gian, họ trao đổi với nhau những tin nhắn thân mật và nhạy cảm. Một ngày, tài khoản hot girl kia lộ diện là những tên tội phạm mạng. Chúng dùng những đoạn chat này để tống tiền nạn nhân và nếu nạn nhân không đồng ý, chúng sẽ đăng công khai trên mạng.

Ngọc

Cùng chuyên mục
XEM