Rò rỉ thông tin cá nhân
Trong bài viết trước và cả bài viết trước nữa, chúng ta đã biết về quyền riêng tư và sự mất riêng tư khi chúng ta online như thế nào.
Bảo vệ quyền riêng tư, quan trọng nhất chính là bảo vệ thông tin cá nhân của mỗi người. Thế nhưng, mọi việc không phải chỉ có tracking online (đương nhiên rồi, đây là một vấn đề rất lớn và là một chủ đề dài), hiện nay mỗi người hằng ngày đều phải đối mặt với vô số nguy cơ mất đi thông tin cá nhân và tính riêng tư của mình.
Bài viết này sẽ tiếp tục chủ đề đó.
- Ai đang tracking bạn?
- Nguy cơ mất thông tin cá nhân
- Làm sao để an toàn
- Cảnh giác, cảnh giác và cảnh giác
- Áp dụng các biện pháp online riêng tư hơn
- Hợp tác với những tổ chức đáng tin cậy
- Đừng quá tin những gì “miễn phí”
- Tắt bớt kết nối ở nơi công cộng
- Xoá bớt bloatware
- Cẩn thận với chức năng autofill
- Bảo mật thiết bị cá nhân
- Chia sẻ thông tin có chọn lọc
- Ẩn danh khi sử dụng điện thoại
- Riêng tư khi đi làm
- Ẩn danh với các hệ thống giám sát
- Kích hoạt tính năng xác thực 2 bước
- Thường xuyên cập nhật hệ thống
- Cài đặt phần mềm từ các nguồn đáng tin cậy
- Cẩn trọng khi dùng dịch vụ lưu trữ và đồng bộ đám mây
- Không share số điện thoại, email lên những nơi công cộng
- Cài mã PIN cho SIM
- Không share password ở bất kì đâu
- Dùng password khác cho các tài khoản quan trọng
- Bảo mật thông tin thẻ tín dụng
- Bảo mật thông tin cá nhân trên mạng xã hội
- Bảo mật những tài khoản cũ
Ai đang tracking bạn?
Nếu được hỏi rằng, bạn lo ngại thông tin cá nhân của mình rơi vào tay ai nhất, thì câu trả lởi đa số sẽ là “tội phạm mạng”, hoặc được gọi rộng rãi hơn là “hacker” (dù cách gọi này hơi bị lạm dụng và dùng sai nghĩa).
Thế nhưng, không phải chỉ có những người đó mới nhòm ngó tới thông tin cá nhân của bạn, trên Internet, nơi mọi người kết nối với nhau, rất nhiều người khác cũng đang lăm le thu thập thông tin.
Internet Service Provider (ISP)
Một ISP chính là nhà cung cấp dịch vụ, giúp chúng ta có thể kết nối được với Internet. Vì là một nhà cung cấp dịch vụ giúp chúng ta kết nối, các ISP có đầy đủ quyền cũng như phương tiện kỹ thuật để tracking chúng ta.
Bởi vì việc kết nối Internet phải qua ISP, họ có thể tracking ở mức độ rất cao. Việc tracking này tốt hay xấu, tạm thời chúng ta chưa bàn tới, nhưng một điều chắc chắn là quyền riêng tư sẽ bị ảnh hưởng ít nhiều. Các ISP biết rất nhiều thứ về chúng ta, dịa chỉ chúng ta ở, các trang chúng ta truy cập, các dịch vụ chúng ta sử dụng: xem video, live stream hay tải torrent, v.v…
Chính phủ
Nhiều người nghĩ rằng, với những quy định của pháp luật, chúng ta sẽ “phần nào được an toàn” dưới sự bảo vệ của chính phủ. Thế nhưng, chính họ lại là đối tượng có quyền lực nhất để thu thập thông tin của mọi người.
Thực tế đã chứng minh những điều rất khác với những gì được tuyên truyền. Chắc hẳn chúng ta chưa quên được “người thổi còi” Edward Snowden với những tiết lộ động trời về chương trình theo dõi người dân của NSA.
Và đây cũng chỉ là một giọt nước làm tràn ly, trên thế giới hiện này, có biết bao nhiêu chương trình giám sát như vậy? Chỉ có Chúa mới trả lời được câu hỏi này mà thôi.
Các nhà quảng cáo
Với công nghệ big data, các nhà quảng cáo chính là những người cần thu thập dữ liệu nhất. Những dữ liệu được thu thập bởi những người này thường là các dữ liệu liên quan đến marketing, như các trang mà người dùng thường truy cập, các nội dung mà họ thường đọc, v.v…
Bằng cách thu thập những thông tin này, và sau đó xử lý chúng, họ có thể hiểu được phần nào thị hiếu của người tiêu dùng. Sau đó, họ sẽ có những cách tiếp thị tốt hơn, quảng cáo chuẩn xác hơn, đúng nhu cầu hơn, nhờ đó mà họ sẽ bán được nhiều hàng hơn.
Người sử dụng lao động
Những người sử dụng lao động, và cả những người đại diện của họ, luôn luôn muốn người lao động làm việc với năng suất cao nhất. Dạo Facebook, xem YouTube và các hoạt động tương tự trong giờ làm việc là hành động mà không một ông chủ nào muốn.
Vì vậy, việc tracking các hoạt động online của người lao động cũng là một hành động đến rất tự nhiên. Mọi việc để đảm bảo rằng, bạn đang tập chung cho công việc chứ không phải dành thời gian để tán gẫu trên Facebook.
Tội phạm mạng
Trong việc thu thập, lưu trữ cũng như khai thác thông tin cá nhân, tội phạm mạng là những kẻ “chuyên nghiệp” nhất. Bằng cách sử dụng nhiều kỹ năng cũng như công cụ khác nhau (trojans, spyware), chúng có thể thu thập bất cứ thông tin nào chúng muốn. Điều nguy hiểm nhất là, người dùng hoàn toàn không hề biết mình đang bị theo dõi, cũng như không hề biết gì về việc sử dụng những thông tin đó.
Nguy cơ mất thông tin cá nhân
Chúng ta có thể bị mất thông tin cá nhân theo nhiều cách khác nhau. Chuyện dễ thấy nhất, cũng là thường xuyên nhất chính là bị tracking liên tục khi onilne, như đã tìm hiểu ở bài viết trước.
Thế nhưng, không chỉ bị tracking online, có hàng trăm ngàn con đường khác nhau để lấy được thông tin cá nhân của chúng ta. “Thông tin cá nhân” ở đây không phải chỉ là những thông tin như tên, tuổi, địa chỉ, v.v… mà còn bao gồm tất cả các thông tin khác như việc chúng ta làm hằng ngày, người chúng ta gặp, bạn bè, người thân, v.v… Tất cả chúng đều rất “cá nhân” và có thể là mục tiêu thu thập của người này hoặc người khác.
Dưới đây là những cách thức khác ngoài tracking online mà thông tin cá nhân của chúng ta có thể bị tiết lộ.
Đăng ký dịch vụ offline
Không chỉ khi online, ngay cả khi offline bạn cũng có thể mất thông tin cá nhân bất cứ lúc nào. Một số dịch vụ chúng ta bắt buộc phải đăng ký mới được sử dụng. Đó chính là lúc chúng ta đưa thông tin cá nhân của mình cho họ.
Một số dịch vụ đặc thù như kiểu ngân hàng, truyền hình, cáp quang, v.v… thì còn có thể hiểu được, vì họ cần xác định nhân thân, địa chỉ rồi chính chủ nọ kia. Chứ rất nhiều người, cũng mua phần mềm về rồi quản lý khách hàng như thật, mặc dù rõ ràng là chẳng cần thiết.
Thậm chí có nhiều người, làm chủ một cửa hàng buôn bán nhỏ, cũng muốn lấy thông tin của người mua, dùng phần mềm quản lý trông rất chuyên nghiệp, với lý do để phục vụ tốt hơn.
Tôi thì không thấy có gì liên quan giữa việc lấy tên, tuổi, địa chỉ cũng như số điện thoại của khách hàng với việc phục vụ tốt hơn cả. “Phục vụ tốt hơn” phải chăng là sẽ có những quảng cáo sau này, khi có đợt hàng mới. Có lẽ họ đã học được phương pháp marketing mới, dựa trên thông tin người dùng, đang có hiệu quả rất cao trên mạng hiện nay.
Đánh cắp dữ liệu
Cùng với sự phát triển của công nghệ, ngày càng nhiều dữ liệu được lưu trữ trên máy chủ cũng như máy tính cá nhân. Những dịch vụ thu thập thông tin cá nhân của khách hàng, cả online lẫn offline thường xuyên quản lý thông tin bằng máy tính. Vấn đề chính ở đây là việc lưu trữ cũng như bảo vệ những thông tin đó rất có vấn đề.
Khi cung cấp thông tin cá nhân của chúng ta cho các nhà cung cấp dịch vụ, chúng ta bắt buộc phải có “niềm tin” rằng, họ sẽ bảo vệ những thông tin đó. Thế nhưng việc bảo quản cũng như giữ bí mật những thông tin cá nhân, bao gồm cả những thông rất “nhạy cảm” của chúng ta hoàn toàn phụ thuộc vào cái tâm và cái tầm của những nhà cung cấp dịch vụ.
Và trong nhiều hoàn cảnh khác nhau, vì cơm áo gạo tiền, vì cái nọ, cái kia, mà tâm và tầm của họ không đạt được tới mức mà tôi kỳ vọng. Nhiều cá nhân, tổ chức lưu trữ thông tin cá nhân theo một cách hết sức cẩu thả. Thông tin khách hàng, lịch sử mua hàng cứ lưu tuốt tuồn tuột vào cơ sở dữ liệu mà không có một hình thức mã hoá hay bảo mật nào. Cứ như kiểu thông tin đó chẳng có gì đặc biệt và chẳng có gì mà phải bảo vệ cả (kiểu thông tin này có gì đâu, ai thèm động vào làm gì).
Thất nhiên là không phải tất cả đều như vậy, có một số tổ chức lớn làm việc chuyên nghiệp hơn nhiều. Thế nhưng đó chỉ là thiểu số và không phải ai cũng muốn cũng như đủ khả năng để thực hiện. Thực tế, việc mất cắp dữ liệu này xảy ra gần như hằng ngày trên thế giới.
Mất cắp dữ liệu có thể xảy ra cả với những người khổng lồ trong làng công nghệ, ngay cả khi có có trong tay những kỹ sư hàng đầu thế giới. Nhưng biết thế nào được, dù họ có giỏi thì núi cao vẫn có thể có núi cao hơn, chưa kể họ còn phải làm nhiều việc chứ không phải chỉ lo bảo mật.
