HOT: Tổng hợp lời khuyên từ các chuyên gia bảo mật Sun* về các vụ tấn công dữ liệu cá nhân người dùng

Tình trạng lộ dữ liệu của người dùng tại Việt Nam đã và đang ở mức báo động. Theo thống kê từ năm 2023, Bộ Công An đã phải cảnh báo, xử lý hàng chục triệu các vụ việc có liên quan đến xâm phạm cơ sở dữ liệu cá nhân. Nghiêm trọng hơn, các dữ liệu này đã được rao bán trên các diễn đàn, thậm chí rao bán trên cả các hội nhóm Telegram...vv.. Theo đó, chỉ cần bỏ ra vài nghìn đồng là có được dữ liệu cá nhân của một người thông qua số điện thoại liên lạc.

Các xu hướng tấn công năm 2024 có thể kế đến:

Chia sẻ về những lý do thường gặp dẫn đến việc để lộ thông tin dữ liệu cá nhân, đại diện Sun* Cyber Security Research Team cho biết:

“Có 2 nguyên nhân chính dẫn đến lộ dữ liệu cá nhân. Nguyên nhân thứ 1 là do người dùng chủ quan, bất cẩn tự mình làm lộ thông tin trên mạng hoặc trên các website mua bán trực tuyến. Nguyên nhân thứ 2 là do các hệ thống thu thập, lưu trữ thông tin người dùng nhưng không đảm bảo an ninh, từ đó bị tin tặc (hacker) xâm nhập lấy cắp dữ liệu hoặc bị nhân viên chủ động bán ra ngoài thu lợi bất chính. ”

Vậy hậu quả của việc không bảo vệ dữ liệu cá nhân là gì? Câu trả lời sẽ là:

Có rất nhiều cuộc tấn công dữ liệu cá nhân người dùng đang diễn ra trong thời gian gần đây, thu hút sự quan tâm của đông đảo người dùng mạng. 

Để tìm hiểu chi tiết về các cuộc tấn công nổi bật nhất hiện nay, hãy cùng lắng nghe những chia sẻ của các thành viên Sun* Cyber Security Research Team về các vấn đề tấn công, kịch bản các cuộc tấn công này, hậu quả cũng như lời khuyên bảo mật “siêu cần thiết” đến từ các chuyên gia nhé!

Vấn đề: Bị tấn công từ điểm truy cập Internet, Wifi không rõ nguồn gốc

Trong quá trình di chuyển hoặc kết nối internet bên ngoài, không hiếm các trường hợp chúng ta buộc phải thực hiện các tác vụ riêng tư từ một điểm truy cập internet, Wifi không rõ nguồn gốc.

Kịch bản: 

- Nếu người chủ của Wifi có ý đồ xấu, kẻ tấn công có thể theo dõi được danh sách các trang web mà chúng ta truy cập thông qua DNS server, xâm phạm tính riêng tư của người dùng.

Hậu quả:

- Nạn nhân có thể bị điều hướng đến các trang web độc hại, nguy cơ bị tấn công phishing, lộ thông tin cá nhân.

Lời khuyên: 

- Khi phải sử dụng mạng internet từ một địa điểm chưa rõ sự tin cậy, có thể sử dụng các phần mềm VPN uy tín như 1.1.1.1 của Cloudflare (có hỗ trợ tất cả các nền tảng PC, Android, iOS) để bảo mật các địa chỉ mà chúng ta truy cập đến.

- Với các thiết bị di động, có thể sử dụng các phần mềm như Blokada, RethinkDNS để ngăn chặn các đường link malware, spyware, ads, trackers, giúp chúng ta duyệt web an toàn hơn.

Sunner có thể tham khảo thêm tại đây: 

Vấn đề: Rất nhiều camera an ninh tại Việt Nam đang không đặt mật khẩu hoặc mật khẩu không đủ phức tạp.

