Trao đổi với Thanh Niên, chuyên gia về an ninh mạng Triệu Trần Đức - Giám đốc CMC Information Security - cho biết: "Thực tế thì việc tài khoản e-mail Hotmail, Yahoo, Gmail bị đánh cắp (lộ mật khẩu truy cập) liên quan nhiều đến ý thức về an ninh mạng của người sử dụng hơn là tính an toàn của các webmail của nhà cung cấp".
Theo chuyên gia Triệu Trần Đức, trong hầu hết các trường hợp bị mất mật khẩu, người sử dụng bị bọn lừa đảo đề nghị khai báo lại các thông tin cá nhân, mật khẩu e-mail cho nhà cung cấp dịch vụ (Yahoo, Hotmail, Gmail...) nếu không sẽ bị đóng tài khoản e-mail; hoặc được thông báo trúng thưởng của nhà cung cấp dịch vụ và đề nghị khai báo thông tin cá nhân... Ông Đức nói: "Các hãng lớn như Yahoo, Microsoft (Hotmail), Google (Gmail) không bao giờ có yêu cầu hoặc thông báo như vậy mà chỉ có bọn lừa đảo mới làm. Kể cả khi người dùng nhận được e-mail giống như từ nhà cung cấp thực sự (ví dụ như e-mail gửi tới có đuôi là microsoft.com) thì chắc chắn đó cũng là lừa đảo, bởi việc giả mạo các e-mail này là rất dễ dàng".
|
Cách phát hiện e-mail bị lộ mật khẩu - Kiểm tra thời gian lần cuối cùng truy nhập vào hòm thư. Nếu không khớp với thời gian do chính bạn truy nhập thì rất có thể e-mail đã bị đọc trộm. - Các e-mail bạn chưa đọc nhưng đã bị đánh dấu là đọc. - Người khác nhận được e-mail từ địa chỉ của bạn nhưng thực tế bạn lại không hề gửi... |
Tuy nhiên, ông Nguyễn Minh Đức - Giám đốc Bkis Security - cho rằng: "Chúng tôi vẫn chưa có đủ thông tin để thống kê tổng hợp về thiệt hại do việc bị lộ tài khoản e-mail hay mất cắp thông tin trong e-mail gây ra". Chuyên gia này chỉ tiết lộ: “Có rất nhiều người Việt Nam bị mất cắp tài khoản và bị thiệt hại do thông tin bị đánh cắp, bị lợi dụng để làm những việc không hay. Nhưng khó có thể tính toán thiệt hại chính xác bằng tiền đối với những vụ việc như thế này".
Về biện pháp bảo vệ đối với các tài khoản e-mail miễn phí như Gmail, Yahoo, Hotmail, ông Nguyễn Minh Đức nêu ra 2 yếu tố cần lưu ý: thứ nhất là ý thức tự bảo vệ của người dùng và thứ hai là sử dụng các phần mềm an ninh. Khi nhận được các đường link lạ qua chat từ những người không quen biết, tuyệt đối không nên click vào; sử dụng mật khẩu đủ mạnh (không dùng các tên, ngày sinh, số dễ nhớ, tên vợ, ngày cưới... làm mật khẩu e-mail; đặt mật khẩu hơn 8 ký tự và không dễ bị đoán). Không khai báo thông tin cá nhân từ những e-mail gửi tới; không trả lời các e-mail thông báo bạn trúng thưởng lớn (các e-mail này thường yêu cầu điền thông tin cá nhân để nhận giải thưởng lừa)...
Hoàng Ly
|
Lộ mật khẩu là do... lười Theo trang web cnet.com, chuyên gia bảo mật Bogdan Calin nhận định rằng cho dù có là nạn nhân của phishing (tấn công giả mạo) hay không, những mật khẩu bị lộ cho thấy thói quen lười biếng của người sử dụng. Qua phân tích hơn 10.000 mật khẩu Hotmail bị lộ, ông Calin nhận thấy có gần 100 người sử dụng những dãy số đơn giản như “123456”, “1234567” hoặc “123456789” để mở hộp thư. Loại mật khẩu như “000000” và “111111” cũng nằm trong nhóm 20 mật khẩu được sử dụng phổ biến nhất. Trong khi đó, trên cơ sở nhận định phishing là vấn nạn toàn cầu chứ không riêng khu vực hay quốc gia nào, chuyên gia Michael Fertik đã đưa ra 6 lời khuyên trên website ReputationDefender.com: 1. Dịch vụ e-mail càng lớn, càng dễ trở thành mục tiêu tấn công. Vì vậy, nên chọn sử dụng dịch vụ e-mail ít phổ biến hơn nhưng an toàn hơn. 2. Sử dụng mật khẩu không rõ ràng. 3. Thay đổi mật khẩu thường xuyên. 4. Không click vào những đường link từ các nguồn mà bạn không tin tưởng 100%. Hãy nhìn kỹ địa chỉ e-mail và URL. 5. Tải về Google Toolbar, vốn có tính năng cảnh báo người sử dụng khi họ truy cập các trang web được nhận định là phishing. 6. Sử dụng phần mềm chống vi-rút có kèm theo tính năng phát hiện phishing chẳng hạn như McAfee Site Advisor (www.siteadvisor.com/howitworks/index.html). T.Q |
| Cẩn trọng khi sử dụng