Ngay trong thời gian gần đây, hai tổ chức rất lớn là Facebook và Google cũng đều gặp những rắc rối liên quan đến mất dữ liệu người dùng, ảnh hưởng tới hàng triệu người trên thế giới. Điều đó cho thấy, ngay cả những công ty công nghệ hàng đầu cũng rất khó bảo mật thông tin khách hàng, nói gì đến những chỗ nhỏ lẻ.
Vậy thông tin cá nhân bị đánh cắp thì sao? Nó sẽ bị lợi dụng để làm gì? Đây là những câu hỏi rất khó trả lời.
Thông thường, kẻ đánh cắp thông tin sẽ không sử dụng nó, mà sẽ bán nó trên chợ đen. Sau đó nó tiếp tục được mua đi, bán lại và làm những gì nữa thì có trời mới biết.
Thông tin cá nhân bị đánh cắp có thể bị lợi dụng để gian lận thuế, vay nợ, mua hàng gian lận trên mạng. Nguy hiểm hơn, những thông tin cá nhân có thể bị lợi dụng để lừa đảo, tống tiền người thân, bạn bè của nạn nhân. Một số thông tin như tài khoản ngân hàng, thẻ tín dụng đánh cắp được có thể bị dùng vào việc thanh toán hoá đơn, chuyển tiền khỏi tài khoản, khiến nạn nhân vừa mất thông tin cá nhân, vừa mất tiền.
Chia sẻ trên mạng xã hội
Các mạng xã hội giúp mọi người kết nối với nhau dễ dàng hơn, xoá nhoà khoảng cách địa lý thật sự. Thế nhưng, nhiều người đang quá sa đà vào cuộc sống ảo trên mạng xã hội mà tự làm mất thông tin cá nhân của chính mình (mà có khi cũng không biết).
Mạng xã hội (và cả Internet) là công khai, không phải là nơi bí mật, chưa kể những thông tin một khi đã được đưa lên mạng thì nó sẽ ở trên đó mãi mãi. Mọi người cứ hồn nhiên chia sẻ đủ thứ trên mạng xã hội, không hề có sự đề phòng những hậu quả có thể xảy ra.
Mạng xã hội từ đó trở thành quyển nhật ký cuộc sống, chia sẻ càng nhiều, đời từ càng bị phơi bày. Khi đó, chưa cần tin tặc áp dụng các thủ thuật để đánh cắp thông tin, bản thân mỗi người đã để lộ quá nhiều thông tin trên mạng, từ số điện thoại, địa chỉ nhà tới công việc, con cái, đang đi chơi ở đâu, nhà có ai ở lại, bao giờ trở về, v.v…
Có người còn hồn nhiên đăng cả tài khoản ngân hàng, thẻ tin dùng “khoe” trên Facebook, trong khi có thể bị lợi dụng để mua bán trực tuyến bất cứ lúc nào. Làm như vậy, chính là tự tạo cơ hội cho người khác, tự biến mình thành nạn nhân lúc nào không hay.
Bài viết này là một kịch bản buồn, trong đó có kẻ kết bạn Facebook, nhờ những thông tin được chia sẻ mà có thể tìm hiểu và bắt cóc một bé gái. Một kịch bản rất phim và có phần hư cấu, thế nhưng, với mức độ chia sẻ như hiện nay, đặc biệt là của người Việt, thì kịch bản đó không phải là không thể xảy ra.
Nhẹ nhàng hơn, thì anh chàng Robbie Johnson này cũng đã mất $650 chỉ vì chia sẻ quá nhiều trên mạng xã hội. Thiệt hại về kinh tế như này cũng chưa phải là quá nghiêm trọng và có thể bù đắp được, nhưng ai mà biết được, với những gì được chia sẻ trên mạng xã hội, điều gì có thể xảy ra?
Bị tiết lộ bởi người thứ ba
Việc tiết lộ thông tin cá nhân bởi người thứ ba này có thể diễn ra âm thầm mà chính chúng ta không biết. Con người chúng ta sống trong một xã hội, nơi mà mọi người giao lưu, nói chuyện và liên kết với nhau. Vì vậy việc người này biết được thông tin cá nhân của người kia cũng là chuyện hết sức bình thường.
Điều đáng nói là những gì họ làm khi biết được những thông tin đó. Mỗi người đều có rất nhiều mối quan hệ khác nhau, người này có thể hỏi người kia về một người thứ ba, thậm chí là thứ tư, thứ năm nào đó. Và trong nhiều trường hợp, rất nhiều người cứ hồn nhiên như cô tiên mà nói tuốt tuồn tuột những gì mình biết, mà chẳng mảy may nghĩ ngợi gì.
Bản thân tôi cũng đã gặp nhiều người như vậy, cũng may mà “thông tin cá nhân” bị tiết lộ cũng mới là số điện thoại và email thôi. Hậu quả cũng không có gì đáng kể, ngoài những cuộc gọi nháy máy, gọi bán hàng, email mời tham gia cái này cái kia. Về cơ bản thì hậu quả này chưa phải cái gì đó quá nghiêm trọng, lại có thể chủ động ngăn chặn được nên vẫn ở mức có thể chấp nhận.
Đó là những gì mà tôi đã gặp và đã biết, nhưng ai mà biết được, may mắn này sẽ kéo dài đến bao giờ, biết làm sao được còn bao nhiêu thông tin nữa đã bị tiết lộ mà chính chủ không hề hay biết.
Tuy nhiên, điều nguy hiểm nhất lại không phải là việc bị tiết lộ thông tin cá nhân bởi người thân, bạn bè, mà thông tin cá nhân bị tiết lộ bởi những người không thân thiết, thậm chí là ghét nhau còn nguy hiểm hơn rất nhiều. Thuật ngữ chuyên môn gọi đó là “doxxing”, tức là hành động tra cứu thông tin người khác để lưu hành một cách ác ý.
Có những người vì ghét nhau, mà đưa thông tin của người khác lên mạng, từ tên tuổi, địa chỉ chỗ ở, chỗ làm, điện thoại, vợ chồng con cái, v.v… nói chung là bất cứ thông tin gì mà họ có được, đề nhờ cộng đồng mạng vào đồng cảm và có thể “chửi cả họ” nhà người ta luôn. Đáp lại, nạn nhân cũng đưa thông tin của thủ phạm lên mạng với mục đích tương tự.
Tất nhiên là những người này dễ dàng đạt được mục đích, vì cuộc sống trên mạng hiện nay rất sôi động, có khi còn hơn cả cuộc sống thực. Hậu quả trước mắt là những người đó sẽ bị căng thẳng, nếu không vượt qua được có thể trở nên trầm cảm.
Lâu dài hơn, những thông tin cá nhân được đưa lên mạng và sẽ ở trên đó mãi mãi. Ai không coi nó là gì thì bỏ qua nhưng trên mạng thì biết thế nào được, người này không coi trọng nhưng với người khác lại là kho báu. Biết được thông tin cá nhân của người khác rồi thì khai thác thế nào chẳng được.
Một trường hợp nữa có thể bị lộ thông tin cá nhân là từ những người chẳng có quen biết gì. Không quen biết gì nhưng bằng một cách nào đó, họ có được thông tin của người khác. Lúc có được thông tin đó họ cảm thấy như chuyện hài, cần phải được chia sẻ cho mọi người cùng vui (chủ yếu để câu view và like).
Ví dụ, thời gian gần đây có thông tin về một đám cưới của “đôi đũa lệch” ở Cao Bằng. Thông tin được đưa lên mạng xã hội còn kèm theo cả hình ảnh đăng ký kết hôn. Việc mỗi người phán xét những thông tin mình biết được về người tạm thời tôi không nhận xét, vì suy cho cùng, đó cũng là một hành động tự nhiên. Mỗi người khi gặp một sự vật, sự việc nào đó đều có những suy nghĩ tình cảm của mình, có yêu có ghét, có vui vẻ, buồn chán. Sẽ không có gì đáng trách nếu cứ giữ những suy nghĩ đó cho riêng mình.
Thế nhưng mấy ai hiểu được “vui thôi đừng vui quá”. Trong lúc vui quá đà liệu có ai đủ tính táo để nghĩ lại xem việc mình làm đã đúng chưa, đã xâm phạm quyền riêng tư, bí mật cá nhân của người khác hay chưa. Chưa kể những nạn nhân của sự việc trên sẽ như thế nào? Thông tin bí mật đời tư của họ bị tiết lộ trên mạng xã hội, trở thành chủ đề cho không ít người đàm tiếu, chế giễu, thậm chí người trong cuộc phải hứng chịu sự ném đá không thương tiếc.
Điều nguy hiểm là, những hành vi như vậy, khi bị phát hiện thì đã quá muộn. Mọi thứ đã được đưa lên mạng rồi và rất khó để gỡ bỏ nó xuống.
Trao đổi, mua bán
Việc lưu trữ an toàn là một chuyện, việc giữ được thông tin đó lại là chuyện khác. Ngay cả khi có thể lưu trữ những thông tin đó một cách an toàn, nhằm tránh bị đánh cắp bởi các tin tặc, thì nó cũng không ngăn được chính nhà cung cấp dịch vụ mang thông tin đó cho người khác.
Bản thân tôi cũng rất nhiều lần cảm thấy thông tin cá nhân của mình bị lộ ra theo một cách nào đó. Vừa đăng ký tài khoản ngân hàng xong đã có người gọi điện mời chào mua nhà, mua xe. Nếu không phải thông tin này lộ ra từ ngân hàng thì thật là một sự trùng hợp ngẫu nhiên thú vị.
Khó chịu nhất là sau khi vợ tôi sinh em bé. Vừa xuất viện, còn chưa về đến nhà (phải nói là nắm bắt thông tin nhanh thật) đã nhận không biết bao nhiêu là cuộc gọi mời chào đủ các loại dịch vụ chăm sóc mẹ và bé. Rồi cứ tiếp tục như vậy trong khoảng nửa tháng liền.
Đã dự liệu trước sẽ có kiểu mời chào này, nên tôi đã đăng ký số điện thoại của chính mình để tránh vợ bị làm phiền, mà họ cũng không tha. Nhiều người khi nghe giọng đàn ông bắt máy, họ biết ngay đó là chồng, và tìm cách hỏi số điện thoại của vợ để dễ dàng tiếp thị hơn. Có kẻ thủ đoạn hơn còn giả làm người của bệnh viện phụ sản để lừa lấy thông tin nữa cơ.
Quá nhiều sự trùng hợp, khiến tôi không thể tin được mọi chuyện chỉ là ngẫu nhiên. Chẳng biết họ mua thông tin bằng cách nào nữa, nhưng chắc chắn là phải mua vì không thể tự nhiên mà có được thông tin như vậy, mà lại biết rất đúng lúc nữa.
Những chuyện như vậy xảy ra tương đối phổ biến. Báo chí cũng đã nhiều lần đưa tin, ví dụ tầm này năm ngoái hành khách bay chuyến Sài Gòn – Hà Nội vừa xuống sân bay Nội Bài lập tức nhận được tin nhắn của hãng taxi mời chào dịch vụ.
