Đó là cảnh báo của ông Võ Đỗ Thắng, Giám đốc Trung tâm Quản trị và An ninh mạng Athena, đưa ra tại chương trình “Hỗ trợ tâm lý học đường – Đưa chuyên gia đến với trường học” với chủ đề: “Ứng xử thông minh trên MXH” do báo Tiền Phong phối hợp cùng Trung Tâm đào tạo an ninh mạng Athena,  AIA Việt Nam, trường ĐH Quốc tế Hồng Bàng, trường ĐH Mở TPHCM, Nam Á Bank tổ chức tại Trường THCS – THPT Hai Bà Trưng .

Đủ trò lôi kéo trên không gian mạng

Chia sẻ với các em học sinh, ông Võ Đỗ Thắng cho biết, hiện nay ở Việt Nam có khoảng 100 triệu tài khoản MXH, trong đó nhiều người sử dụng nhiều MXH khác nhau. Với tốc độ tăng trưởng sử dụng MXH khoảng 10 – 15% mỗi năm, đến năm 2025 số lượng tài khoản hoạt động trên không gian mạng của Việt Nam sẽ lên tới khoảng 120 triệu tài khoản.

Theo ông Thắng, thế hệ trẻ hiện nay làm quen MXH rất nhiều vì các bạn tìm được nhiều thông tin bổ ích và kết nối, liên lạc với nhau cũng như thấy được những tin tức mới, thông tin tích cực từ đây. Tuy nhiên, MXH cũng mang đến những thông tin, những cạm bẫy và cũng có thể dẫn các bạn đi vào con đường bế tắc, những hành vi tiêu cực.

Vị chuyên gia cũng nhìn nhận, hiện có rất nhiều bạn trẻ nghĩ trên không gian mạng hầu như là nặc danh, không ai biết mình để rồi tạo tài khoản ảo, hình đại diện ảo rồi đưa thông tin lên mạng và nghĩ là những hoạt động, hành vi đó không ai biết, không làm gì được mình…

Thậm chí, trên không gian mạng, các bạn trẻ còn lập nên những nhóm “giang hồ mạng” với những bạn chỉ trong độ tuổi 15 – 20. Khi sa lầy vào những hội nhóm lệch chuẩn đó thì có thể bị “dính” vào nhiều hành vi mà các bạn không kiểm soát được; thậm chí từ thế giới ảo chuyển sang gặp gỡ nhau ở thế giới thực rồi chia sẻ những hành vi bạo lực ngoài xã hội. Hiện những việc như vậy rất nhiều”, ông Thắng nói.

Tương tự, thạc sĩ tâm lý Trần Thị Thanh Trà, giảng viên trường ĐH Mở TPHCM kể về câu chuyện một học sinh suýt bị lôi kéo vào đường dây đăng tải, chia sẻ thông tin chưa rõ đúng – sai của một học sinh để được nhận thù lao. Theo đó, em học sinh này vô tình được bạn bè đưa vào một nhóm kín trên MXH.

Không phải đăng rồi xóa là xong!

Chia sẻ thêm với các em học sinh, ông Võ Đỗ Thắng cho hay, việc kiểm tra, giám sát đối với những hoạt động đăng tải trên MXH trước năm 2020 là chưa nhiều nhưng từ năm 2020 trở lại đây, việc này được lực lượng an ninh mạng theo dõi rất nhiều. Việc này nhằm nhận diện được những ai đứng phía sau những hội nhóm đó, những ai cố gắng bơm những thông tin độc hại, nguy hiểm, lôi kéo các bạn trẻ.

Cũng theo chuyên gia Võ Đỗ Thắng, tất cả những hành vi trên không gian mạng đều có người biết, theo dõi và ghi lại. Những thông tin tiêu cực, không đúng đắn ấy sẽ được lưu lại và sau này, nếu các bạn đi xin việc thì nhà tuyển dụng có thể xem lại những thông tin, hoạt động này trên MXH để rồi tìm hiểu tính cách, khả năng, hành vi ứng xử của các bạn. Chính những hành động, thông tin tiêu cực đó sẽ tạo sự bất lợi cho các bạn về sau.

“Mong các bạn cần có những suy nghĩ chín chắn trước khi chia sẻ lên MXH, xem chúng có tạo hiệu ứng tiêu cực cho cộng đồng, cho bạn bè mình hay không. Khi đưa thông tin không tốt lên MXH rồi, kể cả khi bị xóa đi, nó vẫn được lưu trữ trên đó, vô tình tạo nên những hệ quả xấu”, ông Võ Đỗ Thắng lưu ý đồng thời khuyến cáo, nếu các bạn trẻ tiếp tục đưa lên mạng những thông tin tiêu cực mà người đó trên 18 tuổi thì sẽ bị xử lý theo Luật An ninh mạng, bị xử phạt hành chính. Nếu tái phạm lần 2, lần 3 thì sẽ còn bị xử lý về mặt hình sự.

Ở góc độ tâm lý, muốn sử dụng MXH một cách an toàn, thạc sĩ Trần Thị Thanh Trà cho rằng, chúng ta nên giảm thời lượng sử dụng MXH (tối đa 30 phút/ ngày). Nếu sử dụng quá nhiều, hệ thần kinh chúng ta sẽ bị ảnh hưởng.

“Song song với việc giảm thời gian sử dụng MXH, chúng ta cần tăng lượng tương tác trực tiếp với bạn bè; tham gia hoạt động cộng đồng; tránh xa những xung đột trên MXH; nên học cách tôn trọng người khác và tập thói quen nghiêm khắc với thời gian của bản thân. Đặc biệt, trước khi làm gì, nên nghĩ đến hậu quả và hành động đó mang lại giá trị tích cực gì cho bản thân, bạn bè và xã hội…”, thạc sĩ Trà đưa ra lời khuyên.

Chủ động bảo vệ dữ liệu cá nhân

Về góc độ chuyên môn liên quan đến bảo vệ dữ liệu cá nhân, ông Võ Đỗ Thắng cho biết, có những phần mềm ăn cắp dữ liệu, phần mềm thu thập thông tin được cài cắm vào những chương trình game online. Nếu bất cẩn thì chúng ta sẽ bị những phần mềm gián điệp âm thầm theo dõi và đánh cắp các dữ liệu, thông tin tài khoản, thông tin riêng tư…

Theo ông, có những tổ chức thu thập để đó rồi vài năm sau họ bán dữ liệu cá nhân và thu được rất nhiều tiền. “Do đó, khi các bạn muốn chơi game thì trước đó phải dùng công cụ để kiểm tra chương trình game đó có đính kèm phần mềm mã độc, gián điệp hay không để tránh mất mát dữ liệu cá nhân của mình”, ông Thắng lưu ý.

Một sáng tháng 8/2017, hacker 23 tuổi với mái tóc xoăn nâu bước ra khỏi tòa nhà Airbnb ở Las Vegas (nơi cậu mới chỉ ở trong một tuần rưỡi) để nhận đồ ăn đặt online. Khi đứng trước sảnh, Hutchins nhìn thấy chiếc SUV đen bí ẩn đỗ bên đường. Cậu nhìn chằm chằm chiếc xe, đầu vẫn lơ mơ vì thiếu ngủ, tự hỏi: “Cuối cùng điều đó cũng đến ư?” Rồi cậu lập tức gạt đi, tự nhủ FBI chẳng bao giờ lộ liễu như vậy.

Hutchins nhận đồ ăn, quay vào trong tận hưởng bữa sáng rồi gói ghém hành lý, bắt Uber ra sân bay với tấm vé hạng nhất về Anh. Cậu vừa trải qua một tuần bận rộn tại Defcon – một trong những hội thảo hacker lớn nhất thế giới, nơi cậu được ca tụng như người hùng.

Chưa đầy ba tháng trước đó, Hutchins cứu Internet khỏi một cuộc tấn công mạng được đánh giá là tồi tệ nhất lịch sử: mã độc tống tiền WannaCry. Mã độc này hoành hành từ ngày 12/5/2017, lây lan tại hơn 150 nước và phá hủy dữ liệu trên hàng trăm nghìn máy tính. Hutchins phát hiện tính năng giống như “công tắc” (kill-switch) ẩn trong đoạn mã, có thể ngừng mối đe dọa WannaCry.

Cậu tạo nên câu chuyện hấp dẫn khó cưỡng trên truyền thông: Hutchins – chàng hacker trẻ tuổi và rụt rè, một mình chống lại “quái vật” đe dọa thế giới số. Hình ảnh cậu ngồi trước màn hình máy tính trong phòng ngủ, nơi cậu sống cùng bố mẹ ở miền tây nước Anh xa xôi, thật bí ẩn.

Ngập trong những lời tán tụng, Hutchins không nghĩ nhiều khi thấy chiếc SUV. Hồ sơ tại tòa sau này cho thấy, chiếc SUV đen đã bám theo Hutchins suốt thời gian cậu ở Las Vegas.

Khi Hutchins ngồi trong phòng chờ và viết dở thông điệp lên Twitter, ba người tiến lại gần, đề nghị cậu theo họ tới một lối đi riêng. Tại đó, cậu bị còng tay bởi người đàn ông có mái tóc đỏ. Cảm thấy sốc, Hutchins điểm qua những hoạt động trái phép có thể khiến hải quan để mắt tới. Chắc chắn, cậu nghĩ, không thể là “thứ đó”, bởi nó đã xảy ra vài năm trước và chưa từng được nhắc đến. Hay cậu để quên cần sa trong túi?

Với giọng thân thiện, những người này, tự giới thiệu là đến từ FBI, hỏi cậu về quá trình học tập và Kryptos Logic – công ty bảo mật cậu đang làm việc. Rồi họ hỏi cậu về một chương trình có tên Kronos.

“Kronos. Tôi biết”, cậu trả lời, cảm thấy tê cóng và hiểu rằng từ đây, cậu không thể trở về nhà.

Marcus Hutchins

Hành trình sa lầy trong thế giới tội phạm mạng

14 năm trước đó, rất lâu trước khi Marcus Hutchins trở thành anh hùng hay kẻ xấu trong mắt mọi người, bố mẹ cậu – Janet và Desmond đã chuyển tới vùng Devon hẻo lánh ở Anh. Hutchins, lúc đó 9 tuổi, không hòa hợp với đám trẻ ở đây. Nhưng điều khiến cậu nổi bật là sự đam mê với máy tính so với lứa tuổi. Cha cậu thường phát cáu khi thấy con trai tháo rời chiếc máy tính Dell hoặc cài đầy chương trình lạ hoắc lên đó. Cậu sớm nhận thấy lập trình là “cánh cửa để làm bất cứ điều gì bạn muốn”.

Sinh nhật 13 tuổi, sau nhiều lần “đấu tranh”, cha mẹ cũng đồng ý mua cho cậu máy tính riêng. Bà Janet lo con trai quá mê đắm trong thế giới số nên cài công cụ kiểm soát vào máy tính nhưng cậu dễ dàng chiếm lại quyền admin. “Chẳng có cách nào quản được Marcus bởi nó luôn thông minh hơn chúng tôi”, Janet nói.

Khi lang thang trên các diễn đàn, Hutchins thấy một hacker tạo sâu MSN ẩn dưới bức ảnh JPEG. Khi ai đó mở ra, sâu sẽ tự gửi tới mọi người trong danh sách chat. Hutchins không biết sâu đó ra đời với mục đích gì, nhưng cậu đặc biệt ấn tượng và muốn tạo ra một thứ như vậy. Một năm sau, Hutchins chia sẻ thành quả đầu tiên lên forum: một công cụ đánh cắp mật khẩu mà người dùng lưu trên web. Mã độc đầu tiên của Hutchins được khen ngợi, dù cậu không biết dùng mật khẩu đánh cắp vào việc gì, đơn giản nó rất “ngầu”.