Kịch bản: 

- Trong những năm gần đây, việc sử dụng camera an ninh đã trở nên phổ biến tại Việt Nam, từ các hộ gia đình đến doanh nghiệp, tất cả đều sử dụng camera để giám sát và bảo vệ tài sản. Tuy nhiên, sự tiện lợi này đi kèm với những nguy cơ tiềm ẩn về an ninh mà nhiều người dùng chưa nhận thức đầy đủ. Một trong những vấn đề nghiêm trọng nhất hiện nay là việc nhiều camera an ninh không được đặt mật khẩu hoặc sử dụng mật khẩu không đủ phức tạp, dẫn đến nguy cơ bị tấn công và xâm nhập.

- Kẻ tấn công có thể mua dữ liệu từ thợ lắp camera hoặc từ các nguồn rò rỉ khác. Ngoài ra, việc truy cập vào mạng WiFi cũng là một phương thức phổ biến để kẻ xấu có thể xâm nhập vào hệ thống camera. Khi đã có quyền truy cập vào mạng WiFi, họ có thể join vào hệ thống camera một cách bất hợp pháp, kiểm soát và theo dõi mọi hoạt động mà camera ghi lại. Điều này không chỉ đe dọa sự riêng tư của các hộ gia đình và doanh nghiệp, mà còn tạo điều kiện cho các hành vi phạm pháp như trộm cắp, theo dõi, và tống tiền. Hậu quả có thể rất nghiêm trọng, từ mất mát tài sản cho đến đe dọa an toàn cá nhân và gia đình.

Hậu quả:

- Mất quyền riêng tư, hình ảnh và âm thanh có thể bị nghe lén, bị phát tán lên mạng, …

- Sử dụng hình ảnh âm thanh từ camera vào mục đích xấu, tống tiền, đe doạ, …

- Lợi dụng camera để kẻ tấn công có thể đột nhập vào nhà

Lời khuyên:

- Đặt mật khẩu mạnh cho camera an ninh: Mật khẩu nên bao gồm cả chữ cái, số và ký tự đặc biệt, và không nên sử dụng các mật khẩu đơn giản như "123456" hoặc "admin".

- Thay đổi mật khẩu mặc định: Ngay sau khi lắp đặt, hãy thay đổi mật khẩu mặc định của thiết bị.

- Cập nhật phần mềm thường xuyên: Hãy đảm bảo rằng firmware của camera luôn được cập nhật để khắc phục các lỗ hổng bảo mật mới nhất.

- Bảo mật mạng WiFi: Sử dụng các chuẩn bảo mật cao như WPA2 hoặc WPA3 và thường xuyên thay đổi mật khẩu WiFi.

- Sử dụng mạng riêng cho camera an ninh: Nếu có thể, hãy thiết lập một mạng WiFi riêng biệt chỉ dành cho các thiết bị an ninh để giảm thiểu nguy cơ bị xâm nhập qua mạng gia đình.

- Tắt dịch vụ truy cập từ xa nếu không cần thiết: Nếu bạn không cần truy cập camera từ bên ngoài, hãy tắt tính năng này để giảm nguy cơ bị tấn công từ bên ngoài.

Vấn đề: Đánh lừa người dùng click vào những đường link giả mạo có giao diện giống hệt màn hình đăng nhập của các ứng dụng mạng xã hội phổ biến như Facebook, Zalo. 

Kịch bản:

- Tạo link giả mạo: Tin tặc tạo ra một trang web có giao diện giống y hệt màn hình đăng nhập của các ứng dụng mạng xã hội phổ biến.

- Gửi link lừa đảo: Tin tặc sử dụng các phương thức như email, tin nhắn SMS, mạng xã hội để gửi link giả mạo đến người dùng.

- Khuyến khích click vào link: Tin tặc thường sử dụng những lời lẽ hấp dẫn như "Đăng nhập để nhận quà", "Tài khoản của bạn có nguy cơ bị khóa",... để dụ dỗ người dùng click vào link giả mạo.

- Thu thập thông tin đăng nhập: Khi người dùng click vào link giả mạo và nhập thông tin đăng nhập, tin tặc sẽ thu thập thông tin này và sử dụng nó để chiếm quyền truy cập vào tài khoản của họ.

- Thực hiện hành vi phi pháp: Sau khi chiếm quyền truy cập tài khoản, tin tặc có thể thực hiện nhiều hành vi phi pháp như: lừa đảo, tống tiền, giả mạo danh tính,...