Do tính chất đặc thù của khai thác vận tải hàng không, các hãng hàng không, các đại lý bán vé cần số điện thoại của hành khách để liên lạc trong trường hợp có sự thay đổi về lịch bay, hoặc cần sự hợp tác của hành khách trong quá trình thực hiện chuyến bay như thực hiện yêu cầu về an ninh hàng không trước chuyến bay, thông tin về hành lý vận chuyển chậm, thất lạc.
Thế nhưng những thông tin cá nhân đó được bảo quản rất kém, nó vẫn cứ bị lọt ra ngoài, có thể là từ cán bộ, nhân viên của hãng hàng không, nhân viên phòng vé hoặc nhân viên sân bay. Việc lộ thông tin hành khách này tôi tin không giống như các trường hợp của phần trước, nó hoàn toàn không phải là ngẫu nhiên, cũng không phải là cho vui, mà là sự hợp tác làm ăn đôi bên cùng có lợi mà thôi.
Phishing
Phishing là một trong những thách thức an ninh phổ biến mà mọi người phải đối mắt.
Từ phishing có nguồn gốc là sự kết hợp của “fishing” (câu cá) và phreaking (hành động crack để gọi điện thoại miễn phí). Phishing là một phương thức lừa đảo bằng cách giả mạo các tổ chức uy tin, các trang web phổ biến nhắm lừa người dùng chia sẽ các thông tin như: tên đăng nhập, mật khẩu, các thông tin nhạy cảm khác, thậm chí cả thông tin thẻ tín dụng.
Gần đây ở Việt Nam xuất hiện phương thức tấn công kiểu này thông qua tin nhắn trên Messenger thông báo người dùng trúng thưởng xe máy, tiền mặt, v.v… rồi yêu cầu người dùng đưa thông tin để nhận thưởng.
Đây là một mối nguy hại rất lớn nếu người dùng không có kiến thức hoặc thiếu cảnh giác. Có nhiều kỹ thuật phising được sử dụng để moi móc thông tin người dùng, nhưng có hai hình thức phổ biến nhất.
Spam email
Nhúng link độc hại trong một email, đưa bạn tới một trang web giả mạc và yêu cầu cung cấp các thông tin cá nhân. Giả mạo địa chỉ gửi email để nó trông như được gửi từ một nguồn chính thống và yêu cầu cung cấp các thông tin nhạy cảm.
Đây là những phương thức phổ biến nhất nhằm đánh lừa người nhận email và khiến họ cung cấp những thông tin cá nhân. Thậm chí,thủ đoạn hơn, những email này cảnh báo bảo mật cho tài khoản của bạn và yêu cầu bạn cập nhật lại thông qua một trang web giả mạo.
Phishing qua email là một trong những phương thức phổ biến nhất. Gần đây thì xuất hiện thêm một số phương thức tương tự như qua các phần mềm OTT, hay thậm chí qua SMS.
Người dùng nếu không để ý, rất dễ bị đánh lừa và click vào những đường dẫn và khi mở ra, họ sẽ được tương tác với một trang web giả mạo được thiết kế trông như thật. Trang web giả mạo này sẽ có các form yêu cầu người dùng cung cấp thông tin, và nó sẽ được chuyển tới những kẻ thu thập, và sau đó, có trời mới biết thông tin đó được sử dụng như thế nào.
Thật tình cờ, và cũng thật bất ngờ, có những tình huống dù cho cảnh giác rất cao, chúng ta vẫn có thể bị lừa. Internet có một hệ thống gọi là Punny code đã giúp những kẻ tấn công phishing có thể đăng ký tên miền trông giống hệt như tên miền gốc của tổ chức mà chúng muốn giả mạo.
Một kỹ sư phần mềm người Trung Quốc là Xudong Zheng đã chứng minh bằng cách đăng ký một tên miền apple.com, thế nhưng tiên miền hoàn toàn không thuộc về Apple mà nó sẽ dẫn bạn đến một trang web khác..
Nếu có kẻ nào đó lợi dụng lỗ hổng kiểu như thế này thì rất nguy hiểm, vì khi đó mọi thứ (kể cả URL) đều giống hệt trang web thật, không ai còn nhận ra trang web giả mạo được nữa.
Rất may là các nhà phát triển trình duyệt đã nhận ra vấn đề, Google đã sửa lỗi này trên Chrome 59. Còn với Firefox, người dùng có tuỳ chọn để bật chế độ hiển thị punny code bằng cách truy cập trang config (about:config) và thay đổi giá trị của network.IDN_show_punycode
thành true
.
Phán tán thông qua web
Một thủ đoạn khac của phishing là phát tán các website lừa đảo trên các trang web chính thống. Hình thức phổ biến là khơi gợi sự tò mò của người dùng, bằng cách chèn vào các trang web những đoạn quảng cáo.
Nếu người dùng click vào đó thì sẽ hiện ra các cảnh báo bảo mật, các thông báo cần cập nhật thông tin. Sau đó là một trang web giả mạo với các form yêu cầu người dùng nhập thông tin cá nhân vào.
Nếu không cảnh giác cao độ, rất dễ rơi vào bẫy mà làm tự lộ thông tin cá nhân của mình mà không biết.
Tấn công man-in-the-middle
Thông thường thì người dùng sẽ cảm thấy yên tâm khi truy cập một trang web sử dụng HTTPS với biểu tượng an ninh màu xanh lá cây trên thanh địa chỉ của trình duyệt.
Thế nhưng HTTPS hay bất cứ một phương thức bảo mật nào cũng không thể bảo vệ chúng ta hoàn toàn 100%. Tin tặc luôn có những phương thức rất hiệu quả để vượt qua những lớp bảo mật đó, để lấy thông tin mà người dùng gửi đi qua Internet.
Có một phương thức tấn công thường thấy để lấy cắp thông tin, đó chính là Man in the middle (MITM). Phương thức tấn công này giống như một kẻ nghe trộm, nhìn lén vậy, nó hoạt động bằng cách thiết lập kết nối làm trung gian giữa nạn nhân và máy chủ.
Trong trường hợp bị tấn công, nạn nhân vẫn tin tưởng rằng họ đang trao đổi trực tiếp với máy chủ (trực tiếp theo nghĩa trên Internet nhiều khi không hoàn toàn là trực tiếp thật), nhưng thực sự thì toàn bộ các thông tin trao đổi qua lại đang được xử lý ở trung gian là kẻ tấn công.
Kết quả là kẻ tấn công không chỉ có thể đọc các dữ liệu nhạy cảm, mà còn có thể thay đổi những thông tin được trao đổi để kiểm soát nhiều hơn những nạn nhân của vụ tấn công.
Xâm nhập vào trao đổi mạng
Man in the middle có thể được hiện bằng nhiều phương thức. Trong nội dung bài viết này, tôi sẽ không đi sâu vào chi tiết từng cách thức một, mà chỉ điểm qua một số điểm chính của từng phương pháp. Nội dung cụ thể hơn xin dành cho bài viết khác, đó sẽ là một chủ đề lớn, có lẽ phải dành nhiều bài viết cho nó.
Giả điểm truy cập wifi
Kẻ tấn công sẽ thiết lập một wifi access point giả mạo, làm cho nó trông như một access point chính chủ thật. Khi người dùng kết nối (nhiều thiết bị có thể tự động kết nối nếu wifi có trùng SSID và password), kẻ tấn công đã kết nối thành công với thiết bị của người dùng và đóng vai trò làm trung gian của mọi trao đổi mạng kể từ đó.
Giả mạo ARP cache
Còn được gọi là ARP cache poisoning hoặc ARP spoofing, ARP poison routing. Đây là kỹ thuật được thực hiện trong mạng nội bộ, kẻ tấn côn sẽ giả gói tin ARP, nhằm thay đổi thông tin địa chỉ MAC của nạn nhân thành địa chỉ MAC của chúng, hoặc địa chỉ MAC của gateway. Từ đó, mọi gói tin được gửi đến thiết bị của nạn nhân đều được gửi cho kẻ tấn công.
DNS spoofing
Kẻ tấn công sẽ tìm cách can thiệp vào truy vấn DNS của người dùng, cung cấp thông tin DNS giả mạo của máy chủ mà chúng chuẩn bị sẵn (trên đó cũng chuẩn bị sẵn trang web giả mạo). Khi người dùng truy cập trang web, họ sẽ không nhận ra rằng mình đang truy cập đến máy chủ giả mạo và kẻ tấn công sẽ dễ dàng lấy được thông tin.
Giả VPN
Lừa người dùng tải về một ứng dụng, hoặc một file cấu hình VPN và cài đặt trên máy người dùng. Nếu người dùng mắc lừa, thiết bị của họ sẽ kết nối với Internet thông qua VPN được chuẩn bị sẵn của kẻ tấn công.
Nói chung, tin tặc có rất nhiều cách khác nhau để lấy được những dữ liệu mà người dùng Internet trao đổi. Ngoài những cách được nêu ra trong bài viết này, trên thực tế còn rất nhiều phương pháp khác nữa mà có lẽ, sẽ rất khó để thống kê hết được.
Nhưng nếu dữ liệu đó được mã hoá (ví dụ dùng HTTPS thì sao), liệu tin tặc có thể đọc được chúng và lấy ra thông tin? Thật đáng buồn là hoàn toàn có thể.
Giải mã dữ liệu
Có nhiều cách khác nhau có thể được lợi dụng để đọc những dữ liệu được mã hoá:
Hạ cấp TLS
Kẻ tấn công chiếm kết nối rồi hạ cấp giao thức TLS. Những phiên bản mới nhất của TLS thì tương đối bảo mật, nhưng các phiên bản cũ hơn, nhất là các phiên bản đã lỗi thời thì có thể giải mã được nếu kẻ tấn công am hiểu toán học (mà thường là vậy).
SSL strip
Sau khi kẻ tấn công kết nối được với thiết bị của nạn nhân, hắn sẽ viết lại nội dung mà người dùng sẽ nhận, trong đó loại bỏ kết các giao thức bảo mật như sử dụng HTTP thay vì HTTPS. Sau đó, mọi trao đổi giữa người dùng và máy chủ, kể cả tài khoản đăng nhập, mật khẩu luôn luôn được gửi ở dạng văn bản không hề được mã hoá.
Tấn công chứng thực host
Kẻ tấn công sau khi xâm nhập vào kết nối giữa người dùng và máy chủ, sẽ sử dụng SSL certificate của riêng mình khi phản hồi với người dùng, thay vì sử dụng certificate gốc của máy chủ. Certificate này thường là dạng self-sign nên có thể bị trình duyệt cảnh báo. Nhiều người dùng khi gặp những certificate này sẽ dễ dàng chấp nhận, và do đó, để cho kẻ tấn công có thể làm mọi việc mới kết nối của mình.