Năm 15 tuổi, gia đình Hutchins chuyển tới một căn nhà mới. Cùng khoảng thời gian này, cậu tham gia cộng đồng HackForums, nơi đầy rẫy chia sẻ về botnet – mạng lưới máy tính bị nhiễm mã độc, chuyên dùng để tấn công từ chối dịch vụ DDoS. Hutchins cũng tự tạo botnet đầu tiên với 8.000 máy tính ma. Cậu cũng bắt đầu “sự nghiệp” cung cấp dịch vụ web hosting cho các trang web bất hợp pháp.

Trong một lần đăng đoạn mã độc thử nghiệm, một thành viên HackForums tỏ ra ấn tượng và đề nghị cậu viết chương trình chống các phần mềm diệt virus. Cậu được trả 200 USD. Khách hàng tiếp theo trả 800 USD để tạo rootkit ăp cắp mật khẩu web. Hutchins bắt đầu nổi danh và khi 16 tuổi, cậu có một khách hàng nghiêm túc hơn, biệt danh Vinny.

Vinny muốn một rootkit đa chức năng để bán trên các chợ đen của hacker. Thay vì trả trọn gói, ông ta sẽ chia sẻ một nửa lợi nhuận trong việc kinh doanh rootkit. Họ thường trao đổi ẩn danh, không lưu lại cuộc trò chuyện. Một lần, Hutchins ca thán không mua được loại “cỏ” chất lượng ở quê mình. Vinny nói sẽ gửi cho cậu từ trang thương mại mới thành lập Silk Road. Silk Road thực chất là chợ ma túy trực tuyến mới ra đời năm 2011. Vinny hỏi địa chỉ và ngày sinh của Hutchins. Trong ngày sinh nhật 17 tuổi, một bưu kiện được gửi tới nhà cậu, bên trong đầy “cỏ”, nấm gây ảo giác và thuốc lắc.

Hutchins hoàn thành rootkit UPAS Kit trong 9 tháng và tới hè 2012, mã độc này bắt đầu được rao bán. Vinny trả cho cậu hàng nghìn USD dưới dạng bitcoin. Hutchins bỏ học, nói với cha mẹ rằng cậu đang tham gia dự án lập trình riêng.

Sau đó, Vinny đề nghị nâng cấp lên UPAS Kit 2.0 với công cụ keylogger ghi lại mọi hoạt động mà nạn nhân gõ từ bàn phím, khả năng nhìn thấy màn hình của họ và quan trọng hơn, ông muốn chèn nội dung vào trang mà nạn nhân đang xem, kỹ thuật gọi là web inject.

Yêu cầu cuối khiến Hutchins thấy khó chịu. Web inject có mục đích rất rõ ràng: để thực hiện các vụ lừa đảo qua ngân hàng. Đa số ngân hàng đòi hỏi hai lớp bảo mật khi thực hiện giao dịch chuyển tiền. Hệ thống sẽ gửi tin nhắn chứa mã số tới điện thoại của khách hàng và yêu cầu nhập mã vào trang web để xác thực. Web inject giúp hacker qua mặt lớp bảo mật này.

Trong vài năm, Hutchins đã từng bước tiến vào đường hầm của tội phạm online. Nhưng đề nghị của Vinny khiến cậu không chấp nhận, bởi những người vô tội sẽ bị lấy đi những khoản tiết kiệm.

Người này liền nhắc nhở, với giọng điệu vừa đùa cợt vừa đe dọa, rằng ông ta biết rõ danh tính và địa chỉ nhà cậu. Nếu mối quan hệ kinh doanh của họ chấm dứt, ông ta sẽ gửi thông tin cho FBI. Hoảng sợ và giận dữ, nhưng Hutchins vẫn từ chối bởi cậu biết rõ Vinny cần kỹ năng của mình. Cuối cùng, hai bên thỏa thuận nâng cấp UPAS Kit mà không có tính năng web inject.

Sau 9 tháng, phiên bản mới của UPAS Kit đã sẵn sàng. Ngay khi nhận được code, Vinny tiết lộ đã thuê người khác tạo web inject. Hutchins sững sờ và hiểu cậu không thể chống lại Vinny. Hutchins muốn dừng hợp tác, nhưng Vinny nói đằng nào ông ta cũng đã có mọi thứ cần thiết cho một trojan ngân hàng dù cậu có tham gia hay không. Mã độc vẫn được bán, trong khi cậu tốn công sức mà không được đồng nào.

Tức giận vì rơi vào bẫy, Hutchins đành tiếp tục nâng cấp công cụ cho Vinny. Cậu biết rõ sớm muộn FBI cũng xuất hiện với lệnh bắt giữ. Cũng từ đó, cậu nhận ra tình yêu lập trình đã hoàn toàn biến mất.

Lúc đó, Zeus là một trong những trojan ngân hàng khét tiếng, nên Vinny quyết định đổi tên UPAS Kit thành Kronos – cha của Zeus trong thần thoại Hy Lạp.

Năm 19 tuổi, gia đình Hutchins chuyển nhà lần nữa. Rồi cậu quen qua diễn đàn một người tên Randy. Sau khi đề nghị viết mã độc ngân hàng nhưng bị từ chối, người này nhờ cậu viết một số ứng dụng doanh nghiệp và giáo dục. Randy tỏ ra là người hào phóng và còn hỏi địa chỉ để gửi iMac làm quà. Dĩ nhiên cậu đồng ý vì những gì họ làm hoàn toàn hợp pháp.

Không như Vinny, Randy rất cởi mở về cuộc sống cá nhân. Hai người trở nên thân thiết, thậm chí gọi điện video với nhau. Randy tin tưởng Hutchins đến mức gửi cậu số tiền ảo giá trị hơn 10.000 USD để nhờ giao dịch giúp. Một sáng mùa hè 2015, Hutchins tỉnh dậy và phát hiện nhà mất điện khiến máy tính bị tắt và mất trắng giao dịch 5.000 USD tiền bitcoin

Hutchins gọi cho Randy, thú nhận đã làm mất tiền của ông. Để bù đắp, cậu tiết lộ mình là tác giả Kronos. Do Randy từng nói muốn mã độc ngân hàng trước đây, cậu đề nghị cung cấp cho ông một bản miễn phí và Randy đồng ý. Một lần nữa, Hutchins nhận ra mình mắc một sai lầm ghê gớm. Chắc chắn, sẽ có ngày Randy bị bắt khi sử dụng mã độc và cậu sẽ bị cảnh sát hỏi thăm.

Thời gian này, Hutchins dừng hợp tác với Vinny, chấm dứt những năm tháng đen tối trong thế giới tội phạm mạng.

Giai đoạn “hậu Kronos”

Hutchins mở lại blog MalwareTech lập từ năm 2013 và chia sẻ các kỹ thuật liên quan tới mã độc, thu hút cả khách “mũ trắng” và “mũ đen”. Cậu cũng dịch ngược mã nguồn và phân tích các botnet lớn như Kelihos hay Necurs.

Không lâu sau, Salim Neino, CEO của hãng bảo mật Kryptos Logic (Mỹ), gửi email cho MalwareTech đề nghị cậu làm việc cho họ: xây dựng hệ thống theo dõi các botnet để cảnh báo nạn nhân nếu địa chỉ IP của họ xuất hiện trong mạng máy tính ma. Neino trả Hutchins 10.000 USD.

Sau khi hoàn thành công việc đầu tiên, Hutchins phát triển công cụ theo dõi botnet thứ hai. Kryptos Logic mời cậu về làm với mức lương lên tới sáu chữ số. Hutchins tưởng Neino đang đùa: “Gì cơ? Ông định trả cho tôi ngần này tiền mỗi tháng?”.

“Xét về nghiên cứu botnet, cậu ấy là một trong những người giỏi nhất thế giới. Chỉ trong khoảng 3-4 tháng, chúng tôi đã theo dõi mọi botnet toàn cầu”, Neino nói.

Hutchins vẫn đăng bài trên MalwareTech và Twitter. Ngoài Kryptos Logic và vài bạn thân, không ai biết danh tính người đứng sau MalwareTech.

Mùa thu 2016, mã độc Mirai xuất hiện, lây lan trên thiết bị IoT và tạo ra những cuộc tấn công DDoS với mức độ “khủng khiếp”, khiến Internet tại Mỹ và châu Âu ngưng trệ, hay đánh gục hạ tầng mạng quốc gia của Liberia. Trong các cuộc DDoS lớn nhất trước đó, botnet có thể tạo lưu lượng truy cập vài trăm gigabit/giây, còn với Mirai, nạn nhân bị tấn công với lưu lượng lên đến 1,1 terabit mỗi giây.

Tháng 1/2017, một cuộc tấn công tương tự nhằm vào ngân hàng lớn nhất nước Anh Lloyds, khiến hệ thống không thể truy cập nhiều lần trong vài ngày.

Hutchins lần theo cơn sóng thần Mirai và phát hiện thông tin liên lạc của hacker đứng sau. Cậu nhanh chóng liên hệ, chia sẻ cho hacker về tình cảnh của khách hàng Lloyds khi không thể vào được tài khoản, một số mắc kẹt ở nước ngoài mà không có tiền. Cậu cũng khuyến cáo ngân hàng là cơ sở hạ tầng quan trọng nên cơ quan tình báo Anh sẽ sớm tìm ra kẻ điều khiển botnet.

Các cuộc DDoS ngân hàng dừng lại. Hutchins kể lại câu chuyện trên Twitter, nói cậu không ngạc nhiên khi hacker lắng nghe. “Rất ít người thực sự xấu xa, đa số chỉ là xa rời nỗi khổ của nạn nhân, không cảm nhận được hậu quả. Cho tới khi ai đó kết nối với họ”, cậu nói.

Người hùng diệt WannaCry

Ngày 12/5/2017, Hutchins bắt đầu kỳ nghỉ kéo dài một tuần.

Hôm ấy, Henry Jones, bác sĩ gây mê ở Bệnh viện Hoàng gia London cách đó hơn 300 km, bắt đầu thấy điều gì đó không ổn. Ông và đồng nghiệp không thể đăng nhập vào hệ thống email. Thực ra, họ đã quen với việc này vì máy tính của họ vẫn đang chạy Windows XP, hệ điều hành đã gần 20 năm tuổi.

Sau đó, chuyên gia IT tới và giải thích một virus đang lan khắp mạng lưới bệnh viện nước Anh. Một PC trong phòng khởi động lại và Jones thấy thông điệp rằng các file đã bị mã hóa, cần trả số bitcoin trị giá 3.000 USD để chuộc lại.

Jones được thông báo mọi ca phẫu thuật bị hoãn vì máy tính dừng hoạt động. Trong vài giờ, virus mã hóa dữ liệu tại phòng khám của hơn 600 bác sĩ, khiến 20.000 cuộc hẹn bị hủy, cũng như làm ngưng trệ hoạt động ở hàng chục bệnh viện. “Có bệnh nhân có thể phải chết vì việc này”, Jones nghĩ.