Dưới đây là những tư vấn về cách thức bảo mật khi sử dụng e-mail, phòng tránh các cuộc tấn công mà ông Võ Đỗ Thắng, Giám đốc Trung tâm Đào tạo quản trị và an ninh mạng Athena dành cho độc giả Thanh Niên. E-mail ngày nay thường chứa đựng tất cả những thông tin cá nhân, tài khoản,... của người dùng và đặc biệt quan trọng đối với doanh nghiệp. Chính vì thế nó trở thành mục tiêu tấn công của hacker để lấy cắp tài khoản cá nhân cũng như đánh bại đối thủ kinh doanh. Những thủ đoạn đánh cắp mật khẩu - Stealing Cookies: Khi người dùng sử dụng webmail để truy cập thì tài khoản e-mail của họ sẽ được lưu vào cookies dưới dạng Plantext không được mã hóa. Hacker có thể lấy được cookies này và sử dụng nó để đăng nhập vào tài khoản e-mail của bạn mà không cần biết mật khẩu (password) của bạn là gì. Hiện nay, các công cụ ăn cắp cookies rất phổ biến trên internet như CookieMonster, Hamster, Ferret... Do đó, bất kỳ ai sử dụng webmail như Yahoo, Gmail... từ các mạng công cộng (wifi ở quán cà phê, trường học, văn phòng,...) đều có thể đối mặt với nguy cơ bị tấn công. - Social Engineering: Đây là kỹ thuật non-technical, hacker sẽ cố gắng tìm mọi cách để có thể lấy được những thông tin cần thiết bằng những trò bịp. Một số người thường dùng những thông tin cá nhân của mình để đặt cho account như ngày sinh, số điện thoại, tên người yêu... Hacker có thể tìm được những thông tin này và sử dụng nó để lấy cắp tài khoản. - Password Phishing: Hacker sử dụng một trang web giả mạo để người dùng đăng nhập tên tài khoản, mật khẩu. - Password Sniffer: Hacker sử dụng kỹ thuật ăn cắp tài khoản trong môi trường wifi. - Fraudulent Email Messages: Những lá thư nặc danh, trúng thưởng, mời nhận tiền, chúc mừng... gửi từ một nguồn mà bạn không hề biết, yêu cầu bạn điền đầy đủ thông tin cá nhân hay tài khoản để nhận một giải thưởng nào đó. Ngoài ra còn chèn link chứa virus, trojan vào các bài viết để khi người nhận mail đọc sẽ click vào link đó làm cho máy tính bị dính mã độc và tài khoản của người dùng sẽ bị lấy cắp. Một số phương pháp bảo mật - Bảo mật trong quá trình gửi/nhận và mã hóa e-mail. E-mail trong quá trình truyền từ nguồn tới đích sẽ đi qua rất nhiều trạm trung chuyển. Vấn đề bảo đảm an toàn cho việc gửi/nhận phải được theo dõi và giám sát ngay tại các điểm vào/ra của e-mail, để đảm bảo các e-mail gửi/nhận không vi phạm các chính sách an toàn thông tin của doanh nghiệp, đặc biệt là các vấn đề có liên quan tới các chiến lược kinh doanh. Có một điểm cần lưu ý là e-mail cũng được coi là một bằng chứng trong trường hợp xảy ra tranh chấp cần có sự can thiệp của pháp luật. Do vậy, việc kiểm soát nội dung e-mail là một vấn đề mà nhiều doanh nghiệp đã cân nhắc tới. Bên cạnh đó, việc triển khai các phương án phòng chống tấn công, mã hóa đường truyền, nội dung e-mail và các phương thức phòng chống virus, spam là điều cốt yếu để bảo vệ bất kỳ hệ thống e-mail nào. Các phương án mã hóa e-mail thường sử dụng hiện nay: TLS (Transport Layer Security), S/MINE, PGP... - Bảo mật dữ liệu e-mail khi lưu trữ. Vấn đề lớn nhất trong việc này là thất thoát dữ liệu. Dữ liệu có thể bị mất, hư hại hoặc thay đổi do các yếu tố tự nhiên hoặc yếu tố con người. Có một khó khăn đặt ra là hầu hết người dùng hiện nay thường sử dụng các công cụ e-mail client để gửi và nhận e-mail trong doanh nghiệp. Không phải ai cũng thiết lập tùy chọn “lưu lại một bản copy của các e-mail trên mail server” (Leave a copy of messages on the server) trong mail client của mình. Với thiết lập đó, khi client kết nối với mail server để nhận e-mail, các e-mail được lấy về sẽ không còn lưu lại trên mail server nữa. Và do đó, việc bảo vệ dữ liệu e-mail không còn đơn thuần là bảo đảm dữ liệu ở phía server nữa mà bao gồm cả phía client. Không phải người dùng nào cũng ý thức được hết vấn đề bảo đảm an toàn dữ liệu và chính họ có thể là tác nhân gây thất thoát thông tin. Quang Thuần (ghi) |
Bình luận (0)