Vân vân và vân, không thiếu gì cách để chúng vượt qua các lớp bảo mật này. Từ đó sẽ có được những thông tin cá nhân, thậm chí rất nhạy cảm như tài khoản ngân hàng, tên đăng nhập, mật khẩu, v.v…
Các hệ thống giám sát của chính phủ
Các hệ thống giám sát của chính phủ thường rất “khủng” vì họ có trong tay quyền lực cũng như sức mạnh công nghệ. Hầu như chính phủ nào cũng có ít hay nhiều biện pháp để giám sát công dân (và cả người nước ngoài nếu cần) của mình.
Việc rò rỉ thông tin về chương trình giám sát của NSA cũng chỉ là phần nổi của tảng băng chìm mà thôi.
Có rất nhiều phương thức khác nhau có thể được sử dụng để giám sát mọi người, bài viết cũng không thể liệt kê toàn bộ các phương pháp được, vì phần lớn các dự án giám sát này đều rất bí mật.
Theo dõi email và các phương thức trao đổi điện tử
Các cơ quan của chính phủ có thể triển khai các hệ thống kiểm tra email và các phương thức trao đổi khác như OTT, SMS, v.v… Từ những năm 90 của thế kỷ trước, FBI đã phát triển một hệ thống tên là Carnivore để làm việc đó.
Hiện nay, với công nghệ xử lý ngôn ngữ tự nhiên mới, việc theo dõi email hay các phương thức trao đổi điện tử khác chắc hẳn đã được nâng lên một tầm cao mới.
Theo dõi qua camera giao thông tại các ngã tư
Camera giao thông tại các ngã tư được rất nhiều nước sử dụng, mục đính chính là để giám sát các lái xe trong việc thực thi các tín hiệu, biển báo, v.v… Các camera này sẽ có nhiệm vụ thu thập thông tin về việc di chuyển của các phương tiện qua lại, bao gồm thông tin biển số xe, ngày giờ, v.v..
Những dữ liệu này, trước hết sẽ là một nguồn thông tin khổng lồ về lịch trình đi lại của mỗi người. Ngoài ra, nó còn có thể được sử dụng cho nhiều mục đích khác nữa.
Theo dõi qua camera an ninh
Các camera an ninh được đặt khắp nơi trên đường phố, thường được giải thích là để ngăn ngừa tội phạm. Những camera này được lắp đặt ở những điểm nóng về an ninh trật tự, nhưng nó cũng có thể được lắp đặt ở những khu vực tập trung đông người, như các công viên, phố đi bộ, nhà ga, quảng trường.
Nhiều nơi (có đủ tiền) thậm chí còn lắp đặt dày đặc trên đường phố luôn. (Tôi nghe nhiều người bảo Đài Loan là một nơi như thế, gần như cứ mỗi 10m đường phố lại có một camera.)
Camera an ninh sẽ ghi lại toàn bộ các hoạt động thường ngày của mọi người dân. Nhiều người thậm chí còn không để ý mình đang bị theo dõi. Các công nghệ nhận dạng khuôn mặt, giờ đây có cả nhận diện dáng đi sẽ giúp xác định danh tính từ những hình ảnh thu được.
Có người cảm thấy thích điều đó, cảm thấy mình được bảo vệ, vì đúng là nó cũng giúp bảo vệ an ninh trật tự thật (hoặc ít nhất khi tội phạm xảy ra thì điều tra cũng dễ dàng hơn). Nhưng người nào chú ý đến quyền riêng tư thì có thể cảm thấy mất tự do khi đi đâu, làm gì cũng bị ghi lại.
Theo dõi qua phương tiện công cộng
Các phương tiện công cộng như xe buýt, tàu hoả, tàu điện ngầm, v.v… có thể được lắp đặt camera giám sát. Thực ra điều này thường thấy ở các nước phát triển hơn, ở Việt Nam tôi chưa thấy xe buýt nào được lắp đặt camera cả.
Các camera giám sát trên các phương tiện công cộng này có thể thực hiện việc theo dõi tương tự như các camera an ninh trên đường phố. Trong một số trường hợp đặc biệt, cả âm thanh trên các phương tiện này cũng được ghi nhận và phân tích.
Theo dõi thiết bị cá nhân
GPS là một trong những phát minh rất vĩ đại cho phép người dùng chỉ cần một thiết bị nhỏ trong lòng bàn tay (nhưng thiết bị đó đang ngày càng to ra) cũng có thể biết vị trí chính xác (cũng có chút sai số) của mình. Nhờ đó mà việc bị lạc đường đã giảm đi đáng kể, tìm đường đến một địa điểm nào đó cũng dễ dàng hơn rất nhiều.
Thế nhưng GPS cũng có thể tiếp tay giúp việc theo dõi người dân dễ dàng hơn. Đi đâu, ở với ai là những thông tin có thể trích xuất ra từ GPS. Không chỉ có vậy, việc theo dõi người dân qua các thiết bị cá nhân còn ở mức độ cao hơn rất nhiều.
Chương trình giám sát của NSA bị lộ ra đã chỉ ra rằng, rất nhiều thông tin của người dùng điện thoại đã bị theo dõi, bao gồm các thông tin về vị trí, số điện thoại, ngay cả các cuộc gọi điện, tin nhắn cũng bị nghe lén. Những hoạt động theo dõi này nhiều khi là không hợp pháp, ảnh hưởng nghiêm trọng đến quyền riêng tư của mỗi người.
Không chỉ điện thoại, máy tính, máy tính bảng và các thiết bị cá nhân khác cũng có thể được sử dụng để theo dõi người dân. Việc tấn công chiếm quyền kiểm soát một thiết bị như vậy không phải là một việc khó khăn (có lẽ mọi người sẽ shock nếu biết nó dễ thế nào, đặc biệt là các cơ quan chính phủ có rất nhiều người giỏi).
Việc chiếm quyền kiểm soát thiết bị cá nhân như vậy sẽ giúp theo dõi được gần như là toàn bộ các hoạt động của mọi người. Thậm chí webcam cũng có thể được sử dụng để thu thập nhiều thông tin hơn. Một phần mềm của NSA có tên GUMFISH có thể điều khiển camera của các thiết bị bị tấn công nhằm thu thập dữ liệu hình ảnh cũng như các cuộc hội thoại của người dân.
Theo dõi các hoạt động tài chính
Các hoạt động tài chính như giao dịch ngân hàng, thẻ thanh toán cũng có thể được sử dụng để bổ sung vào hồ sơ các hành vi thường ngày của mỗi người. Không chỉ có vậy, các hoạt động tương tự như việc khám chữa bệnh, mượn trả sách thư viện cũng có thể được thu thập.
Các cơ quan chính phủ có thể không trực tiếp thu thập những dữ liệu đó, nhưng họ có thể yêu cầu các cơ quan tương ứng cung cấp thông tin (và thường sẽ được đáp ứng). Vì tính chất đặc thù của các dịch vụ này, mọi người phải xác nhận nhân thân, danh tính khi sử dụng nên các dữ liệu này có độ chính xác rất cao.
Lấy dữ liệu từ các công ty công nghệ
Các công ty công nghệ lớn như Google, Facebook, Apple, v.v… chính là kho dữ liệu khổng lồ. Một cách khá nhanh chóng và hiệu quả là lấy luôn dữ liệu của họ, dù những dữ liệu này mang tính chất marketing nhiều hơn, nhưng cũng phản ảnh phần nào tính cách, hành vi của người đó.
Có thể việc lấy dữ liệu như thế này không diễn ra trực tiếp (không công ty nào lại cho người khác dễ dàng ra vào để lấy dữ liệu cả, mất khách ngay), nhưng không loại trừ sẽ có một vài khách hàng đặc biệt được đặc cách. Ngoài ra, không thiếu gì cách để có thể lấy được dữ liệu mà họ muốn, từ tấn công đánh cắp dữ liệu cho tới mang trát toà bắt buộc họ phải cung cấp thông tin.
Hệ thống theo dõi nhân viên
Bạn đã bao giờ có ý định và hành động “tranh thủ” trang thiết bị của công ty để làm điều gì đó cho riêng mình chưa? Gọi điện thoại hỏi thăm bạn bè, lướt Facebook tán gẫu cho đỡ buồn, tranh thủ mua sắm online khi lương mới về. Bạn cho rằng, mình đủ khéo léo để các sếp không tài nào biết được chuyện này.
Thật ra mọi hoạt động của bạn nơi làm việc đều đang được ghi nhận bởi những thiết bị giám sát công nghệ cao. Bởi như đã nói ở trên, không một ông chủ nào muốn bạn làm những việc đó, lại dùng thiết bị được cung cấp để thực hiện nữa thì càng không chấp nhận được.
Với sự phát triển không ngừng, các hệ thống giám sát công nghệ cao ngày càng rẻ và có chất lượng tốt, nên đang được giới chủ tăng cường đầu tư và khai thác.
Phổ thông nhất trong các loại phương thức giám sát chính là giám sát bằng máy tính. Các phần mềm theo dõi chuyên dụng sẽ được cài đặt vào máy tính của nhân viên, máy chủ của công ty, để giúp người sử dụng lao động xác định được nhân viên của mình đang làm gì. Mọi hoạt động trên máy vi tính từ phím bấm đến click chuột, thậm chí cả screenshot cũng sẽ được tự động thu thập. Nhiều phần mềm còn ghi nhận cả hình ảnh nhân viên thông qua webcam.
Nhưng máy tính không phải là phương tiện duy nhất. Điện thoại cũng là một trong số những thứ “mách lẻo” rất mẫn cán (tất nhiên là với ai được cấp điện thoại thôi). Theo một nghiên cứu mới đây, 50% ông chủ ở Mỹ theo dõi thời gian nhân viên sử dụng điện thoại, thậm chí nghe trộm cả nội dung các cuộc điện thoại đó.
Ngoài ra kỹ thuật quan sát bằng camera và theo dõi qua GPS cũng có thể được sử dụng để xác định mức độ “chăm chỉ” của nhân viên. Ngoài ra còn các loại theo dõi email, theo dõi lưu lượng mạng, theo dõi bằng microchip, bằng sensor khác nữa, mà tôi cũng không thể kể ra hết.
Nói chung là nhất cứ nhất động của bất kỳ nhân viên nào nơi làm việc cũng đều được ghi nhận hết, không có gì là không thể theo dõi được. Thế thì quyền riêng tư, tự do cá nhân của người lao động ở đâu?
Những người làm chủ thì đương nhiên là ủng hộ việc theo dõi nhân viên trong giờ làm việc. Họ có lý lẽ của mình, rằng họ đang bảo vệ bí mật kinh doanh, tài sản trí tuệ của doanh nghiệp, và còn có thể đảm bảo nhân viên làm việc theo đúng quy định.