Các chuyên gia bảo mật gọi mã độc là WannaCry (Muốn khóc). Nó nguy hiểm bởi có thể làm biến mất toàn bộ dữ liệu và có tốc độ lây lan còn nhanh hơn các đại dịch lớn trong lịch sử. WannaCry khai thác lỗ hổng EternalBlue trên hệ điều hành Windows. Không chỉ hệ thống y tế Anh, nó ảnh hưởng tới hãng đường sắt Deutsche Bahn (Đức), nhà sản xuất ôtô Renault, Nissan, Honda, các sở cảnh sát ở Ấn Độ, hãng viễn thông Tây Ban Nha Telefónica, hãng chuyển phát FedEx và cả Boeing… Mức độ thiệt hại, ước tính trong buổi chiều hôm đó, là từ 4 tỷ đến 8 tỷ USD.

14h30, Marcus Hutchins mở máy tính và thấy thế giới Internet đang hoảng loạn. “Tôi chọn đúng tuần quái quỷ để nghỉ ngơi”, cậu viết trên Twitter.

Trong vài phút, một người bạn hacker có tên Kafeine gửi Hutchins đoạn sao chép mã WannaCry. Cậu phát hiện trước khi mã hóa file, mã độc gửi lệnh tới trang web có địa chỉ như được gõ bừa iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Khi một mã độc kết nối tới domain như vậy, thường có nghĩa nó đang liên lạc với một máy chủ điều khiển và ra lệnh từ xa. Hutchins chép địa chỉ vào trình duyệt và ngạc nhiên thấy site không tồn tại. Cậu lập tức vào dịch vụ đăng ký tên miền Namecheap và mua tên miền này với giá 10,69 USD. Hutchins hy vọng có thể kiểm soát một phần những máy tính nhiễm WannaCry từ tác giả mã độc, hay ít nhất có thể theo dõi số lượng và vị trí của máy tính bị nhiễm. Hành động này được giới bảo mật gọi là kỹ thuật sinkhole.

Ngay sau khi thiết lập tên miền trên cụm máy chủ của Kryptos Logic, nó bị dội về hàng nghìn kết nối từ những thiết bị “dính” WannaCry trên toàn cầu. Hutchins chia sẻ điều này lên Twitter và lập tức nhận hàng trăm email từ các nhà nghiên cứu, nhà báo, quản trị hệ thống…

Trong khoảng bốn giờ tiếp theo, cậu dựng bản đồ theo dõi lượt lây nhiễm mới, như cậu từng làm với botnet Kelihos, Necurs… Trước khi mã hóa file, mã độc kết nối tới địa chỉ web của Hutchin. Nếu không kết nối được, nó sẽ phá hủy nội dung trên máy tính. Nói cách khác, nếu tên miền của Hutchins tiếp tục hoạt động, các ca nhiễm mới vẫn lan rộng nhưng không gây thiệt hại vì mã độc đã bị cô lập. Hutchins đã tìm ra “công tắc” tắt mã độc.

“Nếu tên miền sập, khủng hoảng WannaCry sẽ được tái khởi động”, cậu nói.

Ngay sau đó, một trong những botnet của mã độc Mirai mở cuộc tấn công DDoS với mục tiêu kéo sập tên miền Hutchins đang nắm giữ. Thậm chí, cảnh sát Pháp hiểu lầm tên miền sinkhole này thuộc về những tên tội phạm đứng sau WannaCry nên đã thu giữ hai máy chủ của công ty Kryptos. Trong một tuần, Hutchin gần như không ngủ để giữ “công tắc” tắt WannaCry không bị đụng tới.

Trong lúc đó, danh tính của Hutchins cũng bị phát hiện. Sáng 14/5/2017, một nhà báo xuất hiện trước cửa nhà Hutchins bởi cô nhận ra cậu qua một bức ảnh trên Facebook với chú thích MalwareTech. Báo chí Anh bắt đầu đăng loạt bài về “người cứu thế giới từ phòng ngủ”. Hutchins thậm chí phải nhảy qua tường rào sau nhà để tránh phóng viên. Để không bị làm phiền, cậu chỉ đồng ý trả lời phỏng vấn AP, thậm chí căng thẳng tới mức còn đọc sai họ của mình.

Hutchins căng thẳng bởi lo ngại kẻ đứng đằng sau sẽ tung ra phiên bản mới của WannaCry để loại bỏ “công tắc” của cậu. Nhưng điều đó không xảy ra. Khi mối nguy hiểm qua đi, “sếp” Neino cảm thấy lo lắng cho tình trạng sức khỏe của Hutchins. Một tuần sau khi WannaCry bùng phát, cậu được trả hơn 1.000 USD cho mỗi giờ ngủ.

Hutchins thu hút hơn 100.000 người theo dõi trên Twitter. Những người lạ cũng nhận ra và mời cậu đồ uống để cảm ơn vì cứu Internet. Nhưng phải tới hội thảo hacker Defcon ba tháng sau đó, Hutchins mới thực sự cảm nhận cậu là “ngôi sao nhạc rock” của thế giới bảo mật.

Đã ba năm trôi qua kể từ vụ Kronos, cuộc sống vẫn tốt đẹp. Cậu cho phép mình quên đi nỗi lo rằng hành động phạm pháp của mình sẽ phải trả giá. Cho tới ngày cuối ở Las Vegas, khi cậu nhìn thấy chiếc SUV màu đen.

Hutchins thú nhận với FBI rằng cậu tạo một phần mã độc Kronos nhưng đã dừng phát triển nó trước khi 18 tuổi. Nhưng mọi hy vọng tiêu tan khi các điều tra viên cho cậu xem bản in đoạn chat với Randy khi cậu đã qua tuổi 20, trong đó cậu nói sẽ gửi Randy bản sao của Kronos.

“Thành thật mà nói, Marcus, chuyện này không dính dáng tới WannaCry”, Lee Chartier, điều tra viên với mái tóc đỏ, nói và rút ra lệnh bắt giữ Hutchins. Đêm đầu tiên bị tạm giam ở nơi cách xa quê hương hơn 8.000 km là khoảng thời gian cô đơn nhất trong đời hacker 23 tuổi.

“Người hùng diệt WannaCry bị bắt tại Mỹ” là tiêu đề của hàng loạt bài báo vào ngày hôm sau. Những cuộc tranh cãi nổ ra trên mạng và trong giới bảo mật. Nhiều người ủng hộ Hutchins, nhưng cũng nhiều người tìm lại các hoạt động phạm pháp của cậu trên HackForums. Hutchins sau đó được tại ngoại với số tiền bảo lãnh 30.000 USD.

Tháng 4/2019, Hutchins đồng ý với một thỏa thuận rằng cậu sẽ nhận hai tội danh để các công tố viên giảm 8 tội danh khác. Với mỗi tội, Hutchins đối mặt 5 năm tù giam và khoản tiền phạt 250.000 USD.

“Tôi nhận hai tội liên quan tới việc viết mã độc nhiều năm trước khi tham gia công việc bảo mật. Tôi hối hận về hành động này và chịu mọi trách nhiệm cho lỗi lầm của mình”, Hutchins viết trên website.

Tuy nhiên, trong phiên tòa ở Milwaukee (Mỹ) tháng 7/2019, Hutchins được thả tự do, được phép trở lại Anh dưới sự giám sát và không bị phạt bất cứ khoản tiền nào.

“Tôi không muốn là người chặn WannaCry hay người viết mã Kronos. Tôi chỉ muốn là ai đó có thể giúp mọi thứ tốt đẹp hơn”, Hutchins, nhìn lên những ngọn đồi ở Malibu, nói.

Nguồn: antoanthongtin

Do các dữ liệu này là tài sản có giá trị cao , nên có rất nhiều đối tượng quan tâm và tìm cách chiếm đoạt. Đối tượng đó có thể là đối thủ cạnh tranh, có thể là nhân viên bên trong muốn lấy cắp để bán ra bên ngoài, để trục lợi cá nhân… Và theo nghiên cứu của các tổ chức quản lý  thì trong những năm gần đây, các  mối đe dọa bị mất cắp dữ liệu , mất thông tin “nhạy cảm” của doanh nghiệp ngày nhiều và không ngừng phát triển với tốc độ đáng kinh ngạc.

Sau đại dịch Covid-19, việc các doanh nghiệp tăng cường cho phép làm  việc từ xa kết hợp với quá trình chuyển đổi số của nhiều tổ chức đã tạo ra cơ hội mới cho tội phạm mạng, chuyên lấy cắp dữ liệu theo đơn đặt hàng của các đối thủ cạnh tranh  ngày càng nhiều và thị trường nhận đặt hàng lấy cắp dữ liệu đã gây thiệt hại  đến hàng tỷ USD cho những tổ chức,doanh nghiệp nạn nhân.

Vì thế để phát triển bền vững, để phát hiện sớm các rủi ro gây hại thì các doanh nghiệp cần phải có ý thức tự bảo vệ chính mình, bảo vệ tài sản trí tuệ, bảo vệ tài sản dữ liệu “nhạy cảm”, tài sản thông tin bí mật kinh doanh của chính mình, đừng bao giờ để “ Mất bò mới lo làm chuồng” , đừng để khủng hoảng không mong muốn xẩy ra rồi mới có phương án xử lý thì quá muộn.

Để có thể giúp các doanh nghiệp có thông tin , có phương án , có giải pháp chủ động bảo vệ chính mình, trung tâm  Athena tổ chức buổi Tọa  Đàm Trực Tuyến  với chủ đề : “ BẢO VỆ & NGĂN NGỪA KHỦNG HOẢNG MẤT DỮ LIỆU “NHẠY CẢM” TẠI  DOANH NGHIỆP “

Thông qua buổi tọa đàm trực tuyến này, các doanh nghiệp có thể giao lưu và đặt câu hỏi trực tiêp với :

•  Thầy Võ Đỗ Thắng – Giám đốc Trung tâm Tư Vấn và Đào tạo An ninh mạng Athena
•  Thầy Trương Thái Kiệt – Giảng viên trung tâm Athena

Thời gian 9:30 Ngày 30/03/2023

Hình thức : Online qua Google Meets .

Nội dung TỌA ĐÀM TRỰC TUYẾN :  “ BẢO VỆ & NGĂN NGỪA KHỦNG HOẢNG MẤT DỮ LIỆU NHẠY CẢM TẠI  DOANH NGHIỆP “

• Các mối đe dọa đánh cắp dữ liệu nhạy cảm từ bên trong và bên ngoài nhắm  vào doanh nghiệp
• Làm thế nào để ngăn chặn từ nguồn, từ gốc các mỗi đe dọa
• Xây dựng kịch bản phòng ngừa rủi ro , ngăn chặn khủng hoảng nếu bị de dọa và tấn công
• Hỏi đáp các vấn đề liên quan phòng ngừa rủi ro, phòng ngừa mấy dữ liệu quan trọng dành riêng cho CEO, lãnh đạo tổ chức, doanh nghiệp

• Quà tặng voucher ưu đãi khóa học Athena trị giá đến 400.000đ cho các khách tham gia buổi tọa đàm trực tuyến.

CÁC BẠN HÃY ĐIỀN THÔNG TIN ĐĂNG KÝ VÀ CÂU HỎI CẦN TƯ VẤN VÀO PHIẾU BÊN DƯỚI NHÉ :

[contact-form-7]

VAI TRÒ CỦA BẢO MẬT OT TRONG NGÀNH CÔNG NGHIỆP SẢN XUẤT

Bảo mật OT khác với công nghệ thông tin (Information Security – IT) khi OT được thiết kế để quản lý và giám sát các quy trình hệ thống vật lý, còn IT được thiết kế để làm việc với dữ liệu. Hệ thống OT thường sử dụng các giao thức và phần cứng độc quyền có tuổi thọ lớn và thường chưa được cân nhắc đến bảo mật khi tạo ra, điều này có thể dẫn đến những rủi ro và điểm yếu tạo điều kiện cho các cuộc tấn công mạng.