Hậu quả:

- Mất cắp thông tin cá nhân: Tin tặc có thể sử dụng thông tin cá nhân thu thập được để thực hiện các hành vi phi pháp như: lừa đảo, tống tiền, giả mạo danh tính,...

- Gây thiệt hại tài chính: Tin tặc có thể sử dụng tài khoản mạng xã hội của nạn nhân để đăng tải thông tin sai lệch, lừa đảo bạn bè vay tiền, hoặc thực hiện các giao dịch thanh toán gian lận.

- Gây tổn hại danh tiếng: Tin tặc có thể sử dụng tài khoản mạng xã hội của nạn nhân để đăng tải những nội dung xúc phạm, gây tổn hại đến danh tiếng của họ.

Lời khuyên:

- Cẩn thận với các link lạ: Không click vào bất kỳ link lạ nào được gửi qua email, tin nhắn SMS, hoặc mạng xã hội, ngay cả khi chúng có vẻ đến từ người quen hoặc tổ chức uy tín.

- Kiểm tra kỹ lưỡng link: Trước khi click vào bất kỳ link nào, hãy kiểm tra kỹ lưỡng địa chỉ URL của trang web. Đảm bảo rằng địa chỉ URL chính xác và thuộc về trang web chính thức của ứng dụng mạng xã hội mà bạn muốn truy cập.

- Không bao giờ nhập thông tin đăng nhập vào trang web lạ: Chỉ nhập thông tin đăng nhập vào trang web chính thức của các ứng dụng mạng xã hội mà bạn tin tưởng.

- Cài đặt phần mềm bảo mật: Cài đặt phần mềm bảo mật trên máy tính và thiết bị di động của bạn để bảo vệ bản thân khỏi các mối đe dọa mạng.

- Cập nhật phần mềm thường xuyên: Luôn cập nhật phần mềm hệ điều hành, trình duyệt web và các ứng dụng mạng xã hội để vá các lỗ hổng bảo mật.

- Báo cáo các hành vi lừa đảo: Nếu bạn gặp phải bất kỳ hành vi lừa đảo nào, hãy báo cáo cho các cơ quan chức năng để họ có thể xử lý và ngăn chặn kịp thời.

Bằng cách tuân thủ những lời khuyên này, bạn có thể bảo vệ bản thân khỏi những kẻ lừa đảo tinh vi và giữ an toàn cho thông tin cá nhân và tài khoản mạng xã hội của bạn.

Vấn đề: Sử dụng chung mật khẩu cho các tài khoản trên không gian số tiềm ẩn rủi ro cao.

Kịch bản:

- Hiệu ứng dây chuyền: Hầu hết mọi người thường dùng chung một mật khẩu cho email, ngân hàng, mạng xã hội, các sàn thương mại điện tử, các hệ thống nội bộ ở công ty và các loại website khác để thuận tiện cho việc ghi nhớ mật khẩu. Cách làm này có phần nguy hiểm vì nếu hacker đánh cắp tài khoản và mật khẩu từ một trang web bảo mật kém thì các nền tảng khác cũng bị đe dọa mất tài khoản. Các nền tảng, ứng dụng thường lấy địa chỉ email hay số điện thoại làm tên tài khoản, hacker hoàn toàn biết điều này. Mỗi một tài khoản trên một nền tảng bị chiếm, hacker sẽ có thêm thông tin của nạn nhân và nâng cao khả năng tấn công vào những ứng dụng có nhiều lớp bảo mật hơn. Nó giống như một hàng dài các quân domino được xếp sát nhau, chỉ cần tác động nhẹ vào quân đầu tiên, cả hàng domino sẽ lần lượt đổ sập.

- Mở rộng phạm vi rủi ro: Càng nhiều hệ thống ứng dụng có chung mật khẩu, thì tin tặc càng có nhiều điểm để tiếp cận thông tin đăng nhập của bạn. Rò rỉ dữ liệu là điều thường xuyên xảy ra, và chúng ta không thể biết rõ thông tin của mình được các công ty, tổ chức lưu trữ hay bảo vệ như thế nào. Nỗ lực bảo vệ người dùng của các tổ chức uy tín sẽ không có tác dụng nếu bạn sử dụng chung mật khẩu giữa các nền tảng.