Còn về phần nhân viên, họ có quyền biết được về những hoạt động giám sát này, ít nhất, họ có thể lựa chọn làm việc ở chỗ khác nếu cảm thấy quyền riêng tư không được tôn trọng.
Mất thiết bị cá nhân
Mất thiết bị cá nhân có thể khiến chúng ta mất hàng chục triệu đồng (nhất là khi giá điện thoại hiện nay toàn trên $1,000), nhưng không chỉ giá trị của chính thiết bị đó, mà thông tin được lưu trữ trong đó còn giá trị hơn nhiều lần.
Ngày nay, điện thoại đang trở thành công cụ “bất ly thân” của nhiều người. Nhưng bản thân chiếc điện thoại cũng đang gặp phải nhưng vấn đề về bảo mật thông tin máy máy tính đã gặp nhiều năm trước.
Ngày càng nhiều người thường xuyên lưu trữ những thông tin nhạy cảm như hình ảnh, danh bạ, tài khoản ngân hàng, v.v.. trên điện thoại của mình. Nếu chiếc điện thoại đó bị thất lạc hay mất cắp thì sẽ rất nguy hiểm, các thông tin cá nhân sẽ bị rò rỉ (chưa kể điện thoại có thể bị lợi dụng để giả mạo nạn nhân).
Việc truy cập vào các thông tin được lưu trữ trong điện thoại tất nhiên là có đôi chút khó khăn, do chúng thường được bảo vệ bằng passcode hoặc tương tự. Thế nhưng không phải ai cũng đặt một passcode đủ tốt để không bị đoán ra. Ngoài ra, có thể một số thông tin vẫn hiển thị ngay cả khi thiết bị đã bị khoá (ví dụ các thông báo về tin nhắn đến).
Việc bảo mật một chiếc máy tính thậm chí còn kém hơn rất nhiều. Phần lớn dữ liệu lưu trữ trên máy tính cá nhân đều không được mã hoá gì cả. Và cho dù có đặt mật khẩu khó đến mức nào đi nữa, thì chỉ cần boot hệ điều hành từ USB là đã dễ dàng đọc toàn bộ dữ liệu được lưu trên đĩa cứng.
Ngoài ra, một nguy cơ rò rỉ thông tin rất lớn từ các thiết bị cá nhân này là khi chúng được mang đi sửa chữa. Dù không hề bị đánh cắp hay thật lạc, nhưng chúng ta cũng phải chấp nhận trao thiết bị vào tay người khác. Thông thường, để tạo điều kiện cho thợ sữa có thể kiểm tra các chức năng, chúng ta thường cung cấp passcode cho họ, và nếu gặp phải người thợ nào không có tâm, thì những dữ liệu cá nhân trên máy có thể bị mất lúc nào không hay.
Không những thế, ngay cả khi không hề xa rời thiết bị của mình, nguy cơ mất thông tin cá nhân vẫn cứ hiện hữu. Việc sử dụng máy tính, điện thoại ở nơi công cộng tiềm ẩn nguy cơ bị đá hình, liếc máy rất cao. Đó là chưa kể đến việc sử dụng wifi không được mã hoá cũng không hề an toàn.
Malware
Malware, các phần mềm độc hại luôn đầy rẫy trên mạng. Gần đây, xu hướng của malware lại là malware có mục tiêu cụ thể thay vì chỉ phá hoại chung chung như trước kia.
Các phần mềm độc hại có thể được sử dụng để thu thập lịch sử duyệt web của người dùng, và nằm đò chờ đợi cơ hội tấn công khi họ truy cập một URL nhất định. Ví dụ, các phần mềm đánh cắp tài khoản ngân hàng trực tuyến là malware điển hình của loại này. Dự đoán trong tương lai, các malware có mục tiêu cụ thể như vậy sẽ rất phổ biến.
Nguy hiểm hơn, các malware ngày nay thường được lập trình rất tinh vi để có thể nguỵ trang gần như vô hình với người dùng, và hầu như không ảnh hưởng gì tới hiệu năng hệ thống khiến dùng nghi vấn. Việc loại bỏ các malware này cũng rất khó khăn vì chúng được thiết kể để vô hiệu hoá các chương trình truy cập tới nó.
Ransomware
Ransomware cũng là một loại malware nhưng được viết ở mục riêng, vì cách thức thu thập thông tin cá nhân của chúng khác. Ransomware không phải là loại malware mới, chúng đã xuất hiện từ lâu, nhưng có lẽ mọi người chú ý đến nó nhiều từ WannaCry.
Trước đây, chúng thường xuất hiện dưới dạng một phần mềm chống virus giả và cứ ở lỳ trong máy tính, thỉnh thoàng nhõng nhẽo gây rối khiến người dùng không làm việc được cho đến khi người dùng chấp nhận trả tiền để loại bỏ chúng. Giờ đây, thủ đoạn của chúng còn nguy hiểm hơn, khi tấn công sau đó mã hoá toàn bộ tập tin của người dùng, khiến họ bắt buộc phải trả tiền nếu không muốn mất dữ liệu.
Việc bị tấn công bằng ransomware làm nguy cơ mất cắp dữ liệu cao hơn rất nhiều các loại malware khác. Vì khi người dùng chấp nhận trả tiền “chuộc”, thì họ phải cung cấp các thông tin liên quan đến tài khoản ngân hàng, thẻ tin dụng và chắc chắn, các thông tin này sẽ bị lợi dụng vào một lúc nào đó.
Lợi dụng lỗ hổng web
Một trang web có thể tồn tại rất nhiều lỗ hổng bảo mật khác nhau. Hầu như không một tổ chức nào có thể đảm bảo hệ thống của mình an toàn tuyệt đối cả. Các lỗ hổng bảo mật này có thể bị lợi đụng để thu thập thông tin của người dùng.
Một trong số những lỗ hổng nguy hiểm nhất chính là XSS – Cross Site Scripting, được coi là Web application killer. Nếu nó kết hợp với CSRF (Cross Site Request Foregery) thì thật là một cặp đôi hoàn hảo. Khác với các lỗ hổng bảo mật khác, hai lỗ hổng này tác động trực tiếp đến người dùng chứ không phải máy chủ web.
Khai thác lỗ hổng này có thể thu thập được rất nhiều thông tin từ người dùng. Cách khai thác nó cũng tương tự như việc tracking bằng script hay bằng beacon tag vậy. Thế nhưng, script hay beacon tag là do trang web chủ động thêm vào nên có phần nào cũng “vô hại” với người dùng, còn XSS thì không như vậy.
Ngoài ra một vài lỗ bảo mật (chủ yếu là tự sự cẩu thả trong quá trình phát triển) cũng có thể giúp tin tặc thu thập được thông tin cá nhân của người dùng khác.
Việc quản lý xác thực và quản lý session kém có thể giúp tin tặc truy cập vào profile của người khác và lấy đi những thông tin rất nhạy cảm. Xác thực (authentication) và phân quyền (authorization) là những thao tác rất quan trọng trong một ứng dụng web. Chỉ cần một trong hai khâu này kém bảo mật là đã đủ giúp tin tặc lấy được rất nhiều thông tin rồi.
Ngoài ra một vài ứng dụng web với cấu hình cache không chính xác có thể giúp tin tặc truy cập dữ liệu cá nhân của người khác mà đúng ra là hoàn toàn không được phép. Một tin tặc có thể lợi dụng điều này để truy cập cache dữ liệu của người dùng khác, và lấy đi những thông tin hắn cần, ngay cả khi không hề cần phải sử dụng kỹ thuật tấn công nào.
Social engineering
Social engineering là một phương pháp tấn công, đột nhập vào hệ thống của một tổ chức, công ty thông qua việc đánh lừa người dùng, quản trị, v.v… của hệ thống đó. Có thể nói social engineering là phương pháp crack “con người” thay vì crack hệ thống như thông thường.
Social engineering có tỷ lệ thành công rất cao, vì trong một tổ chức đông người, kiểu gì cũng có những cá nhân mất cảnh giác, có ý thức kém về an toàn thông tin. Tuy nhiên, trong bài viết này, chúng ta sẽ không tập trung vào chuyện tấn công hệ thống và đánh cắp dữ liệu.
Social engineering cũng có thể được sử dụng để thu thập thông tin cá nhân của người khác, thay vì tấn công vào hệ thống. Tin tặc có thể đóng giả làm nhân viên của một tổ chức và có quyền truy cập hệ thống lưu trữ các thông tin quan trọng. Kẻ ngay có thể làm giả cả đồng phục và thẻ truy cập, sau đó trà trộn và ăn cắp thông tin.
Một kịch bản khác là tin tặc sẽ mạo danh là người của cơ quan điều tra hoặc các cơ quan thực thi pháp luật khác, yêu cầu chính nạn nhân hoặc các tổ chức, cá nhân khác có thông tin của nạn nhân, cung cấp thông tin mà chúng cần. Nhiều người không cảnh giác rất dễ bị lừa theo phương thức này.
Ngoài ra, tin tặc còn có thể giả mạo là người dùng cuối, liên lạc với bộ phận chăm sóc khách hàng của các dịch vụ nhờ lấy lại tài khoản vì quên mật khẩu. Nếu thành công theo phương thức này, hắn ta hoàn toàn chiếm quyền điều khiển tài khoản của nạn nhân.
Ngoài những kịch bản trên, thực tế còn có thể tồn tại hằng trăm cách thức khác nhau, mà tin tặc có thể sử dụng social engineering để thu thập thông tin cá nhân của người khác. Các thức này có hiệu quả cao và dễ thành công hơn nhiều các phương thức xâm nhập hệ thống khác.
Làm sao để an toàn
Cảnh giác, cảnh giác và cảnh giác
Đây là điều đầu tiên, và cũng là quan trọng nhất. Tự mình phải luôn có ý thức bảo vệ bản thân trước đã, rồi mới có thể thực sự bảo vệ mình được.
Áp dụng các biện pháp online riêng tư hơn
Mời các bạn đọc lại bài viết trước để biết thêm chi tiết.
Hợp tác với những tổ chức đáng tin cậy
Trước khi cung cấp bất kỳ một thông tin nào, hay cân nhắc liệu bạn có thể tin tưởng tổ chức, trang web đó hay không? Hãy dành thời gian đôi chút để nghiên cứu chính sách riêng tư cũng như các chính sách khác của trang web.
Nếu không phải dịch vụ quá đặc thù, bạn hoàn toàn có thể “bịa” ra một danh tính cho mình và cung cấp cho họ.Hoặc trong trường hợp cảm thấy không tin tưởng, hãy tìm đến một dịch vụ khác.
Bản thân tôi cảm thấy rất ghét các dịch vụ như Facebook khi mà họ đòi hỏi quá nhiều thông tin, từ tên tuổi, email địa chỉ. Tôi thích các diễn đàn và các mạng xã hội như Twitter và Instagram hơn, ở đó có thể sử dụng nickname thoải mái, và đặc biệt, đăng ký tài khoản cần thông tin chỉ ở mức tối thiểu.