Để giảm thiểu những rủi ro trên, điều quan trọng là các doanh nghiệp phải hiểu sự khác biệt về nhân lực, quy trình và công nghệ giữa bảo mật OT và IT, đồng thời làm theo các bước để bảo mật hệ thống OT của họ. Điều này bao gồm triển khai các biện pháp kiểm soát truy cập mạnh mẽ, đảm bảo quyền truy cập từ xa vào ICS, triển khai các bản cập nhật và bản vá bảo mật hợp lý cũng như tiến hành kiểm tra xâm nhập thường xuyên. Ngoài ra, các doanh nghiệp nên thiết lập sự phân chia trách nhiệm rõ ràng (nhân lực, quy trình và công nghệ) giữa các nhóm IT và OT để đảm bảo rằng bảo mật OT đang được giải quyết đúng cách.

Khi thế giới đang số hóa tài liệu một cách mạnh mẽ, các doanh nghiệp phải hiểu tầm quan trọng của việc duy trì an ninh mạng ổn định, mạnh mẽ trong cả hệ thống IT và OT để ngăn chặn các cuộc tấn công mạng và bảo vệ hoạt động của họ.

5 LƯU Ý GIÚP CỦNG CỐ BẢO MẬT OT CHO DOANH NGHIỆP SẢN XUẤT

Lên kế hoạch chi tiết ngay từ lúc bắt đầu triển khai

Doanh nghiệp bắt buộc phải chủ động thực hiện các bước để nâng cao an ninh mạng OT. Những bước này có thể bao gồm tiến hành đánh giá bảo mật thường xuyên, triển khai các biện pháp bảo mật nhiều lớp, thường xuyên cập nhật phần mềm và phần cứng, đào tạo nhân viên về các phương pháp phổ biến về an ninh mạng và đưa ra kế hoạch ứng phó sự cố.

Các doanh nghiệp nên cân nhắc kỹ lưỡng việc hợp tác với một chuyên gia an ninh mạng đáng tin cậy để đánh giá đúng tình trạng bảo mật hiện tại của họ, xác định các lỗ hổng tiềm ẩn và triển khai các giải pháp giám sát bảo mật liên tục. Bằng cách đó, họ có thể đảm bảo hệ thống điều khiển công nghiệp của mình được an toàn và được bảo vệ trước các cuộc tấn công mạng. Việc lên kế hoạch bảo mật OT đúng đắn ngay từ các bước đầu tiên sẽ đảm bảo hệ thống của doanh nghiệp hoạt động trơn tru và hiệu quả.

Biên soạn bản kiểm kê tài sản chính xác

Bản kiểm kê tài sản là danh sách đầy đủ về tất cả phần cứng, phần mềm và các tài nguyên khác tạo nên môi trường OT của tổ chức. Nó được sử dụng để xác định tất cả các hệ thống ICS, bộ điều khiển logic khả trình (PLC), hệ thống điều khiển giám sát và thu thập dữ liệu (SCADA) cũng như các thiết bị khác có thể tạo thành cơ sở hạ tầng OT của một doanh nghiệp.

Việc kiểm kê tài sản rất quan trọng vì nhiều lý do:

– Tính minh bạch: Bằng cách tạo kho lưu trữ tất cả các thiết bị trong môi trường OT, các doanh nghiệp sẽ có được cái nhìn toàn diện về hệ thống của họ và xác định bất kỳ lỗ hổng bảo mật tiềm ẩn nào.

– Đánh giá rủi ro: Có thể sử dụng bản kiểm kê tài sản để đánh giá các rủi ro liên quan đến từng thiết bị, bao gồm tác động tiềm ẩn của vi phạm an ninh và các khả năng xảy ra. Thông tin này có thể được sử dụng để ưu tiên bảo mật và phân bổ nguồn lực cho các khu vực có rủi ro hoặc lỗ hổng lớn nhất.

– Tính pháp lý: Nhiều ngành công nghiệp, chẳng hạn như ngành năng lượng, phải tổ chức duy trì kiểm kê tài sản của họ theo quy định pháp lý.

– Ứng phó hiệu quả: Trong trường hợp vi phạm an ninh hoặc sự cố xảy ra, bản kiểm kê tài sản có thể được sử dụng để xác định các thiết bị và hệ thống bị ảnh hưởng, từ đó có biện pháp ứng phó hiệu quả.

Kiểm kê tài sản là bước quan trọng đầu tiên và đang trở thành thông lệ trong việc đảm bảo môi trường OT của doanh nghiệp. Bản kiểm kê này phải được cập nhật liên tục để phản ánh mọi thay đổi về cơ sở hạ tầng và tài sản công nghiệp quan trọng.

Thực hiện các biện pháp đảm bảo an toàn thông tin phù hợp

Sau khi xác định và hiểu về hệ thống của mình cũng như các yếu tố rủi ro tiềm ẩn, các doanh nghiệp có thể bắt đầu triển khai các biện pháp an toàn kỹ thuật số vào thực tế. Một số lưu ý mà doanh nghiệp có thể thực hiện bao gồm:

– Bảo vệ điểm cuối: Triển khai các giải pháp bảo vệ điểm cuối, chẳng hạn như phần mềm diệt virus và tường lửa, để ngăn chặn lây nhiễm phần mềm độc hại và hành vi truy cập trái phép vào mạng.

– Giám sát mối đe dọa theo thời gian thực: Thiết lập hệ thống giám sát và cảnh báo theo thời gian thực có thể phát hiện hoạt động bất thường hoặc trái phép và cảnh báo cho nhân viên quản trị. Các doanh nghiệp cũng có thể sử dụng công nghệ học máy và trí tuệ nhân tạo để phát hiện các điểm bất thường và các mối đe dọa mà con người không dễ nhận thấy. Điều này có thể bao gồm các hệ thống phát hiện xâm nhập (IDS), hệ thống ngăn chặn xâm nhập (IPS) và các công cụ quản lý sự kiện và thông tin bảo mật (SIEM).

– Truy cập từ xa an toàn: Triển khai các giải pháp truy cập từ xa an toàn như mạng riêng ảo (VPN). Điều này có thể giúp ngăn chặn truy cập trái phép vào mạng, ngay cả khi nhân viên đang làm việc từ xa.

– Tuân thủ các tiêu chuẩn Bảo vệ cơ sở hạ tầng quan trọng: Tuân thủ các tiêu chuẩn của North American Electric Reliability Corporation, công ty cung cấp các hướng dẫn để đảm bảo an toàn cho hệ thống điện lớn ở Bắc Mỹ.

 – Kiểm tra xâm nhập thường xuyên: Tiến hành kiểm tra xâm nhập thường xuyên để xác định và đánh giá các lỗ hổng tiềm ẩn trong mạng. Điều này có thể giúp các tổ chức xác định các điểm yếu cần cải thiện và thực hiện các biện pháp chủ động để giảm thiểu rủi ro.

– Ứng phó sự cố: Phát triển và thường xuyên kiểm tra kế hoạch ứng phó sự cố để phản ứng nhanh chóng và hiệu quả với các vi phạm hoặc gián đoạn an ninh. Điều này có thể bao gồm việc triển khai một nhóm ứng phó sự cố chuyên nghiệp và tiến hành các cuộc tấn công mô phỏng thử nghiệm thường xuyên để đánh giá sự sẵn sàng của doanh nghiệp.

Tiến hành diễn tập

Diễn tập là một phương pháp hữu dụng để doanh nghiệp chuẩn bị cho một cuộc tấn công mạng tiềm ẩn vào hệ thống của mình trong tương lai. Đây là cơ hội để tập hợp tất cả các bên liên quan, bao gồm cả giám đốc điều hành, nhằm thảo luận và mô phỏng một kịch bản vi phạm an ninh thực tế.

Diễn tập giúp xác định các lỗ hổng bảo mật tiềm ẩn trong doanh nghiệp liên quan đến con người, quy trình và công nghệ. Đồng thời, cho phép các nhóm có thể thực hành phản ứng sự cố bảo mật như khi có tình huống thật xảy ra. Bằng cách tập hợp tất cả các bên liên quan tham gia vào hoạt động này, doanh nghiệp có thể thúc đẩy sự hợp tác và hiểu biết tốt hơn giữa các nhóm khác nhau và đảm bảo mọi người đều nhận thức được vai trò của họ trong việc bảo vệ môi trường ICS.

Ngoài ra, việc các giám đốc điều hành tham gia vào cuộc diễn tập có thể giúp nâng cao nhận thức của thượng tầng tổ chức về các rủi ro và hạn chế của các biện pháp bảo mật IT trong việc bảo vệ các hệ thống công nghiệp và tầm quan trọng của việc có sẵn một chiến lược bảo mật OT toàn diện.

Phân công vai trò và lập kế hoạch ứng phó cũng như phục hồi sau tấn công

Có kế hoạch rõ ràng và chỉ định một nhóm chịu trách nhiệm về an toàn, an ninh mạng của OT là rất quan trọng để đảm bảo quản lý an ninh OT toàn diện, hiệu quả. Các vai trò và trách nhiệm cụ thể sẽ khác nhau tùy thuộc vào quy mô và mức độ phức tạp của tổ chức. Một số chỉ định vai trò, trách nhiệm phổ biến bao gồm:

– Giám đốc bảo mật thông tin (CISO): Trong các doanh nghiệp lớn, CISO có thể chịu trách nhiệm giám sát bảo mật tổng thể của tổ chức, bao gồm cả bảo mật IT và OT.

– Giám đốc thông tin (CIO): Trong một số doanh nghiệp, CIO có thể chịu trách nhiệm về cả bảo mật IT và OT. Sau đó, CIO sẽ giao trách nhiệm cụ thể cho các thành viên khác trong nhóm khi cần thiết.

– Giám đốc nhà máy: Trong các doanh nghiệp nhỏ hơn, người quản lý nhà máy có thể chịu trách nhiệm giám sát tính bảo mật của hệ thống OT.

Khi một nhóm được chỉ định chịu trách nhiệm, điều quan trọng là nhóm đó phải có đầy đủ các kỹ năng, kiến thức và nguồn lực cần thiết để quản lý bảo mật OT một cách hiệu quả. Điều này bao gồm hiểu biết chắc chắn về hệ thống, rủi ro và các yêu cầu bảo mật của doanh nghiệp, cũng như quyền truy cập vào các công cụ và công nghệ cần thiết để quản lý và giám sát hiệu quả tính bảo mật của các hệ thống OT.

Có sẵn một kế hoạch rõ ràng và sự nhiệt tình từ các nhóm làm việc có thể giúp các doanh nghiệp đảm bảo rằng hệ thống OT của họ được bảo mật và hoạt động trơn tru, giảm thiểu các nguy cơ ngừng hoạt động gây tốn kém và gián đoạn kinh doanh.