Hậu quả:

-  Trộm cắp tài chính: Tin tặc có thể truy cập vào tài khoản ngân hàng hoặc thẻ tín dụng của bạn để đánh cắp tiền.

- Trộm cắp danh tính: Thông tin cá nhân bị đánh cắp có thể được sử dụng cho các mục đích gian lận như mở tài khoản mới dưới tên của bạn.

- Mất dữ liệu: Tin tặc có thể đánh cắp dữ liệu nhạy cảm từ tài khoản của bạn.

- Thiệt hại về danh tiếng: Các tài khoản bị xâm phạm có thể được sử dụng để lan truyền thông tin sai lệch hoặc spam, gây hại cho danh tiếng trực tuyến của bạn.

Lời khuyên: 

- Mọi người nên sử dụng ứng dụng quản lý mật khẩu để có thể nhanh chóng tạo các mật khẩu an toàn và xem lại mọi lúc, bạn sẽ chỉ cần nhớ và tập trung bảo mật cho mật khẩu của chính ứng dụng quản lý mật khẩu mà thôi. Một số ứng dụng quản lý mật khẩu uy tín: LastPass, 1Password, Microsoft Authenticator, … 

- Chúng ta có xu hướng sử dụng lại những mật khẩu từng dùng trước đây mỗi khi cần đăng ký tài khoản trên một website nào đó để có thể nhanh chóng sử dụng. Mình khuyên mọi người nên sửa thói quen này thành mỗi khi đăng ký tài khoản mà cần nhập mật khẩu thì hãy sử dụng trình quản lý mật khẩu tạo mật khẩu, lưu lại và dùng mật khẩu đó. Khi bạn đã quen thì thao tác này sẽ rất nhanh thôi.

Vấn đề: Hack và chiếm quyền mạng xã hội người nổi tiếng để lừa đảo

Kịch bản:

- Những kẻ tấn công Hack và chiếm quyền điều khiển mạng xã hội người nổi tiếng , từ đó lợi dụng tên tuổi của họ cung cấp các thông tin sai lệch, đa cấp, lừa đảo nhằm chiếm đoạt tiền của nạn nhân.

Các trường hợp thực tế:

- Kênh youtube  Độ Mixi, Quang Linh Vlogs bị Hacker chiếm quyền điều khiển, từ đó đăng tải các thông tin giới thiệu về các đồng tiền mã hóa lừa đảo.

- Tài khoản X (trước đây là Twitter) của Ủy ban Chứng khoán Mỹ bị hack, từ đó đăng tải các thông tin sai lệch về Bitcoin , khiến giá đồng tiền ảo này tăng vọt.

- Loạt tài khoản Twitter chính thức của Elon Musk, Bill Gates, Barack Obama và Apple bị Hack , đồng loạt đăng tải thông điệp. kêu gọi gửi số tiền tới một ví Bitcoin, và người gửi sẽ được nhận lại gấp đôi. Nhiều nạn nhân đã tin theo và chuyển tiền cho Hackerr

Lời khuyên: Kiểm chứng lại tất cả các thông tin tiếp nhận, qua nhiều kênh khác nhau. 

Vấn đề: Tấn công lừa đảo thông qua hình thức gọi điện hoặc nhắn tin, tự xưng là người của cơ quan chức năng (công an, cục thuế, điều tra hình sự,...)

Kịch bản: 

- Những kẻ lừa đảo gọi điện hoặc nhắn tin cho đối tượng bị nhắm đến. Đe dọa để lừa người dân thực hiện theo yêu cầu của chúng.

- Sau khi tạo ra tâm lý sợ hãi với đối tượng, những kẻ lừa đảo có thể thực hiện theo hai hướng kịch bản sau (hoặc phối hợp cả hai):

a) Kịch bản 1:

- Yêu cầu người dân truy cập liên kết, tải xuống và cài đặt ứng dụng chứa mã độc. 

- Những kẻ lừa đảo có thể yêu cầu người dân đăng nhập và điền chính xác thông tin cá nhân vào ứng dụng đó để đánh cắp thông tin cá nhân. 