Với tôi, và rất nhiều người khác, nickname nhiều khi còn quan trọng hơn cả tên thật. Mọi người biết đến tôi bằng nickname nhiều hơn là tên thật, và nếu ai đó chưa quen tôi, thì họ cũng chỉ cần biết nickname là đủ rồi.
Đừng quá tin những gì “miễn phí”
Thật sự là chẳng có gì miễn phí trên Internet cả. Khi một nhà cung cấp đưa cho bạn một dịch vụ miễn phí, đổi lại bạn sẽ phải cung cấp thông tin cho họ, không theo cách này thì cách khác. Số thông tin này sẽ được dùng để tạo ra doanh thu, chủ yếu là thông qua quảng cáo đến người dùng, dựa vào thói quen và hành vi của họ.
Không phải miễn phí là xấu, không phải thu thập thông tin cá nhân là xấu. Quan trọng là mức độ như thế nào, nếu mọi thứ ở mức chấp nhận được thì tôi cũng sẽ vui vẻ mà tiếp tục sử dụng dịch vụ. Nhưng “chấp nhận được” với người dùng thì lại rất khó chấp nhận được với các nhà đầu tư. Nếu mọi thứ chỉ ở mức chập nhận được thì lấy đâu ra tăng trưởng, lấy đâu ra tỷ đô.
Internet đã có quảng cáo từ những thuở ban đầu, thế nhưng hình thức quảng cáo theo hành vi người dùng mới chỉ xuất hiện gần đây. Phương pháp này yêu cầu phải khai thác dữ liệu người dùng, và quan trọng hơn, việc tracking diễn ra hầu như ở toàn bộ quá trình sử dụng Internet.
Thế nên, nếu bạn cảm thấy tracking và quảng cáo ở một dịch vụ nào đó ở mức “chấp nhận được” thì có thể tiếp tục sử dụng, còn không thì chuyển sang dịch vụ có phí (nhưng vẫn phải nghiên cứu kỹ, chưa chắc có phí đã riêng tư hơn).
Tắt bớt kết nối ở nơi công cộng
Tắt bớt các kết nối như bluetooth, wifi khi ở nơi công cộng. Hoặc chí ít cũng nên tránh kết nối vào các mạng wifi mở, không sử dụng password. Các kết nối như vậy có thể tiềm ẩn những lỗ hổng bảo mật chưa được công bố, có thể có kẻ sẽ lợi dụng nó để crack vào thiết bị của bạn.
Ngắt bớt kết nối cũng có thể giúp chúng ta tránh bị làm phiền bởi những người xung quanh, không gặp phải những hoàn cảnh như trường hợp này
Nếu cần kết nối với Internet mà thực hiện các công việc quan trọng, như các giao dịch ngân hàng, hay thanh toán, nên sử dụng mạng mobile Interenet (4G, 3G) thay vì wifi công cộng. Với mức giá khả rẻ ở Việt Nam, việc này hoàn toàn có thể thực hiện được, dù có mất chút chi phí nhưng đổi lại sự an toàn thì cũng đáng.
Xoá bớt bloatware
Khi mua một chiếc máy tính, hay điện thoại mới, chúng ta thường sẽ có được một thiết bị được cài kèm với rất nhiều ứng dụng có sẵn. Ngoài các ứng dụng hệ thống như điện thoại, tin nhắn, settings, v.v… thì phần lớn các ứng dụng đều là bloatware. Bloatware là các ứng dụng được cài đặt sẵn, nhưng thực sự không cần phải có chúng, thiết bị của chúng ta mới có thể hoạt động được.
Bloatware được cài đặt sẵn trên máy, không phải bởi vì nó tốt hay nhà sản xuất cho rằng người dùng cần đến nó. Các ứng dụng này một phần là do bắt buộc phải cài (ví dụ máy Android phải cài các ứng dụng Google, như là một phần của thoả thuận MADA để được sử dụng Play Store, hoặc phần mềm của các nhà mạng), một phần là được trả tiền để cài đặt trước (thường là các ứng dụng trả phí, được cài đặt trước bản trial để mời chào khách hàng).
Các bloatware đó có thể cần với người này, không cần với người kia, nhưng tựu chung lại là không có một ai lại cần tất cả các phần mềm đó cả. Ngoài ra, với chức năng của bloatware đó mỗi người lại có một app yêu thích riêng. Vì vậy, chúng ta nên nhanh chóng xoá bỏ các phần mềm không cần thiết, chỉ giữ lại các phần mềm mình cảm thấy cần thiết mà thôi.
Ngoài ra, các phần mềm cài sẵn này có thể chiếm một phần bộ nhớ và tiêu hao pin trong quá trình sử dụng. Tệ hơn, các phần mềm này có thể chạy ngầm và thực hiện các hoạt động kiểm soát thiết bị từ xa, hoặc thu thập thông tin cá nhân. Còn rất nhiều nguy cơ tiềm ẩn khác liên quan đến quyền riêng tư của những bloatware này.
Việc gỡ bỏ các app cài đặt sẵn này khá dễ dàng trên máy tính (kể cả Windows 10 có đôi chút khó hơn nhưng không thiếu gì công cụ chúng ta làm điều này), nhưng việc gỡ bỏ chúng khỏi điện thoại khó khăn hơn rất nhiều. Hệ điều hành iOS 12 đã cởi mở hơn khi cho phép gỡ bỏ khá nhiều ứng dụng đi kèm máy.
Với hệ điều hành Android, mọi chuyện còn khó hơn nữa. Thông thường, người dùng chỉ có thể gỡ bỏ bloatware nếu root máy (mà như thế thì mất bảo hành, ngoài ra thì ảnh hưởng đến bảo mật, sự ổn định). Còn nếu không thì phải sử dụng một vài thủ thuật với ADB để thực hiện. Điều đó yêu cầu người dùng phải có kiến thức nhất định về hệ thống.
Người dùng thông thường chỉ có disable các bloatware này mà thôi (nó vẫn tồn tại trên hệ thống nhưng không hiện ra và không được sử dụng). Tuy nhiên, thao tác này dễ bị đánh lừa bởi thông báo rằng, các ứng dụng đó là ứng dụng hệ thống, nếu disable thì hệ thống có thể sẽ không hoạt động (??)
Cẩn thận với chức năng autofill
Để giúp người dùng điền vào các biểu mẫu trên trang web nhanh hơn, các trình duyệt trên cả máy tính và điện thoại đều cung cấp tính năng autofill – tự động điền dữ liệu dựa vào các lần nhập trước đó.
Nhưng tin tặc có thể lợi dụng điều này để lấy cắp thông tin của người dùng. Bản có thể xem một bản demo ở đây (đây chỉ là bản minh hoạ nên rất an toàn, có thể thử thoải mái).
Tin tặc có thể tạo ra một biểu mẫu với các trường trông như bình thường, nhưng thực chất rất nhiều trường khác bị ẩn đi. Nếu người dùng sử dụng tính năng autfill và nhấn nút submit thì những dữ liệu ẩn cũng bị gửi đi mà không hề hay biết.
Tin tặc có thể lợi dụng điều này để đánh cắp rất nhiều thông tin, như địa chỉ, số điện thoại, thậm chí cả thông tin thẻ tín dụng cũng có thể bị đánh cắp. Tính năng autofill này có thể bị lợi dụng trên các trình duyệt như Chrome, Safari, Opera (có lẽ là vấn đề của nhân webkit, Firefox hoàn toàn không bị lỗi này) và trình quản lý mật khẩu LastPass.
Do đó, trước khi điền thông tin cá nhân vào bất kỳ trang web nào cũng cần cẩn thận. Không lưu trữ thông tin thẻ tin dụng và các thông tin nhạy cảm khác để tự điền (dù hơi mất thời gian nhưng an toàn). Hoặc tốt nhất là tắt luôn chức năng autofill cho an toàn.
Bảo mật thiết bị cá nhân
Cũng nên hạn chế bớt việc nghe gọi điện thoại nơi công cộng, nếu cần thiết thì nên sử dụng tai nghe, tránh bị nghe lén. Khi sử dụng điện thoại hay máy tính, hay cân nhắc đến nội dung hiện thị trên màn hình, khả năng có nhiều sẽ nhìn thấy nó.
Cài đặt khóa màn hình cho thiết bị cá nhân như laptop, smartphone, máy tính bảng, v.v… là điều tối quan trọng cho người dùng ngày nay. Một thiết bị cá nhân chứa đựng rất nhiều thông tin dữ liệu nhạy cảm của bạn. Việc đặt khóa màn hình có thể giúp ngăn chặn người khác tiếp cận với thông tin trên thiết bị cũng như khiến kẻ xấu mất nhiều thời gian hơn nếu chẳng may chúng đánh cắp được thiết bị của bạn.
Nên cài đặt thời gian khoá máy càng ngắn càng tốt (thông thường thì thiết lập mặc định là 1 hoặc 2 phút cũng đủ tốt rồi, nhưng máy tính thì thường dài hơn rất nhiều). Nếu có thể thì chủ động khoá máy luôn, điều này sẽ gây khó khăn cho bất cứ kẻ nào muốn tiếp cận thông tin trên thiết bị.
Hạn chế lưu thông tin nhạy cảm trên bộ nhớ điện thoại. Nếu cần thiết phải làm việc đó, hãy lưu trữ kèm theo mã hoá để bảo vệ.
Khi cần sửa chữa, hãy kiểm tra mọi thông tin nhạy cảm để đảm bảo chúng được an toàn, không bị phát hiện. Trước khi sữa chữa thì thực hiện sao lưu dữ liệu, nhằm khôi phục sau này. Nếu sửa điện thoại thì phải tháo SIM, đề phòng nó có thể bị lợi dụng để lừa đảo, hoặc lấy cắp OTP cũng như reset password các tài khoản.
Hãy cài đặt các phần mềm bảo mật, cho cả điện thoại và máy tính. Việc bảo mật các thiết bị này là điều cần thiết, và chúng ta không thể làm bằng tay mọi việc được. Sử dụng phần mềm đến từ các hãng danh tiếng là một lựa chọn tốt.
Một điều cần thiết nữa là tắt chức năng xem trước của thông báo. Chức năng này rất tiện lợi, vì nó cho phép người dùng xem được 2, 3 dòng đầu tiên của thông báo. Thế nhưng điều này cũng rất nguy hiểm, tiềm ẩn nguy cơ bị liếc máy, đá hình và lộ ra những thông tin nhạy cảm.
Phần lớn các thông báo thường rất ngắn và sẽ hiển thị toàn bộ nội dung khi preview. Thế nên hãy tắt chức năng này đi, ít nhất là tắt khi máy đã bị khoá. Chỉ hiển thị khi máy đã được mở khoá thành công, và người dùng nên chủ động việc mở khoá này, không nên thực hiện ở chỗ đông người.