THỰC TRẠNG LƯU TRỮ WEB TRÊN ĐÁM MÂY

Các tổ chức, doanh nghiệp đang triển khai container hóa

Trong bối cảnh bảo mật ứng dụng web đang phát triển nhanh chóng, các TC/DN không ngừng nỗ lực để củng cố và phát triển cơ sở hạ tầng, đặc biệt là với sự gia tăng của môi trường làm việc kết hợp. Các TC/DN cập nhật cơ sở hạ tầng với việc sử dụng các ứng dụng phân tán, có thể mở rộng, dịch vụ lưu trữ đám mây công cộng cho các ứng dụng web của họ. Điều đó cho phép TC/DN dễ dàng truy cập dữ liệu và ứng dụng từ mọi nơi, tăng cường cộng tác và giảm nhu cầu bảo trì cơ sở hạ tầng vật lý. Tuy nhiên với giải pháp lưu trữ đám mây thì nội dung cần được kiểm tra mã độc và dữ liệu nhạy cảm để giảm thiểu rủi ro vi phạm dữ liệu và tính tuân thủ.

Theo khảo sát của OPSWAT, 97% TC/DN đã sử dụng hoặc lên kế hoạch triển khai container hóa (một quy trình triển khai phần mềm với khả năng đóng gói mã của ứng dụng cùng tất cả các tệp và thư viện cần thiết để chạy trên bất kỳ cơ sở hạ tầng nào) trong môi trường lưu trữ web của họ. Hành động này mang lại nhiều lợi ích, bao gồm tăng tính di động, hiệu quả, quản lý được dễ dàng và linh hoạt hơn. Mặc dù vậy, cũng có những rủi ro bảo mật ẩn sau quá trình này, nếu một container bị xâm phạm có thể gây nguy hiểm cho tính liên tục của hoạt động kinh doanh, khiến dữ liệu của người dùng có nguy cơ bị đánh cắp.

Nguy cơ và rủi ro từ tính năng tải tệp

Ngày nay, các ứng dụng web cho phép tệp tải lên được lưu trữ trên các nền tảng đám mây, bao gồm cơ sở hạ tầng dưới dạng dịch vụ (IaaS) và phần mềm dưới dạng dịch vụ (SaaS). Tin tặc đã sử dụng những thủ thuật tinh vi hơn như tải lên các tệp độc hại hoặc sử dụng tên tệp có vẻ bình thường. Điều này cho thấy sự cần thiết của các biện pháp bảo mật mạnh mẽ để bảo vệ chống lại các cuộc tấn công của mã độc từ các tệp tải lên. Qua việc rà soát các ứng dụng web có chức năng tải tệp, OPSWAT đã tìm ra nhiều ứng dụng web của các TC/DN tại Việt Nam có nguy cơ bị tấn công thông qua các tệp tin có chứa mã độc. Theo nghiên cứu “An ninh mạng cho ứng dụng web ở Việt Nam” do OPSWAT và Hiệp hội An toàn thông tin Việt Nam (VNISA) thực hiện, ngày nay có hàng trăm ứng dụng web có tính năng nhận tệp được tải lên mà không bao gồm bước xác thực người dùng, điều này có thể gây ra những nguy cơ tiềm ẩn từ việc các tin tặc có thể xâm nhập vào các hệ thống mục tiêu và chèn mã độc cũng như đánh cắp thông tin. Theo nghiên cứu, phần lớn các ứng dụng web này đều thuộc về các cơ quan, đơn vị trong ngành giáo dục (24%), dịch vụ (16%) và hành chính công (14%).

CÁCH TIẾP CẬN BẢO MẬT

Một tỷ lệ đáng kể các TC/DN ở tất cả các lĩnh vực đang có kế hoạch tăng ngân sách bảo mật cho năm 2023. Nguyên nhân của thực trạng này là do số lượng các cuộc tấn công mạng ngày càng tăng và tinh vi hơn, khi các TC/DN tiếp tục chuyển hoạt động của họ sang đám mây, nhu cầu về các biện pháp bảo mật hiệu quả càng trở nên cấp thiết hơn.

Tăng ngân sách không dẫn đến việc sử dụng nhiều chương trình anti-virus (AV) hơn. Mặt khác, một số TC/DN đang giảm số lượng công cụ AV mà họ sử dụng do lo ngại về chi phí (62% TC/DN sử dụng 5 công cụ AV trở xuống), điều này có thể khiến các TC/DN dễ bị tổn thương trước các mối đe dọa mới khi sử dụng quá ít giải pháp AV. Điều quan trọng là phải đạt được sự cân bằng giữa tính bảo mật và tính thực tế khi nói đến các chiến lược AV của họ.

Báo cáo cho biết các TC/DN lớn thường sử dụng công nghệ CDR (Content Disarm and Reconstruction) để bảo mật máy tính giúp loại bỏ mã độc hại tiềm ẩn khỏi các tệp. Sau đó các tệp được xây dựng lại và trả về định dạng ban đầu mà không ảnh hưởng đến chức năng của chúng. Sở dĩ các TC/DN lớn có thể có nhiều khả năng triển khai CDR hơn vì họ thường xử lý một lượng lớn tệp dữ liệu, khiến họ dễ bị tấn công mạng. Bên cạnh đó là hệ thống và cơ sở hạ tầng công nghệ thông tin phức tạp, khiến việc phát hiện và giảm thiểu các mối đe dọa trở nên khó khăn hơn. Các TC/DN vừa và nhỏ cũng có thể hưởng lợi rất nhiều từ việc áp dụng CDR như một biện pháp chủ động chống lại các mối đe dọa mạng.

Số lượng các công cụ AV được các TC/DN sử dụng

PHÒNG CHỐNG CÁC CUỘC TẤN CÔNG ỨNG DỤNG WEB

Để giảm thiểu và phòng chống hiệu quả các cuộc tấn công ứng dụng web, các TC/DN nên kết hợp một số phương pháp được khuyến nghị dưới đây từ các chuyên gia an ninh mạng như sau:

– Lưu trữ đám mây an toàn: Các giải pháp lưu trữ an toàn cung cấp thêm một lớp bảo mật cho các giải pháp đám mây như Azure và AWS. Các giải pháp này tuân theo khuôn khổ bảo mật trách nhiệm chung, trong đó nhà cung cấp đám mây chịu trách nhiệm bảo mật cơ sở hạ tầng và khách hàng chịu trách nhiệm bảo mật dữ liệu và ứng dụng của họ. Bằng cách triển khai các giải pháp lưu trữ an toàn, các TC/DN có thể đảm bảo tính bảo mật, toàn vẹn và khả dụng của dữ liệu được lưu trữ trên đám mây.

– Cải thiện khả năng phân tích mã độc với giải pháp Next-Gen Sandboxes (NGS): Các ứng dụng web được lưu trữ trong container, tại chỗ (on-premise) và trên đám mây có thể hưởng lợi từ giải pháp NGS và thông tin tình báo về mối đe dọa. Những công nghệ này mang lại hiệu quả phát hiện cao hơn, báo cáo chi tiết và phân tích tệp nhanh hơn, đồng thời giảm thiểu rủi ro của các tệp độc hại và các cuộc tấn công mạng.

– Sử dụng kỹ thuật Fuzzy Hashing: Đây là một kỹ thuật nhận dạng chương trình mã độc qua mã băm và được bổ sung thêm các phân tích và tính toán để từ một mã băm của mã độc có thể nhận ra các mã băm “họ hàng”. Bằng cách tạo các giá trị băm duy nhất cho các tệp tương tự, nó cho phép phát hiện hiệu quả nội dung gần trùng lặp hoặc nội dung đã sửa đổi. Tính năng này giúp tăng cường khả năng phát hiện mã độc, chống trùng lặp dữ liệu và điều tra số, cải thiện khả năng phát hiện mối đe dọa tổng thể.

– Phát hiện các lỗ hổng dựa trên tệp và ứng dụng: Công nghệ đánh giá lỗ hổng mang lại lợi ích bảo mật quan trọng với việc xác định các điểm yếu và sai sót trong tệp và ứng dụng. Điều này cho phép chủ động khắc phục, giảm thiểu rủi ro khai thác và truy cập trái phép, nâng cao an toàn và bảo vệ dữ liệu nhạy cảm khỏi các vi phạm tiềm ẩn.

– Xác thực định dạng tệp tin: Để che dấu nội dung độc hại, tin tặc thường thay đổi định dạng tệp tin để giả mạo nhằm lẩn tránh bị phát hiện. Với phương pháp này, các TC/DN nên sử dụng các phần mềm bảo mật chuyên dụng để định dạng tệp tin mà người dùng tải lên.

– Vị trí lưu trữ tệp tin: Các chuyên gia khuyến nghị cần chọn địa điểm lưu trữ các tệp tin theo mức độ an ninh và yêu cầu, ví dụ như lưu trữ tệp tin tại máy chủ khác, vì TC/DN có thể tách biệt hoàn toàn ứng dụng phục vụ người dùng và máy chủ quản lý việc tải và lưu trữ tệp tin. Nếu cần phải truy cập tệp tin, các tổ chức cần có cơ chế kiểm soát phù hợp, ví dụ như IP nội bộ, xác thực danh tính,…

– Quản lý phân quyền: Trước khi người dùng truy cập vào dịch vụ, họ cần phải được xác thực danh tính để định danh thông tin đã đăng ký. Quản trị viên nên phân quyền tương ứng với nhiệm vụ và vai trò trong quá trình làm việc, phân quyền theo nhóm, chi tiết đến từng chức năng nhỏ và phạm vi của người dùng. Các TC/DN nên thiết lập quyền truy cập cho các tệp tin dựa theo nguyên tắc đặc quyền tối thiểu cho tất cả mọi tài khoản trên các ứng dụng.

– Giới hạn dung lượng tệp tin: Các ứng dụng nên giới hạn cho tính năng tải tệp nhằm tránh quá tải tính năng lưu trữ tệp tin. Nếu hệ thống phải giải nén và xử lý tệp tin, TC/DN nên xác định giới hạn dung lượng tệp tin sau khi đã giải nén và tính toán dung lượng tệp tin nén bằng biện pháp an toàn.

– Sử dụng cookie an toàn: Cookie cũng có thể bị các tin tặc thao túng nhằm chiếm quyền truy cập và thực hiện các hành vi đe dọa khác. Các TC/DN nên xem xét cài đặt cookie để giảm thiểu rủi ro bị tấn công, bao gồm việc không sử dụng cookie để lưu trữ thông tin quan trọng như mật khẩu, đặt thời gian hết hạn hay mã hóa thông tin được lưu trữ trong cookie.

– Nâng cao nhận thức người dùng: Phần lớn người dùng cuối sẽ không nhận ra được các rủi ro liên quan tới bảo mật ứng dụng web. Vì thế, các TC/DN cần tổ chức thường xuyên các khóa đào tạo, nâng cao nhận thức của người dùng về các mối đe dọa tấn công ứng dụng web, trang bị kỹ năng an toàn và đảm bảo người dùng có thể nhận biết cũng như cách thức xử lý phù hợp các vấn đề.

– Kết hợp các nền tảng và giải pháp bảo mật web: Các TC/DN nên ứng dụng nhiều công nghệ bảo mật vào hệ thống để có thể bảo vệ ứng dụng web một cách toàn diện, ví dụ như các công cụ AV; hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS); hệ thống tường lửa nhiều lớp, bao gồm tường lửa ứng dụng web (WAF); giải pháp phòng chống thất thoát dữ liệu (DLP);… Tuy nhiên, việc cài đặt, sử dụng nhiều công nghệ bảo mật khác nhau có thể mang tới vấn đề mới đó là sự phức tạp trong quản lý vận hành, cũng như chi phí cao.

