Dạo này vụ hack Facebook rồi tung tin nhạy cảm lên mạng đang nóng rần rần đấy các bạn ơi Không chỉ dân thường như mình, mà celeb, người mẫu, diễn viên hay cầu thủ càng dễ "dính đòn" hơn. Vậy bọn hacker tấn công kiểu gì và mình phải tự cứu mình ra sao? Câu hỏi này đang được hội Gen Z quan tâm lắm đó!
Chúng mình đã ngồi lại tám chuyện với TS Jonathan Crelin và TS Nguyễn Ngọc Thành, hai giảng viên khoa Khoa học và Công nghệ của ĐH RMIT Việt Nam, để xem họ bật mí gì nè.
TS Jonathan Crelin là chuyên gia về bảo mật và pháp y kỹ thuật số (Digital Forensics), nguyên giảng viên ĐH Portsmouth (Vương quốc Anh).
TS Nguyễn Ngọc Thành là chuyên gia về điện toán đám mây và các hệ thống lớn, lấy bằng Tiến sĩ tại ĐH Oslo (Na Uy).
**Thưa TS Crelin, mạng xã hội và smartphone tiện lợi ghê nhưng cũng toang lắm phải không ạ?**
TS Crelin: Đúng rồi bạn ơi! Từ xưa đến giờ, con người muốn sống sót thì phải kết nối với nhau. Giao tiếp chính là cách để mọi người xích lại gần nhau. Và giờ với mạng xã hội, tin nhắn, smartphone thì việc kết nối này ez hơn bao giờ hết luôn. Người ta dùng mạng xã hội để mua sắm, kết bạn, và cả... tìm crush nữa
Nhưng mà khác với ngày xưa, giờ mọi thứ bạn nói, bạn nghe đều được chuyển qua đủ thứ môi trường như Wi-Fi, cáp mạng... Rồi chúng được lưu trữ ở siêu nhiều nơi: trên thiết bị, trên cloud... Và đó chính là mồi ngon cho bọn tội phạm mạng tấn công, đánh cắp thông tin riêng tư, thông tin nhạy cảm, và cả tiền bạc của bạn luôn.
**Thưa TS Nguyễn Ngọc Thành, sao gần đây vụ hack tài khoản và tung thông tin của celeb nhiều thế ạ?**
TS Nguyễn Ngọc Thành: Tấn công mạng không phải chuyện mới đâu bạn. Phần đông chúng ta đều từng gặp, từ mất tài khoản đến bị lừa chuyển tiền cho "bạn bè" giả mạo. Có lần mình kêu sinh viên kể kinh nghiệm về tấn công mạng, thì có tận 80-90% sinh viên kể lại câu chuyện mà chính họ là nạn nhân đó Như các loại tội phạm khác, tội phạm mạng diễn ra mỗi giờ mỗi phút và ai cũng có thể là nạn nhân cả.
Vì nổi tiếng nên celeb thường bị bọn tội phạm mạng nhắm đến nhiều hơn. Trong an ninh mạng, họ gọi những người này là "mục tiêu có giá trị cao". Người nổi tiếng hay giao lưu, gặp gỡ nhiều người cả ngoài đời lẫn trên mạng, nên sẽ để lộ nhiều lỗ hổng hơn người bình thường. Vì vậy, việc ngày càng nhiều celeb bị hack là chuyện dễ hiểu thôi.
**Vậy câu hỏi thực tế mà nhiều bạn (kể cả celeb) quan tâm: Bọn hacker tấn công tài khoản kiểu gì vậy ạ?**
TS Crelin: Đây là câu hỏi khá hóc búa đó bạn. Thực tế không có đáp án duy nhất và tuyệt đối. Điều này phụ thuộc vào rất nhiều yếu tố. Trong nhiều trường hợp, nạn nhân không báo cáo và công khai chuyện của họ nên chúng ta chỉ có thể phỏng đoán thôi.
Hiện giờ, các nhà cung cấp dịch vụ mạng cũng đã tăng cường bảo mật trên nền tảng của họ rồi nên hacker khó có thể dùng các kỹ thuật truyền thống như SQL Injection, Cross Site Scripting, Cross Request Forgery... để tấn công tài khoản người dùng. Vì thế, nhiều tội phạm giờ dùng một kỹ thuật tên là Social Engineering (hiểu nôm na là lừa đảo qua giao tiếp xã hội chứ không qua kỹ thuật). Phần lớn những trường hợp tấn công tài khoản thành công ở Việt Nam đều dùng kỹ thuật này đấy.
**Ông có thể giải thích rõ hơn về kỹ thuật này được không ạ?**
TS Crelin: Nghe phức tạp nhưng kỹ thuật này cực kỳ đơn giản luôn. Ví dụ, tội phạm gửi cho nạn nhân tin nhắn kiểu: "Anh đẹp trai ơi, mật khẩu Facebook của anh là gì vậy?"