Chia sẻ thông tin có chọn lọc
Chia sẻ quá nhiều thông tin trên mạng là việc làm nên tránh, nhất là với các thông tin như tài khoản đăng nhập, số thẻ tin dụng, hình ảnh, địa chỉ nhà riêng, ảnh chụp giấy tờ tuỳ thân, vé máy bay, v.v…
Tất cả các dữ liệu có thể bị lợi dụng và đánh cắp, gây ảnh hưởng tới không chỉ chính bản thân nạn nhân, và còn cả người thân, gia đình, bạn bè của họ cũng bị ảnh hưởng. Trong trường hợp phải cho ai đó mật khẩu tài khoản, hãy thay đổi ngay sau khi xong việc.
Ẩn danh khi sử dụng điện thoại
Không thể ẩn danh khi sử dụng smartphone, đó là điều chắc chắn vì điện thoại không được thiết kế cho việc đó. Ít nhất là các nhà mạng có thể ghi lại thông tin về việc ai đang gọi điện, nhắn tin cho ai, khi nào, từ vị trí nào nhờ các cột thu phát sóng xung quanh bạn.
Nếu muốn riêng tư hơn, thì cần chịu khó một chút. Trước hết hãy sử dụng SIM trả trước. Nếu xem phim nhiều, bạn sẽ thấy cảnh các diễn viên gọi điện thoại sau đó vứt nó đi để tránh bị theo dõi. Điều đó chỉ có thể được thực hiện với SIM trả trước, vì SIM loại này sẽ không cần đăng ký thông tin cá nhân thật. (điều này sắp không đúng với Việt Nam vì SIM trả trước được dùng rất nhiều và các quy định chặt chẽ từ bộ Thông tin và Truyền thông.)
Tất nhiên là ngoài cuộc sống thực, việc vứt một chiếc điện thoại như vậy rất tốn kém. Nhưng chúng ta có thể chọn phương án đơn giản là vứt SIM và mua cái khác. Ngoài ra, nếu không quá quan trọng thì bỏ luôn mạng di động và chỉ sử dụng wifi cũng là một cách hay.
Ngoài ra, có nhiều biện pháp khác có thể thực hiện nhằm tăng tính riêng tư khi sử dụng điện thoại như:
- Sử dụng VPN để tránh bị theo dõi Internet.
- Tắt định vị tránh lộ vị trí.
- Căn nhắc khi thực hiện cuộc gọi ở những nơi khác nhau, nhất là những nơi như nhà riêng, nơi làm việc, v.v…
- Bật chế độ airplane mode, chỉ bật máy trở lại khi cần sử dụng.
Riêng tư khi đi làm
Đây là một số lưu ý để đảm bảo quyền riêng tư khi đi làm. Riêng tư trong trường hợp này là một điều khó, chúng ta phải cân bằng giữa quyền lợi cá nhân và trách nhiệm với công việc mà thôi. Suy cho cùng thì bên nào cũng có lý lẽ của mình, làm sao để cân bằng cả hai là tốt nhất.
- Hiểu rõ chính sách của công ty. Người ta thuê bạn về để làm việc chứ không phải ngồi chơi, tất nhiên là nếu công việc trôi chảy, tiến độ đảm bảo thì cũng không ai ý kiến gì nếu thỉnh thoảng bạn giải trí một chút.
- Chỉ lướt web khi rảnh rỗi. Nếu lướt web hãy sử dụng điện thoại cá nhân và dùng mạng 4G, 3G. Nên tách biệt công việc và cuộc sống riêng. Các thiết bị được cấp phát để làm việc không nên dùng cho mục đích riêng tư và ngược lại.
- Suy nghĩ kỹ, nhìn trước ngó sau trước khi làm bất cứ việc gì.
- Giữ mồm giữ miệng, đừng gọi điện oang oang, sử dụng hộp thư thoại với những thông tin cá nhân. Dù không bị các hệ thống theo dõi ghi lại, thì đồng nghiệp và cả ông chủ của bạn cũng có thể nghe thấy.
- Sử dụng mật khẩu để ngăn chặn sự truy cập ngoài ý muốn vào máy tính của bạn (dù nhiều khi máy tính của công ty có thể bị reset password từ xa).
Ẩn danh với các hệ thống giám sát
Việc các hệ thống giám sát được triển khai khắp nơi khiến cho quyền riêng tư của mỗi người bị ảnh hưởng nghiêm trọng. Vì vậy việc ẩn danh với các hệ thống này gần như là không tưởng, không thể làm bất cứ việc gì mà không hề để lại chút dấu vết nào.
Thế nhưng, vẫn có những biện pháp khác nhau, để bảo vệ quyền riêng tư của chúng ta trong thời đại ngày nay. Bài viết này là một thử nghiệm cố gắng ẩn danh hoàn toàn trong 1 tuần. Tất nhiên là trong thực tế, chúng ta không cần phải quá cực đoan tới mức phải hoàn toàn ẩn danh như vậy.
Dưới đây là một số biện pháp có thể giúp chúng ta ẩn danh. Tuỳ mỗi người mà có thể áp dụng một hay nhiều biện pháp.
- Cung cấp danh tính giả hoặc không cung cấp danh tính bất cứ khi nào có thể.
- Trả tiền mọi thứ bằng tiền mặt, không sử dụng thẻ tín dụng, thẻ ghi nợ là những thứ có thể tìm ra bạn.
- Không sử dụng điện thoại di động, điện thoại cố định, và tài khoản email thông thường.
- Mua SIM trả trước, đăng ký tên giả, hạn chế các cuộc gọi, thay đổi cài đặt không hiện số, đăng ký nhiều email khác nhau và thay phiên sử dụng.
- Sử dụng dịch vụ ẩn danh khi online, hạn chế sử dụng thiết bị cá nhân. Sử dụng điện thoại công cộng, máy tính của các quán internet, hạn chế kết nối bằng mạng gia đình, thay vào đó hãy sử dụng wifi bên ngoài (nên dùng wifi có mã hoá).
- Tránh xa các toà nhà cao tầng, nhà ga, sân bay vì quá nhiều camera giám sát.
- Đội mũ và kính mát để che mắt các camera không thể tránh được (các camera hiện nay có chất lượng vẫn khá thấp nên không cần nguỵ trang quá kín).
- Không sử dụng làn đường có thu phí tự động.
- Sử dụng máy cắt giấy để giải quyết các giấy tờ quan trọng.
- Không mua vé máy bay, thuê xe, kết hôn, sinh con, mua đất, kinh doanh vì những việc đó sẽ yêu cầu giấy tờ tuỳ thân.
- Không sử dụng thẻ khách hàng thân thiết tại các siêu thị.
Kích hoạt tính năng xác thực 2 bước
Xác thực hai yếu tố (2FA) là một phương thức bảo mật yêu cầu hai cách khác nhau để chứng minh danh tính của bạn. Nó thường được sử dụng trong cuộc sống hàng ngày. Ví dụ thanh toán bằng thẻ tín dụng không chỉ yêu cầu thẻ mà còn yêu cầu mã PIN, chữ ký hoặc ID. Với việc xác thực một yếu tố 1FA ngày càng trở nên không đáng tin cậy, xác thực hai yếu tố nhanh chóng đạt được tầm quan trọng của một một biện pháp bảo mật để đăng nhập vào các tài khoản trực tuyến.
Theo mặc định, hầu như tất cả tài khoản trực tuyến đều sử dụng xác thực mật khẩu, tức là phương thức xác thực một yếu tố. Nhưng mật khẩu rất dễ bị tấn công. Một vấn đề nữa là nhiều người dùng vẫn sử dụng một và cùng một mật khẩu cho tất cả tài khoản của họ.
Dù có một chút rắc rối nhưng 2FA tăng đáng kể bảo mật bằng cách yêu cầu một yếu tố xác thực bổ sung, do đó làm cho việc hack một tài khoản trở nên khó khăn hơn nhiều. Lý tưởng nhất là bạn nên sử dụng 2FA cho tất cả các tài khoản mà bạn lưu trữ bất kỳ loại thông tin cá nhân nào, cũng như các tài khoản có thông tin thanh toán được liên kết với chúng.
2FA là biện pháp bảo mật không thể thiếu cho các tài khoản trực tuyến chính của bạn, chẳng hạn như email, ngân hàng hoặc mạng xã hội. Mặc dù xác thực hai yếu tố không có nghĩa là tài khoản của bạn miễn nhiễm với các cuộc tấn công. Nó chỉ làm cho tài khoản của bạn trở nên linh hoạt hơn khi tin tặc muốn crack nhiều hơn một mật khẩu đơn giản. Có hay không một yếu tố xác thực thứ hai phụ thuộc vào tài khoản và loại thông tin được lưu trữ trong đó.
Thường xuyên cập nhật hệ thống
Cập nhật các phần mềm, hệ thống là việc làm cần thiết của người dùng internet. Lý do là các lỗ hổng bảo mật luôn phát sinh từng ngày, việc cập nhật có thể giúp thiết bị tiếp cận với những công nghệ, tính năng, bản vá lỗi mới nhất. Việc thường xuyên kiểm tra và kịp thời tải, cài đặt các bản cập nhật hết sức quan trọng, giúp bạn giảm bớt các nguy cơ bị rò rỉ và mất cắp dữ liệu cá nhân.
Cài đặt phần mềm từ các nguồn đáng tin cậy
Hiện nay, việc cài đặt phần mềm lậu, vi phạm bản quyền vẫn diễn ra khá phổ biến ở Việt Nam. Việc cài đặt và sử dụng các phần mềm này tiềm ẩn nguy cơ mất an toàn thông tin rất lớn.
Người dùng Việt thường lấy lý do kinh tế để không phải tốn chi phí mua bản quyền phần mềm, trong khi hầu như nhà nào cũng đều có máy tính được cài đặt rất nhiều phần mềm. Tuy nhiên, việc làm này có những mối nguy hiểm khôn lường.
Các bản bẻ khoá phần mềm thường được gọi là patch, crack thường ẩn chứa mã độc bên trong. Sẽ không có ai rảnh rỗi đâu mà ngồi phân tích rồi viết bản bé khoá phần mềm và cung cấp “miễn phí” trên mạng. Tất cả đều có mục đích của riêng mình cả (thỉnh thoảng cũng có vài người chỉ cần danh không cần tiền, nhưng rất ít).
Sử dụng những phần mềm bẻ khoá này trước hết là có thể khiến máy tính bị nhiễm malware. Nếu dính phải, máy tính sẽ trở thành công cụ đắc lực giúp cracker trong nhiều mục đích khác nhau, bao gồm cả thu thập thông tin của nạn nhân.