KẾT LUẬN

Các tin tặc luôn phát triển, đặc biệt là về quy mô, kỹ thuật và chiến thuật để thực hiện tấn công. Các ứng dụng web chứa đựng những thông tin có giá trị, vì thế đây là mục tiêu tấn công hàng đầu của tin tặc trong những năm qua, báo cáo của OPSWAT cho thấy thực trạng và các mối nguy cơ tấn công mạng từ việc tải tệp lên cũng như việc triển khai container hóa. Nắm bắt được những rủi ro và đưa ra các biện pháp bảo mật phù hợp là điều mà các TC/DN cần phải thực hiện nhằm bảo mật ứng dụng web được an toàn và hoạt động hiệu quả.

MỘT SỐ RỦI RO KHI TRẺ EM SỬ DỤNG TIKTOK

1. Về thể chất

– Ngồi và đứng lâu: Sử dụng TikTok thường sẽ trong thời gian dài, buộc trẻ em phải ngồi hoặc đứng một chỗ mà không thể tập trung vào các hoạt động khác. Điều này có thể dẫn đến đau lưng, đau cổ và mệt mỏi chung trong vùng cổ và lưng của trẻ.

– Mỏi và chói mắt: Xem các video trên TikTok trong thời gian dài có thể làm mắt trẻ mệt mỏi và gây chói mắt, đặc biệt là khi có sự chuyển động giữa các video với ánh sáng mạnh và tối.

– Mất điều chỉnh thị giác: Các hiệu ứng hình ảnh nhanh và đa dạng trên TikTok có thể ảnh hưởng đến sự phát triển của thị giác ở trẻ, gây mất điều chỉnh thị giác và có thể dẫn đến các vấn đề liên quan đến thị lực.

2. Về tâm lý

– Nghiện điện thoại: TikTok là một ứng dụng với nhiều nội dung hấp dẫn và không giới hạn. Điều này khiến trẻ em dễ bị nghiện và tiêu tốn quá nhiều thời gian trên nền tảng này, làm giảm thời gian học tập và các hoạt động khác trong cuộc sống.

– Áp lực và căng thẳng: Trên TikTok, có áp lực để tạo ra các video hoàn hảo, thu hút được nhiều lượt thích và theo dõi. Điều này dễ dẫn đến căng thẳng và lo lắng cho trẻ em khi cảm thấy cần phải duy trì một hình ảnh hoàn hảo trên mạng xã hội này.

– Ảnh hưởng đến sức khỏe tâm lý: Sử dụng TikTok quá mức có thể gây ra sự cô lập và làm mất đi sự kết nối xã hội trong thế giới thực của trẻ, làm giảm sức đề kháng với căn bệnh tự kỷ và sự phát triển tâm lý.

Một số chuyên gia chăm sóc sức khỏe cảnh báo thiết kế của TikTok thúc đẩy hành vi gây nghiện, ảnh hưởng đến khả năng nhận thức, thậm chí gây lo lắng hay trầm cảm, hiện tượng được gọi là “bộ não TikTok”.

3. Rủi ro về thông tin cá nhân

TikTok thu thập dữ liệu của người dùng bằng cách theo dõi các loại nội dung mà người dùng thích và chia sẻ trên ứng dụng. Trong chính sách bảo mật của mình, TikTok tuyên bố rằng họ thu thập thông tin người dùng cung cấp trong ngữ cảnh soạn, gửi hoặc nhận tin nhắn. Tập trung vào việc sử dụng từ “soạn” tin nhắn, TikTok không chỉ đối chiếu dữ liệu và thông điệp người dùng chia sẻ qua ứng dụng mà còn đối chiếu nội dung người dùng đã tạo hoặc viết nhưng không chia sẻ.

Ngoài ra, TikTok cũng tận dụng mọi quyền truy cập mà người dùng cấp, thu thập thông tin về kiểu điện thoại, độ phân giải màn hình, hệ điều hành được sử dụng hiện tại, số điện thoại, địa chỉ email, vị trí và thậm chí cả danh bạ trên thiết bị của người dùng.

Vì vậy, với kiến thức và những suy nghĩ còn non nớt, trẻ em rất dễ trở thành đối tượng bị lộ lọt các thông tin cá nhân và tấn công, xâm hại trên môi trường mạng.

MỘT SỐ BIỆN PHÁP NGĂN CHẶN, XỬ LÝ NỘI DUNG ĐỘC HẠI ĐỐI VỚI TRẺ EM

Đối với các cơ quan chức năng

– Tăng cường công tác hậu kiểm, thường xuyên rà quét thông tin trên mạng, đặc biệt là các mạng xã hội như Facebook, TikTok, Instagram, YouTube…, xử lý nghiêm minh, kịp thời các hành vi vi phạm đối với các hành vi sai trái, cung cấp thông tin xấu độc, bạo lực, không phù hợp thuần phong mỹ tục, đạo đức lối sống,… ảnh hưởng tiêu cực đến trẻ em.

– Thành lập Đoàn kiểm tra liên ngành, thực hiện kiểm tra toàn diện hoạt động của TikTok tại Việt Nam, kết quả phát hiện nhiều sai phạm trong việc thực thi các biện pháp bảo vệ trẻ em trên nền tảng:

+ Không có các biện pháp, công cụ bảo đảm an toàn về thông tin bí mật đời sống riêng tư của trẻ em.

+ Không gửi các thông điệp cảnh báo nguy cơ khi trẻ em cung cấp, thay đổi thông tin bí mật đời sống riêng tư của trẻ em.

+ Không thực hiện việc phát hiện, loại bỏ các hình ảnh, tài liệu, thông tin không phù hợp với trẻ em, ảnh hưởng đến sự phát triển lành mạnh của trẻ em.

+ Vẫn cho phép trẻ em dưới 13 tuổi mở tài khoản trong khi TikTok Singapore công bố nền tảng mạng xã hội TikTok chỉ dành cho người từ 13 tuổi trở lên….

– Bộ Thông tin và Truyền thông đã khuyến nghị Tiktok triển khai 4 nhóm biện pháp chính:

+ Xác thực thông tin tài khoản để phát hiện trường hợp trẻ em khai không đúng độ tuổi sử dụng TikTok, xóa các tài khoản trẻ em dưới 13 tuổi.

+ Giới hạn thời gian truy cập, sử dụng TikTok với người dưới 18 tuổi, không cho phép trẻ em kiếm tiền qua TikTok.

+ Bảo vệ thông tin cá nhân của trẻ em, khi đăng lên cần có sự đồng ý của trẻ em và cha mẹ, người chăm sóc, người giám hộ trẻ em hoặc video cần phải che mặt, làm mờ hình ảnh trẻ em trước khi đăng lên.

+ Cảnh báo về độ tuổi cho các video trên TikTok, kiểm soát chặt chẽ video có nội dung nhảm nhí, độc hại, không phù hợp với lứa tuổi. Ngoài ra, nghiên cứu xây dựng ứng dụng dành riêng cho trẻ em (app for kid) tại Việt Nam.

Đối với phụ huynh, thầy cô và người chăm sóc trẻ

– Liên tục gia tăng nhận thức và cập nhật về các rủi ro trên Internet và trên mạng xã hội đặc biệt là các thử thách nguy hiểm trên TikTok để trẻ hiểu và chủ động tránh xa hoặc thông báo với người thân khi gặp phải những điều đáng lo ngại.

– Dạy cho trẻ các kỹ năng mềm khi sử dụng Internet về cách ứng xử, thấu hiểu, bảo vệ bản thân không chỉ quan trọng ở thế giới thật mà còn trên thế giới ảo như Internet và mạng xã hội.

– Hướng dẫn trẻ về dấu chân kỹ thuật số (Digital Footprint): chẳng hạn như những gì trẻ gửi đi hoặc đăng tải sẽ tồn tại vĩnh viễn trên Internet và điều này dẫn đến rủi ro rất cao bị tấn công, xâm hại trực tuyến

– Tìm hiểu và sử dụng các sản phẩm hỗ trợ chặn lọc, quản lý nội dung mà con em mình truy cập trên Internet để có thể ngăn chặn, phát hiện sớm những nguy cơ tiềm ẩn mà trẻ có thể gặp phải.

– Để ý đến những dấu hiệu tinh thần bất thường của trẻ như: thức quá khuya, tránh xa các thành viên trong gia đình, đột nhiên không muốn dùng mạng xã hội, tự ti, ít nói,… đây rất có thể là dấu hiệu trẻ bị tấn công trên mạng hoặc trở thành nạn nhân của bạo lực trực tuyến.

Nguồn antoanthongtin.vn

Hiểu rõ hơn về ASRM

ASRM tập trung vào việc phân tích và quản lý rủi ro bề mặt tấn công của hệ thống, các điểm xâm nhập khác nhau vào hệ thống công nghệ thông tin (CNTT) của tổ chức, doanh nghiệp (TC/DN) mà tin tặc có thể sử dụng để truy cập trái phép. ASRM liên quan đến việc xác định và theo dõi các thuộc tính trực tuyến và nội dung mạng nào được công khai (hiển thị trên Internet). Điều này mang lại cho TC/DN khả năng xác định các lỗ hổng và lỗ hổng tiềm ẩn trong cơ sở hạ tầng CNTT, giúp phát triển các biện pháp bảo mật thích hợp để bảo vệ chúng trước các mối đe dọa.

Các quy trình và công cụ ASRM được phân loại thành ba lĩnh vực chính:

– Quản lý bề mặt tấn công bên ngoài: Xác định các tài sản CNTT công khai và giám sát chúng để phát hiện các lỗ hổng. Tập trung vào các cấu hình lỗi của máy chủ, các vấn đề về thông tin xác thực, lỗ hổng phần mềm của bên thứ ba và ưu tiên các điểm yếu dựa trên mức độ nghiêm trọng của rủi ro.

– Quản lý bề mặt tấn công tài sản mạng: Phát hiện và giám sát cả tài sản CNTT bên trong và bên ngoài. Dựa vào việc tích hợp API với các công cụ hiện có, cung cấp khả năng hiển thị có thể bị giới hạn bởi dữ liệu kiểm kê hiện có. Việc quản lý bề mặt tấn công tài sản chủ yếu giúp theo dõi tài sản nội bộ.

– Dịch vụ bảo vệ rủi ro kỹ thuật số: Cung cấp khả năng hiển thị trong các môi trường như web mở, web tối và phương tiện truyền thông xã hội để phát hiện các mối đe dọa tiềm ẩn đối với tài sản và dữ liệu kỹ thuật số. Nó có giá trị để đánh giá rủi ro toàn diện và bảo vệ thương hiệu nhưng không cung cấp bản kiểm kê tài sản CNTT được quản lý hoặc đánh giá rủi ro của chúng.

An ninh mạng chủ động với quản lý rủi ro bề mặt tấn công
Cách thức xây dựng và triển khai ASRM

Bước 1: Kiểm kê

Bước đầu tiên và quan trọng nhất để xây dựng và triển khai chương trình ASRM mạnh mẽ là phát triển kho tài sản CNTT toàn diện. Biết những gì đang có và nó ở đâu là bước đầu tiên để bảo vệ TC/DN. Duy trì hồ sơ cập nhật về phần cứng, phần mềm, người dùng và tài sản kỹ thuật số của TC/DN. Điều này sẽ giúp hiểu rõ hơn về bề mặt tấn công của mình và thực hiện các biện pháp chủ động chống lại các mối đe dọa tiềm ẩn. Một quy trình kiểm kê tốt cho phép thu thập và quản lý thông tin về ứng dụng, chủ sở hữu của chúng và dữ liệu mà chúng xử lý, tạo tiền đề cho giai đoạn đánh giá tiếp theo.