Tất nhiên là tội phạm không gửi thẳng thừng như vậy rồi, chúng sẽ gửi cho bạn một trang web hứa hẹn chứa đựng nhiều thông tin hấp dẫn. Đại loại như bạn được tặng trọn gói một chuyến du lịch châu Âu nghỉ dưỡng ở resort 5 sao gì đó và bạn phải đăng nhập để nhận thưởng. Trang đăng nhập này thực chất là trang giả và khi đăng nhập vào, mật khẩu của bạn sẽ chuyển thẳng vào e-mail hay tin nhắn của hacker.
Các kỹ thuật hiện tại như Single Sign On thông qua OAuth2 trên Google hay Facebook cũng góp phần củng cố niềm tin khiến nạn nhân nghĩ rằng mình đã đăng nhập thật và không nghi ngờ gì cả.
Kỹ thuật này còn được dùng rất nhiều trên các phương tiện khác như gọi điện thoại báo trúng thưởng hay giả danh cơ quan điều tra đe dọa rằng nạn nhân đang bị vướng vào một vụ rửa tiền và cần phải chuyển tiền vào tài khoản cơ quan điều tra để tránh bị bắt. Còn phần lớn các cô chú độc thân thì bị tấn công theo hình thức kết bạn, chuyển quà tặng có giá trị nhưng bị tắc ở Hải quan và cần phải nộp tiền để lấy hàng ra.
**Giả sử người nổi tiếng rất cảnh giác và không dễ bị lừa bởi những kỹ thuật tấn công qua giao tiếp xã hội này, hacker có thể dùng cách nào khác không ạ, thưa TS Crelin? Đặc biệt là trường hợp về cầu thủ bóng đá nổi tiếng gần đây.**
TS Crelin: Chúng ta chỉ có ít thời gian mỗi ngày để nghĩ về an ninh và bảo mật, trong khi tội phạm mạng có hẳn 24h/ngày để làm việc đó. Khi tới khách sạn, quán ăn, nhà hàng hay quán cafe, hàng loạt camera an ninh có thể bị tội phạm lợi dụng để ăn cắp mã PIN điện thoại hay mã vẽ hình để mở điện thoại của bạn đấy. Đối với vận động viên hay diễn viên, phần lớn thời gian (khi tập luyện, thi đấu, hay diễn xuất) họ sẽ không giữ điện thoại bên mình. Họ có thể để điện thoại trong giỏ, trong locker của phòng thay đồ, hay gửi cho trợ lý giữ giùm. Đây chính là cơ hội cho các cuộc tấn công luôn.
Mang điện thoại đi sửa hay cài phần mềm cũng hết sức nguy hiểm nha. Đã có nhiều trường hợp ảnh nóng hay những đoạn phim nhạy cảm bị rò rỉ ra ngoài theo những cách không thể đơn giản hơn.
Tuy hơi cực đoan nhưng có lẽ người nổi tiếng, những mục tiêu có giá trị cao nên cân nhắc mua điện thoại mới thay vì mang đi sửa. Dĩ nhiên là những thông tin quan trọng trên điện thoại như danh bạ nên được sao lưu định kỳ. Điện thoại cũ nên được khôi phục cài đặt gốc hoặc vô hiệu hóa hoàn toàn luôn.
**Nếu những người này luôn giữ điện thoại bên mình và không đưa cho ai hết, liệu họ có thể bị hacker tấn công không ạ?**
TS Nguyễn Ngọc Thành: Có thể đó bạn. Hiện tại, việc dùng một mật khẩu cho các trang web khác nhau là khá phổ biến, nên hacker có biết một mật khẩu và qua đó suy đoán ra các mật khẩu còn lại. Việc bạn tạo tài khoản trên nhiều trang web khác nhau và dùng cùng một mật khẩu là yếu điểm rất lớn. Bạn hiếm khi nghĩ rằng tài khoản bạn tạo từ 5 hay thậm chí 10 năm trước giờ đang được rao bán đầy trên thị trường web chợ đen. Việc hacker lục lại những dữ liệu này và tìm thấy e-mail hay mật khẩu của người nổi tiếng, rồi đăng nhập thử vào tài khoản Gmail hay Facebook hiện nay của họ là điều hoàn toàn có thể xảy ra đấy.
**Giả sử một người đã loại trừ hết các trường hợp kể trên, liệu họ có khả năng bị tấn công không ạ?**
TS Crelin: Câu trả lời của mình là vẫn có thể. Bạn có nhớ trường hợp Social Engineering mà mình vừa kể trên không? Có bao giờ bạn lên Facebook, thử tìm kiếm tên tài khoản của bạn và phát hiện ra nhiều tài khoản nhái, dùng tên và hình ảnh thật của bạn chưa? Mình chắc là có rồi. Hacker có thể tạo tài khoản giả của những diễn viên hay những hotgirl mới nổi rồi kết bạn với các vận động viên. Sau một thời gian, họ trao đổi với nhau những tin nhắn thân mật và nhạy cảm. Một ngày đẹp trời, tài khoản hotgirl kia lộ diện là những tên tội phạm mạng. Chúng dùng những đoạn chat này để tống tiền nạn nhân và nếu nạn nhân không đồng ý, chúng sẽ đăng công khai trên mạng luôn
Nguồn: svvn.tienphong.vn