Tấn công mạng, cẩn tắc vô áy náy

(ĐTCK) Nhiều tội phạm hiện sử dụng một kỹ thuật có tên Social Engineering. Khi giao dịch chứng khoán trực tuyến phổ biến, nhà đầu tư cũng cần cẩn trọng.
Ảnh Internet Ảnh Internet

Theo TS. Jonathan Crelin, chuyên gia về bảo mật và pháp y kỹ thuật số, hiện nay, các nhà cung cấp dịch vụ mạng cũng đã tăng cường bảo mật trên nền tảng của họ nên tin tặc khó có thể dùng các kỹ thuật truyền thống như SQL Injection, Cross Site Scripting, Cross Request Forgery... để tấn công tài khoản người dùng.

Do đó, nhiều tội phạm hiện sử dụng một kỹ thuật có tên Social Engineering (tạm hiểu là lừa đảo qua giao tiếp xã hội, chứ không qua kỹ thuật).

Nghe phức tạp nhưng kỹ thuật này cực kỳ đơn giản. Ví dụ, tội phạm gửi cho nạn nhân tin nhắn đại loại như: “Anh đẹp trai ơi, mật khẩu facebook của anh là gì vậy?”.

Hẳn nhiên, tội phạm không gửi khơi khơi như vậy, chúng sẽ gửi cho bạn một trang web hứa hẹn chứa đựng nhiều thông tin hấp dẫn.

Đại loại như bạn được tặng trọn gói một chuyến du lịch châu Âu nghỉ dưỡng ở resort 5 sao hay thông tin tương tự như vậy và bạn phải đăng nhập để nhận thưởng.

Trang đăng nhập này thực chất là trang giả và khi đăng nhập vào, mật khẩu của bạn sẽ chuyển thẳng vào email hay tin nhắn của tin tặc.

Các kỹ thuật hiện tại như Single Sign On thông qua OAuth2 trên Google hay Facebook cũng góp phần củng cố niềm tin khiến nạn nhân nghĩ rằng mình đã đăng nhập và không mảy may nghi ngờ.

Kỹ thuật này còn được dùng rất nhiều trên các phương tiện khác như gọi điện thoại báo trúng thưởng hay giả danh cơ quan điều tra đe dọa rằng nạn nhân đang bị vướng vào một vụ rửa tiền và cần phải chuyển tiền vào tài khoản cơ quan điều tra để tránh bị bắt.

Nhiều người hiện rất cảnh giác và cho rằng mình không dễ bị lừa bởi những kỹ thuật tấn công qua giao tiếp xã hội, nhưng tin tặc có thể dùng cách khác để tấn công. Khi tới khách sạn, quán ăn, nhà hàng hay quán cafe, hàng loạt camera an ninh có thể bị tội phạm lợi dụng để ăn cắp mã PIN điện thoại hay mã vẽ hình để mở điện thoại của bạn.

Mang điện thoại đi sửa hay cài phần mềm cũng hết sức nguy hiểm. Đã có nhiều đoạn phim nhạy cảm bị rò rỉ ra ngoài theo những cách không thể đơn giản hơn.

Tuy hơi cực đoan nhưng có lẽ người nổi tiếng - những mục tiêu có giá trị cao - nên cân nhắc mua điện thoại mới thay vì mang đi sửa. Dĩ nhiên là những thông tin quan trọng trên điện thoại như danh bạ nên được sao lưu định kỳ. Điện thoại cũ nên được khôi phục cài đặt gốc hoặc vô hiệu hoá hoàn toàn.

Cũng có người nói rằng mình luôn giữ điện thoại bên mình và không đưa cho ai hết, họ vẫn có thể bị tin tặc tấn công.

Hiện tại, việc dùng một mật khẩu cho các trang web khác nhau là khá phổ biến, nên tin tặc có biết một mật khẩu và qua đó suy đoán ra các mật khẩu còn lại.

Việc bạn tạo tài khoản trên nhiều trang web khác nhau và dùng cùng một mật khẩu là điểm yếu rất lớn.

Bạn hiếm khi nghĩ rằng tài khoản bạn tạo từ 5 hay thậm chí 10 năm trước nay được rao bán đầy trên thị trường web chợ đen. Việc tin tặc lục lại những dữ liệu này và tìm thấy email hay mật khẩu của người nổi tiếng, rồi đăng nhập thử vào tài khoản gmail hay facebook hiện nay của họ là điều hoàn toàn có thể xảy ra.

Với các nhà đầu tư chứng khoán, việc bảo mật giao dịch và tài sản cần được lưu ý để đảm bảo an toàn tối đa. Công ty Chứng khoán Sài Gòn (SSI) từng phát đi cảnh báo về việc ứng dụng (app) giao dịch trực tuyến của mình bị làm giả trên nền tảng ứng dụng Android. Nếu vô tình sử dụng app giả mạo này, nhà đầu tư (NĐT) mở tài khoản tại SSI sẽ bị lộ nhiều thông tin.

Nếu bên giả mạo có được cơ sở dữ liệu liên quan khách hàng như tên tuổi, địa chỉ, thu nhập, như đã đề cập, nhiều người có xu hướng sử dụng một mật khẩu để dễ nhớ, nghĩa là nếu biết được mật khẩu của tài khoản chứng khoán, kẻ gian có thể nắm được mật khẩu của tài khoản ngân hàng hay thậm chí là email…

Khi chiếm dụng được nhiều tài khoản giao dịch, kẻ gian cũng có thể thực hiện đồng loạt những trạng thái giao dịch khác nhau, gây ảnh hưởng nghiêm trọng đến hệ thống của công ty chứng khoán cũng như biến động của thị trường hay từng cổ phiếu.

Một nghiên cứu của tổ chức tư vấn bảo mật toàn cầu IOActive cũng cho biết, nhiều ứng dụng di động theo dõi chứng khoán phổ biến còn nhiều sai sót khiến người dùng có nguy cơ mất tiền hoặc mất dữ liệu cá nhân.

Các ứng dụng này xử lý hàng tỷ USD giao dịch mỗi năm và được hàng triệu người trên thế giới sử dụng.

IOActive đã kiểm tra và phát hiện ra 19% trong số 21 ứng dụng đã để lộ mật khẩu người dùng. Nếu không bật mã hóa, tài khoản sẽ rất dễ bị hack. Không chỉ vậy, 62% trong số 21 ứng dụng còn yêu cầu trực tiếp gửi dữ liệu tài chính quan trọng khi đăng nhập vào hệ thống.

Minh Ngọc

Tin liên quan

Tin cùng chuyên mục