- Những ứng dụng chứa mã độc này cũng có thể đánh cắp thông tin của các ứng dụng ngân hàng, tiến hành đánh cắp tiền trong tài khoản ngân hàng của người dân.

b) Kịch bản 2: 

- Yêu cầu người dân chủ động chuyển tiền vào tài khoản của kẻ lừa đảo. 

- Lý do đưa ra thường thấy: phong tỏa nguồn tiền phục vụ mục đích điều tra, chuyển tiền tạm giữ để xác minh và loại bỏ khỏi danh sách điều tra,...

Thông báo cho người dân là sẽ liên lạc lại để thông báo kết quả, sau khi đã đạt được mục đích lừa tiền hoặc lừa cài đặt ứng dụng chứa mã độc.

Những lý do kẻ lừa đảo đưa ra thường xoay quanh dạng nội dung: bạn đang bị điều tra, sau khi làm theo yêu cầu thì sẽ được loại bỏ khỏi diện tình nghi, thoát khỏi những rắc rối với pháp luật. Hình thức lừa đảo này nhắm vào tâm lý lo sợ, e ngại của người dân khi đột ngột bị tình nghi vi phạm pháp luật, hoặc các tội danh nghiêm trọng. Khi những kẻ lừa đảo đưa ra phương án như một lối thoát thì người dân dễ dàng làm theo ngay lập tức, trước khi kịp đánh giá tính chân thực của thông tin.

Hậu quả:

- Nạn nhân sẽ mất tiền trong tài khoản, dữ liệu cá nhân bị lộ thậm chí bị chiếm quyền điều khiển điện thoại

Lời khuyên: 

- Tuyệt đối không nghe theo lời những người tự xưng thuộc cơ quan chức năng của nhà nước.

- Luật pháp quy định: cơ quan công an và lực lượng điều tra khi cần làm việc với người dân bắt buộc phải làm việc trực tiếp, hoặc gửi giấy triệu tập có dấu mộc hẹn lên trụ sở công an để làm việc. Nếu yêu cầu người dân cung cấp thông tin hoặc làm theo hướng dẫn mà không có văn bản hợp pháp thì người dân không cần phải nghe theo.

- Cảnh giác và cập nhật thông tin về các cuộc tấn công để phòng tránh

Cùng chung nhận định với Minh Nhật, Văn Thiện đã đưa ra ví dụ thường gặp nhất ở dạng tấn công này, đó là tấn công thông qua ứng dụng VNeID giả mạo.

Kịch bản: 

- Tấn công qua việc giả mạo công an yêu cầu người dùng cài app VNeID để định danh điện tử.  Kẻ tấn công sẽ mạo danh là cán bộ công an xã phường, thông báo yêu cầu người dùng cài đặt ứng dụng VNeID để định danh mức độ 2. Hacker sẽ thường thúc giục và yêu cầu cài đặt ngay, nếu không sẽ bị xử phạt hành chính. Sau đó đối tượng sẽ gửi cho nạn  nhân hướng dẫn cài đặt App giả mạo VNEID qua các kênh chat như Zalo, Tele. 

- Sau khi người dân cài đặt ứng dụng VNeID giả mạo (có giao diện giống với ứng dụng thật), hacker sẽ được cấp quyền truy cập cao, bao gồm cả dữ liệu cá nhân và gửi tin nhắn chứa mã OTP, kẻ xấu có thể kiểm soát được tài khoản ngân hàng của họ. 

Lời khuyên: 

- Cần xác thực thông tin đối tượng là ai? Nếu là công an, chỉ làm việc với công an trực tiếp tại trụ sở, không làm việc trên zalo.

- Chỉ cài các ứng dụng trên các kho chính thống: Google Play, AppStore. Không cài App từ nguồn không tin cậy.

- Cảnh giác và cập nhật thông tin về các cuộc tấn công để phòng tránh.

Bảo vệ dữ liệu cá nhân trong môi trường số - Một vấn nạn bảo mật cần được đề cao và người dùng cần chủ động nắm bắt thông tin để tránh gặp phải những hậu quả đáng tiếc.

Để bảo vệ bản thân khỏi những cuộc tấn công dữ liệu cá nhân, chúng ta cần:

Hãy luôn cảnh giác với các loại tấn công lừa đảo về bảo mật dữ liệu cá nhân, Sunners nhé!