Mọi việc sẽ rất nghiêm trọng nếu máy tính đó có chứa các thông tin nhạy cảm. Nhiều thông tin quan trọng như tài khoản ngân hàng, mật khẩu truy cập các dịch vụ có thể rơi vào tay tin tặc.
Ngoài ra, các phần mềm này không thể cập nhật phiên bản mới một cách đường hoàng. Phần mềm không được cập nhật cũng có thể chứa lỗ hổng bảo mật không được vá, có thể bị lợi dụng để xâm nhập máy tính từ xa.
Đó là chưa kể đến những phần mềm bẻ khoá fake, thay vì cung cấp công cụ bẻ khoá phần mềm, chúng lại khiến máy tính lây nhiễm malware nhanh hơn.
Vì vậy, việc sử dụng các phần mềm chính hãng, được tải về từ các nguồn rõ ràng, tin cậy là một điều hết sức quan trọng. Nếu phần mềm bản quyền quá tốn kém, có thể chuyển sang sử dụng các phần mềm tự do hoặc mã nguồn mở thay thế (dù tính năng có thể kém hơn).
Không nên tải hay cài đặt các phần mềm không rõ nguồn gốc, đặc biệt là từ các website lạ. Kể cả khi muốn sử dụng phần mềm chính hãng, cũng nên mua phần mềm từ chính hãng đó, hoặc từ các đại lý uỷ quyền. Nếu mua phần mềm trực tuyến thì hãy chọn các cá nhân, tổ chức có uy tín.
Cẩn trọng khi dùng dịch vụ lưu trữ và đồng bộ đám mây
Sử dụng các dịch vụ đồng bộ, lưu trữ đám máy rất tiện (đồng bộ nhiều máy với nhau được), nhưng đồng thời người dùng cũng chấp nhận phó thác dữ liệu cá nhân của mình cho nhà cung cấp dịch vụ.
Điều đó tiềm ẩn nguy cơ bị đánh cắp dữ liệu (và sự thật đã có nhiều vụ rò rỉ dữ liệu iCloud rồi).
Hãy lưu ý thiết lập mật khẩu mạnh, phức tạp, nếu có thể thì bật xác thực hai bước cho các tài khoản lưu trữ đám may của mình. Đồng thời một vài tập tin, thư mục quan trọng nên bảo vệ bằng mật khẩu hoặc mã hoá.
Không share số điện thoại, email lên những nơi công cộng
Các nơi công cộng bao gồm mạng xã hội, các dịch vụ nhắn tin và những nơi mà bạn biết rằng ngoài bạn ra thì còn người khác có thể thấy được thông tin cá nhân của bạn.
Vì sao lại như vậy?
Bên cạnh nguy cơ bị gọi làm phiền hoặc spam mail rác, một người nào đó khi cần có thể nhanh chóng dò ra số điện thoại của bạn chỉ bằng cách gõ vào Google rồi từ đó tìm hiểu kĩ thói quen, sở thích của bạn để làm những trò xấu hơn. Nguy hiểm hơn, người đó có thể dựa vào lịch sử hoạt động của bạn trên các mạng xã hội hay website để bêu xấu bạn, những thứ mà đáng ra chúng ta có thể phòng ngừa được từ đầu.
Nếu đã lỡ share số hay địa chỉ rồi thì sao? Tốt nhất là hãy đi xóa nói, rồi liên hệ với chủ website gỡ nó ra khỏi tài khoản của bạn nếu bạn không tự làm được.
Cài mã PIN cho SIM
Có một câu chuyện thế này:
Một anh chàng bị mất iPhone nhưng đã kịp khóa iCloud, tức là theo lý thuyết máy khi đó đã thành cục gạch. Nhưng không, kẻ trộm rất thông minh, hắn lấy SIM ra để biết được số, sau đó hắn đã tìm kiếm trên Google để ra được địa chỉ Gmail của nạn nhân.
Khi đã có số điện thoại và địa chỉ email, hắn reset password Gmail và sử dụng mã OTP do Google gửi vào điện thoại để xác thực. Mà khi đã có trong tay Gmail rồi hắn có thể làm bất kì thứ gì hắn muốn.
Câu chuyện trên đây hoàn toàn không phải là bịa đặt, mà thực sự nó đã xảy ra nhiều lần, đã có những nạn nhân (cả người Việt) chia sẽ câu chuyện của mình trên các diễn đàn.
Như vậy, việc mất điện thoại không nguy hiểm bằng mất SIM. Hắn ta chỉ cần đơn giản là tháo SIM ra và gắn vào một điện thoại khác là có thể dễ dàng sử dụng số điện thoại của nạn nhân.
Khi đó hắn ta có thể dễ dàng reset password của nhiều tài khoản quan trọng. Nguy hiểm, hắn ta có thể dùng số điện thoại đó để lừa đảo, tống tiền.
Vì vậy, việc thiết lập PIN cho SIM là rất quan trọng. Thiết lập PIN rồi thì dù có tháo SIM ra gắn vào máy khác cũng không thể sử dụng được. Các loại SIM điện thoại đều có cơ chế khoá SIM sau khi thử một số lần nhất định, khiến cho việc chiếc SIM đó rơi vào tay kẻ xấu cũng không quá nguy hiểm.
Không share password ở bất kì đâu
Trừ khi bạn đang đăng nhập hay xác thực gì đó, còn lại bạn không nên gõ password của mình vào bất kì đâu, tất nhiên cũng không nên chia sẻ nó cho bất kì người nào khác.
Có rất rất nhiều kẻ lừa đảo nhắn SMS cho bạn dạng “Chúng tôi phát hiện giao dịch có hại, hãy nhập password để hủy giao dịch”. Rất rất nhiều người đã bị lừa một cách dễ dàng như thế, và chỉ trong chốc lát tin tặc đã có mật khẩu của bạn. Chúng ta lại có thói quen đặt password chung cho nhiều tài khoản khác nhau nên mất một cái là xem như mất hết đám kia.
Trên mạng hiện nay có một số dịch vụ kiểu như kiểm tra độ mạnh mật khẩu của bạn. Tuyệt đối không nên cung cấp mật khẩu của mình cho những nơi như vậy. Không ai biết dữ liệu người dùng nhập vào sẽ được sử dụng như thế nào. Biết đâu họ đang thu thập từ điển để brute force thì sao.
Ngoài ra, bạn cũng nên để ý kĩ đường link mà bạn tính nhập password vào có phải là link chính chủ, link đúng hay không. Tin tặc có thể đang phishing, và nếu để ý một chút có thể nhận ra là mình đang bị lừa.
Dùng password khác cho các tài khoản quan trọng
Như đã nói ở trên, chúng ta thường có thói quen sử dụng chung một password cho tất cả tài khoản. Thói quen này cực kì có hại vì nó sẽ khiến hacker dễ chiếm quyền kiểm soát tài khoản của bạn nếu hắn vô tình đoán hay biết được một cái.
Tất nhiên, yêu cầu đặt mỗi account một password gần như là điều không khả thi, nhưng có một cách có thể hạn chế việc này. Với các tài khoản quan trọng nhất, chúng ta đặt password riêng cho chúng, không giống với bất kỳ tài khoản nào khác. Với các tài khoản khác kém quan trọng hơn có thể sử dụng chung một password cho dễ nhớ. Tùy theo mức độ quan trọng của các tài khoản mà chúng ta cân nhắc sử dụng mật khẩu chung hay riêng cho phù hợp.
Tốt hơn nữa, là sử dụng các trình quản lý password chuyên nghiệp (trên điện thoại có thể tích hợp sẵn, đủ bảo mật nên có thể dùng). Ngoài ra, có thể sử dụng chức năng gợi ý mật khẩu cho các tài khoản quan trọng, vừa an toàn, vừa đỡ mệt đầu phải nghĩ mật khẩu mạnh.
Bảo mật thông tin thẻ tín dụng
Không tiết lộ thông tin thẻ tín dụng dưới bất kì hình thức nào. Ngoài các cổng thanh toán và những website mua bán hay dịch vụ bạn có thể tin tưởng, còn lại thì bạn không được để cho bất kì ai biết số thẻ của mình.
Không gửi thông tin thẻ qua email, không gửi thông tin thẻ qua SMS, không post lên Facebook, hãy giữ những con số đó thật kĩ càng. Bên cạnh nguy cơ bị mất tiền như chơi, thẻ còn có thể bị sử dụng cho những chuyện trái pháp luật và nhà chức trách sẽ truy ra nguồn gốc ở bạn, khi đó rất phiền phức để giải thích và chứng minh rằng bạn không phải là người phạm tội.
Tốt nhất là cạo 3 số CVV đằng sau thẻ và nhớ nó trong đầu (không nên ghi ra đâu cả, tự nhớ là tốt nhất). Đề phòng kẻ gian dù có chụp hoặc nhớ được các thông tin thẻ thì cũng không thể thanh toán trực tuyến được. Còn giao dịch offline thì không lo lắm, do cần phải có thẻ, và chữ kỹ chủ thẻ nữa.
Ngoài ra, các loại thẻ thanh toán quốc tế đều có thể bật thêm một lớp xác thực nữa. VISA thì có Verified by VISA, MasterCard thì có 3D Secure. Nên bật hết những chức năng này lên cho an toàn.
Bảo mật thông tin cá nhân trên mạng xã hội
Lời khuyên nói chung:
- Tránh kết bạn với những người lạ.
- Không trả lời tin nhắn từ người lạ có dấu hiệu đáng ngờ được gửi đến trên facebook, linkedin, zalo.
- Rà soát các nhóm, groups bạn đã tham gia trên mạng xã hội và rời khỏi những nhóm không cần thiết.
- Tuyệt đối không click, nhấp vào đường dẫn lạ có nguy cơ chứa mã độc.
- Hạn chế tham gia các trò chơi trên mạng xã hội có yêu cầu xác thực hay kiểm tra thông tin cá nhân quá nhiều lần.
Bảo mật những tài khoản cũ
Có những tài khoản có thể bạn sẽ không dùng nữa, một số email không đụng tới hay một tài khoản mạng xã hội. Cho dù bạn không sử dụng chúng nữa, thế nhưng chúng vẫn đang tồn tại và có thể đã lưu trữ rất nhiều thông tin về bạn.
Vậy nên hoặc bạn chọn cách xóa hoàn toàn tài khoản, hoặc cập nhật mật khẩu mới và lựa chọn giải pháp bảo mật hai bước xác thực để tăng thêm độ an toàn cho dữ liệu.
Welcome
Đây là thế giới của manhhomienbienthuy (naa). Chào mừng đến với thế giới của tôi!
Bài viết liên quan
Bài viết mới
Chuyên mục
Lưu trữ theo năm
Thông tin liên hệ
Cảm ơn bạn đã quan tâm blog của tôi. Nếu có bất điều gì muốn nói, bạn có thể liên hệ với tôi qua các mạng xã hội, tạo discussion hoặc report issue trên Github.