Bước 2: Tự đánh giá

Quá trình tự đánh giá đóng vai trò như một hoạt động kiểm tra thực tế để chủ sở hữu đánh giá mức độ tuân thủ của ứng dụng đối với các chính sách cụ thể. Trong giai đoạn tự đánh giá, các TC/DN cũng có thể làm phong phú thêm hồ sơ kiểm kê của mình bằng cách thu thập thêm thông tin về từng ứng dụng.

Bước 3: Báo cáo

Phát triển các báo cáo tóm tắt các ứng dụng và phát hiện của TC/DN từ quá trình tự đánh giá. Những báo cáo như vậy có thể nêu bật các xu hướng, rủi ro tiềm ẩn và bối cảnh bảo mật ứng dụng tổng thể, cung cấp thông tin cần thiết để lãnh đạo cấp cao ưu tiên ngân sách và sáng kiến, đồng thời để mọi người khác hiểu những mục tiêu cần hướng tới trong tương lai.

Bước 4: Phê duyệt của các bên liên quan

Do làn sóng các quy định về quyền riêng tư và an ninh mạng ngày càng gia tăng, điều quan trọng là phải đảm bảo rằng chủ sở hữu dữ liệu nội bộ phê duyệt cách sử dụng một số loại dữ liệu nhất định và liệu các rủi ro hoặc lỗ hổng bảo mật của ứng dụng có tương xứng hay không. Mặc dù đây có thể là một quy trình phức tạp nhưng các TC/DN nên có một giải pháp hiệu quả có thể gửi báo cáo đánh giá rủi ro ứng dụng và các thông tin chi tiết khác cho các bên liên quan chính cũng như gửi, nhận và theo dõi xác nhận của họ ở một nơi duy nhất.

Bước 5: Đăng ký rủi ro và quản lý ngoại lệ

Một chương trình ASRM thành công phải có khả năng theo dõi các rủi ro và ngoại lệ. Việc tạo ra văn hóa sở hữu rủi ro đảm bảo mọi người trong TC/DN hiểu được trách nhiệm của họ và tích cực nỗ lực khắc phục. Hơn nữa, việc theo dõi và cập nhật các ngoại lệ theo định kỳ là rất quan trọng. Lý tưởng nhất là việc tự đánh giá và đưa các phát hiện để có thể dễ dàng chỉ định và liên hệ các rủi ro với các bên liên quan, đơn vị và nhân viên.

Bước 6: Tự động hóa và lặp lại

Hiệu quả của chương trình quản lý rủi ro bảo mật ứng dụng chủ yếu phụ thuộc vào khả năng lặp lại và tự động hóa của nó. Các TC/DN phải thực hiện một quy trình liên tục để đảm bảo các ứng dụng được kiểm kê, đánh giá và theo dõi các rủi ro tiềm ẩn để khắc phục.

Hiệu quả của việc áp dụng ASRM

Việc áp dụng ASRM có ý nghĩa then chốt trong việc chuyển từ trạng thái phản ứng (giải quyết các vấn đề sau khi bị tấn công mạng) sang tư thế an ninh mạng chủ động. ASRM sẽ hoạt động khám phá, đánh giá và giảm thiểu liên tục hệ sinh thái CNTT của TC/DN. Điều này khác với việc phát hiện và giám sát tài sản ở chỗ, ASRM đánh giá các lỗ hổng bảo mật từ quan điểm của kẻ tấn công, bao gồm rủi ro về con người, quy trình và công nghệ. Để làm được điều đó đòi hỏi phải thực hiện liên tục ba giai đoạn vòng đời của rủi ro bề mặt tấn công: phát hiện, đánh giá và giảm thiểu.

Thực hiện tốt ASRM không chỉ mang lại bức tranh rõ ràng hơn về nhu cầu an ninh mạng cho TC/DN mà còn cung cấp phân tích chi phí, lợi ích thực tế hơn cho từng tài sản. Thu nhỏ bề mặt tấn công và sử dụng các nguồn lực tài chính một cách hiệu quả trong việc đảm bảo an toàn, an ninh mạng cho TC/DN.

Nguồn antoanthongtin.vn

GIA TĂNG TẤN CÔNG TRÊN CÁC THIẾT BỊ THÔNG MINH

Năm 2023 đánh dấu một năm báo động trong hoạt động khai thác các lỗ hổng trên thiết bị di động bằng phần mềm độc hại, điển hình là “Operation Triangulation” – một chiến dịch gián điệp mạng mới trên nền tảng iOS bằng việc phát tán mã độc thông qua các tin nhắn iMessage. Trong quá trình điều tra, GReAT đã xác định được 5 lỗ hổng trong iOS, bao gồm 4 lỗ hổng Zero-day. Những lỗ hổng này không chỉ ảnh hưởng đến điện thoại thông minh và máy tính bảng mà còn mở rộng sang máy tính xách tay, thiết bị đeo thông minh (wearables) và thiết bị thông minh (smart devices), bao gồm Apple TV và Apple Watch.

Trong năm 2024, có thể sẽ có thêm nhiều trường hợp tấn công nâng cao nhằm tận dụng các thiết bị tiêu dùng và công nghệ thông minh. Một xu hướng mới của các tác nhân đe dọa là mở rộng các hoạt động tấn công mạng sang các thiết bị IoT (Internet of Things) như camera thông minh, xe tự hành và hơn thế nữa. Nhiều tiện ích trong số này đều dễ bị ảnh hưởng bởi lỗ hổng bảo mật, cấu hình sai hoặc phần mềm lỗi thời, khiến chúng trở thành mục tiêu hấp dẫn và dễ dàng đối với những kẻ tấn công.

Trong chiến dịch Operation Triangulation, các hoạt động khai thác được thực hiện một cách kín đáo thông qua iMessage và được kích hoạt mà không cần sự tương tác của người dùng. Năm 2024, người dùng có thể sẽ chứng kiến các tác nhân đe dọa mở rộng nỗ lực giám sát, nhắm mục tiêu vào các thiết bị tiêu dùng khác nhau thông qua những lỗ hổng bảo mật và phương pháp khai thác lỗ hổng một cách bí mật, chẳng hạn như:

– Không cần nhấp chuột (Zero-click) thông qua các trình nhắn tin đa nền tảng phổ biến, cho phép tấn công mà không cần tương tác với nạn nhân tiềm năng.

– Một cú nhấp chuột (One-click) với việc gửi liên kết độc hại qua SMS hoặc ứng dụng nhắn tin, nơi nạn nhân có thể vô tình kích hoạt các cuộc tấn công bằng cách mở các liên kết này.

– Các tác nhân độc hại chặn lưu lượng mạng, ví dụ khai thác mạng Wifi – phương pháp ít phổ biến nhưng có khả năng đạt hiệu quả cao.

XÂY DỰNG CÁC MẠNG BOTNET MỚI VỚI PHẦN MỀM VÀ THIẾT BỊ HƯỚNG TỚI NGƯỜI DÙNG VÀ DOANH NGHIỆP

Một thực tế hiện nay là các lỗ hổng vẫn tồn tại trong các phần mềm và thiết bị phổ biến, dù cho mục đích sử dụng của cá nhân hay môi trường doanh nghiệp. Việc nghiên cứu các lỗ hổng, đặc biệt là các lỗ hổng nghiêm trọng và khắc phục chúng không phải lúc nào cũng được xử lý kịp thời. Điều này làm dấy lên mối lo ngại về khả năng xuất hiện các mối đe dọa mới, trong đó bao gồm các mạng lưới botnet quy mô lớn và được thiết lập để thực hiện các cuộc tấn công có chủ đích.

Xây dựng các mạng botnet liên quan đến việc cài đặt phần mềm độc hại một cách lén lút trên nhiều thiết bị mà chủ sở hữu thiết bị không hề hay biết. Các nhóm APT có thể đạt được nhiều mục đích khác nhau cho điều này. Đầu tiên, nó cho phép các tác nhân đe dọa che giấu mục tiêu thực sự của các cuộc tấn công diện rộng, khiến các quản trị viên công nghệ thông tin (CNTT) cũng như các giải pháp bảo mật gặp khó khăn trong việc xác định danh tính và động cơ của những kẻ tấn công. Hơn nữa, mạng botnet có thể bắt nguồn từ các thiết bị hoặc phần mềm của người dùng hoặc các tổ chức, qua đó không để rò rỉ cơ sở hạ tầng của kẻ tấn công. Chúng có thể hoạt động như các máy chủ proxy, trung tâm của máy chủ điều khiển và kiểm soát (C2) và trong trường hợp cấu hình mạng lỗi, chúng có thể là các điểm xâm nhập tiềm năng. Bản chất bí mật của các cuộc tấn công này đặt ra những thách thức trong việc phát hiện, đồng thời mang lại cho kẻ tấn công nhiều cơ hội xâm nhập và thiết lập sự hiện diện trong cơ sở hạ tầng của các mục tiêu.

CÁC CUỘC TẤN CÔNG MẠNG ĐƯỢC NHÀ NƯỚC BẢO TRỢ

Thời gian gần đây thế giới đã chứng kiến nhiều cuộc xung đột vũ trang diễn ra, trong đó, không gian mạng đóng một vai trò quan trọng trong việc hình thành thế trận mới có ảnh hưởng và tác động lớn đến cục diện chiến trường. Trong năm 2024, GReAT dự đoán sẽ có sự gia tăng các cuộc tấn công mạng do nhà nước bảo trợ khi căng thẳng địa chính trị gia tăng. Trong bối cảnh đó, các tổ chức truyền thông có thể được nhắm mục tiêu bởi mục đích phản tuyên truyền hoặc đưa thông tin sai lệch của đối phương.

Tin tặc sẽ chủ yếu tập trung vào việc đánh cắp dữ liệu, tấn công cơ sở hạ tầng CNTT và hoạt động gián điệp lâu dài. Ngoài ra, những kẻ tấn công sẽ không chỉ mã hóa dữ liệu mà chúng có thể phá hủy nó, gây ra mối đe dọa đáng kể cho các tổ chức dễ bị tấn công bởi động cơ chính trị. Điều này bao gồm các cuộc tấn công có mục tiêu cụ thể chống lại các cá nhân hoặc tổ chức. Những cuộc tấn công này có thể liên quan đến việc xâm phạm thiết bị của các cá nhân để có quyền truy cập vào tổ chức mà họ làm việc, sử dụng máy bay không người lái để xác định vị trí các mục tiêu cụ thể, sử dụng phần mềm độc hại để nghe lén,…

CHỦ NGHĨA TIN TẶC TRONG BỐI CẢNH ĐỊA CHÍNH TRỊ

Một xu hướng đáng chú ý khác là các nhóm hoạt động theo chủ nghĩa tin tặc hacktivism. Chúng có thể thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS), đánh cắp hoặc phá hủy dữ liệu, tấn công thay đổi giao diện,… nhắm vào các quốc gia đối trọng. Đặc biệt, những kẻ tấn công có thể đưa ra các tuyên bố giả về các cuộc tấn công mạng, dẫn đến những cuộc điều tra không cần thiết và kéo theo là sự cảnh báo liên tục của các nhà phân tích Trung tâm Điều hành An ninh mạng (SOC) và nhà nghiên cứu an ninh mạng.

Ngoài ra, các nhóm tin tặc hacktivism cũng lạm dụng công nghệ Deepfake để mạo danh và đưa thông tin sai lệch, cũng như các trường hợp khác, chẳng hạn như trường hợp tin tặc làm gián đoạn chương trình phát sóng truyền hình Nhà nước Iran trong các cuộc biểu tình. Nhìn chung, khi căng thẳng địa chính trị gia tăng và chưa có dấu hiệu dừng lại, GReAT cho biết trong năm 2024 có thể sẽ gia tăng các hoạt động hacktivism, vừa mang tính phá hoại vừa nhằm mục đích tuyên truyền.

LỪA ĐẢO TRỰC TUYẾN VỚI CÁC CÔNG CỤ AI

Chatbot và các công cụ AI tạo sinh (Generative AI) hiện đã phổ biến và dễ dàng truy cập. Xu hướng này đã được các tác nhân đe dọa lợi dụng để phát triển phiên bản chatbot độc hại dựa trên các phần mềm hợp pháp. Các mô hình khác như xxxGPT, WolfGPT, FraudGPT, DarkBERT,… thiếu các hạn chế nội dung khiến chúng trở nên hấp dẫn đối với những kẻ tấn công khai thác các mô hình này cho mục đích xấu. Điều này có thể tạo điều kiện thuận lợi cho việc phát tán hàng loạt các tin nhắn lừa đảo trực tuyến, thường đóng vai trò là bước khởi đầu trong các chiến dịch APT và các cuộc tấn công khác.

Trong năm tới, những kẻ tấn công có thể sẽ phát triển các phương pháp mới để tự động hóa hoạt động gián điệp nhắm vào mục tiêu của chúng. Điều này có thể bao gồm việc thu thập dữ liệu tự động từ sự hiện diện trực tuyến của nạn nhân, chẳng hạn như các bài đăng trên mạng xã hội, bình luận trên các phương tiện truyền thông hoặc bất kỳ nội dung nào liên quan đến danh tính của nạn nhân. Thông tin này sẽ được xử lý bằng các công cụ tổng hợp để tạo ra nhiều tin nhắn văn bản hoặc âm thanh khác nhau theo phong cách và giọng nói của từng cá nhân cụ thể.

SỰ XUẤT HIỆN CỦA NHIỀU NHÓM TIN TẶC CHO THUÊ

Các nhóm tin tặc cho thuê chuyên xâm nhập vào hệ thống và cung cấp dịch vụ đánh cắp dữ liệu cho phía khách hàng, từ các nhà điều tra tư nhân đến các đối thủ kinh doanh, xu hướng này dự kiến sẽ phát triển trong năm tới. Một trường hợp điển hình như vậy được các nhà nghiên cứu GReAT theo dõi là DeathStalker. Nhóm này tập trung vào các công ty luật và công ty tài chính, cung cấp dịch vụ tấn công mạng và hoạt động như một nhà môi giới thông tin thay vì hoạt động như một tác nhân APT truyền thống. Chúng sử dụng các email lừa đảo trực tuyến có tệp đính kèm độc hại để chiếm quyền kiểm soát thiết bị của nạn nhân và đánh cắp dữ liệu nhạy cảm.

Thông thường các nhóm như thế này sẽ bao gồm các tin tặc chuyên nghiệp được tổ chức theo thứ bậc, với các nhóm lãnh đạo quản lý. Chúng quảng cáo trên nền tảng web đen và sử dụng nhiều kỹ thuật khác nhau, như tấn công lừa đảo hay các phương pháp kỹ nghệ xã hội khác. Để tránh bị phát hiện, các tin tặc sử dụng giao tiếp ẩn danh và VPN (Virtual Private Network), đồng thời gây ra nhiều tác động khác nhau, từ vi phạm dữ liệu đến tổn hại danh tiếng. Dịch vụ của các nhóm tin tặc cho thuê nói chung không chỉ dừng lại ở hoạt động gián điệp mạng mà còn mở rộng sang hoạt động gián điệp thương mại. Chúng có thể thu thập dữ liệu về đối thủ cạnh tranh, chẳng hạn như các thông tin giao dịch tài chính và thông tin khách hàng.

KẾT LUẬN

Trong bối cảnh hoạt động của các nhóm APT đang có chiều hướng gia tăng cả về quy mô lẫn mức độ tinh vi, thị phần tội phạm mạng đã và đang hình thành những loại hình cũng như phương thức tấn công mới, điều này đặt ra những thách thức trong việc ứng phó với các cuộc tấn công. Do vậy, việc đón đầu các xu hướng và tìm hiểu về các mối đe dọa là cần thiết để giúp các cá nhân và tổ chức có thể cải thiện và chủ động tăng cường các giải pháp bảo mật nhằm phòng tránh và ngăn chặn các mối đe dọa ở mức tối thiểu.

Nguồn antoanthongtin.vn

Trojan ngân hàng liên tục nhắm mục tiêu vào thiết bị di động

Trojan ngân hàng tiếp tục phát triển nhờ vào khả năng vượt qua các lớp bảo mật và lẩn tránh sự phát hiện trên thiết bị di động. Khi các tác nhân đe dọa tiếp tục tăng lên và sử dụng nhiều hình thức tinh vi thì các biện pháp bảo mật truyền thống sẽ không thể theo kịp. Nghiên cứu cũng tiết lộ rằng cho đến nay, các tổ chức ngân hàng Hoa Kỳ vẫn là mục tiêu bị nhắm tới nhiều nhất bởi các tác nhân đe dọa có động cơ tài chính.

Có 109 ngân hàng Hoa Kỳ bị trojan ngân hàng nhắm đến vào năm 2023, trong số các quốc gia bị nhắm mục tiêu nhiều nhất tiếp theo phải kể đến là Vương quốc Anh (48 tổ chức, ngân hàng) và Ý (44 tổ chức, ngân hàng). Báo cáo cũng lưu ý rằng trojan đang phát triển vượt ra ngoài các ứng dụng ngân hàng đơn giản, nhắm mục tiêu vào tiền điện tử, phương tiện truyền thông xã hội và ứng dụng nhắn tin.

Ông Nico Chiaraviglio, Trưởng nhóm nghiên cứu khoa học của Zimperium cho biết: “Bảo mật ngân hàng di động hiện đang ở trong tình trạng cảnh báo cao, với nhiều tác nhân đe dọa gây ra rủi ro đáng kể”. Báo cáo nghiên cứu của Zimperium cho thấy sự phức tạp, khả năng thích ứng và khả năng mở rộng của trojan ngân hàng cũng như tác động lớn của chúng đối với các ứng dụng di động trên toàn cầu.

Nico Chiaraviglio cũng cho biết thêm rằng: “Tội phạm mạng đang tìm cách vượt qua các biện pháp phòng thủ truyền thống, đó là lý do tại sao điều quan trọng là các tổ chức tài chính ngân hàng phải sử dụng bảo mật di động toàn diện, theo thời gian thực trên thiết bị để chống lại những cuộc tấn công ngày càng thông minh và tinh vi của tội phạm mạng”.

Các ứng dụng ngân hàng truyền thống vẫn là mục tiêu hàng đầu, với 1.103 ứng dụng bị tấn công, chiếm 61% trong số 1800 mục tiêu, trong khi các ứng dụng FinTech và các ứng dụng giao dịch mới nổi chiếm 39% còn lại.

Hook, Godfather và Teabot là những dòng phần mềm độc hại ngân hàng hàng đầu, được đo bằng số lượng ngân hàng được nhắm mục tiêu. Theo nghiên cứu, 19 dòng phần mềm độc hại được đưa ra trong báo cáo năm 2022 đã phát triển với những khả năng mới và 10 dòng phần mềm độc hại mới đã được xác định là mối đe dọa vào năm 2023.

Những khả năng mới

Nhưng khả năng mới của các phần mềm độc hại ngân hàng có thể kể đến:

– Hệ thống chuyển tiền tự động (ATS): Một kỹ thuật tạo điều kiện cho việc chuyển tiền trái phép.

– Phân phối tấn công theo định hướng qua điện thoại (TOAD): như cách gọi của kỹ thuật xã hội, liên quan đến việc gọi điện cho các nạn nhân bằng cách sử dụng thông tin đã thu thập trước đó từ các trang web lừa đảo để khiến người dùng tải xuống các phần mềm độc hại.

– Chia sẻ màn hình: Có thể điều khiển từ xa thiết bị của nạn nhân mà không cần truy cập vật lý vào thiết bị đó.

– Phần mềm độc hại dưới dạng dịch vụ (MaaS): Một mô hình kinh doanh trực tuyến cung cấp các công cụ tạo phần mềm độc hại để cho thuê hoặc bán, tạo điều kiện thuận lợi để thực hiện dễ dàng các cuộc tấn công mạng.

Những điều trên cho thấy bối cảnh mối đe dọa trong tương lai đối với các ứng dụng di động ngày càng phát triển và phạm vi ảnh hưởng lớn, đòi hỏi phải có chiến lược bảo mật ưu tiên thiết bị di động, một chiến lược toàn diện, tự chủ và không ngừng tập trung vào việc chống lại trojan ngân hàng di động. Các tổ chức phải chủ động nắm bắt xu hướng tấn công mạng và bảo vệ mối đe dọa theo thời gian thực, loại bỏ các hình thức bảo vệ lỗi thời kém hiệu quả và sử dụng các biện pháp phòng tránh để đối mặt với các nguy cơ tiềm ẩn trước khi bị tấn công.

Ông Jon Paterson, CTO tại Zimperium cho biết: “Bằng cách giám sát hàng triệu thiết bị, Zimperium đã xác định được những số liệu đáng báo động cho thấy mức độ phổ biến trên toàn cầu và sự phát triển của phần mềm độc hại ngân hàng di động. Tội phạm mạng tiếp tục nhắm mục tiêu vào các ứng dụng ngân hàng truyền thống, các ứng dụng FinTech và Trading vì nhiều ứng dụng vẫn đang sử dụng những kỹ thuật bảo mật lỗi thời và thiếu các biện pháp bảo vệ tiến tiến”.

Bảo vệ ứng dụng khỏi phần mềm độc hại

Để chống lại những mối đe dọa đang gia tăng này, các tổ chức và doanh nghiệp nên thực hiện các biện pháp sau:

– Đảm bảo khả năng bảo vệ phù hợp với mức độ phức tạp của mối đe dọa: Các kỹ thuật bảo vệ nâng cao sẽ giúp cải thiện tình trạng bảo mật và phù hợp với chi phí của các tổ chức, doanh nghiệp, tránh tình trạng đầu tư vượt quá khả năng mà kẻ tấn công có thể đạt được.

– Triển khai khả năng hiển thị thời gian thực để theo dõi và lập mô hình mối đe dọa toàn diện: Các nhà lãnh đạo phải kích hoạt khả năng hiển thị thời gian thực đối với nhiều mối đe dọa khác nhau bao gồm: thiết bị mạng, ứng dụng và lừa đảo. Thông tin chi tiết theo thời gian thực này cho phép chúng ta chủ động xác định và báo cáo các rủi ro, mối đe dọa của các cuộc tấn công.

– Triển khai tính năng bảo vệ trên thiết bị để ứng phó với mối đe dọa theo thời gian thực: Các nhà lãnh đạo bảo mật ứng dụng di động nên ưu tiên triển khai các cơ chế bảo vệ trên thiết bị cho phép ứng dụng thực hiện hành động ngay lập tức khi phát hiện mối đe dọa. Khả năng thực hiện hành động này phải tự chủ, không yêu cầu phụ thuộc vào kết nối mạng hoặc giao tiếp với máy chủ phụ trợ.

Nguồn: antoanthongtin.vn