• Thứ Sáu, 06/05/2011 07:55 (GMT+7)

    Tấn công lừa đảo trực tuyến sẽ gia tăng sau sự kiện Epsilon

    Trần Dũng
    Hàng triệu email bị đánh cắp sau khi tin tặc tấn công Epsilon, hãng cung cấp dịch vụ quảng bá qua email lớn nhất trên thế giới, có thể dẫn đến hàng loạt cuộc tấn công lừa đảo trực tuyến khác.

    Epsilon tiết lộ hàng triệu email cá nhân đã bị đánh cắp sau khi tin tặc tấn công vào máy chủ của hãng. Các chuyên gia bảo mật lo ngại, tin tặc sẽ dùng các email này để thực hiện các cuộc tấn công lừa đảo trực tuyến (phishing attack), chẳng hạn gửi email đến khách hàng nhằm thu thập thông tin tài khoản ngân hàng, dụ dỗ người dùng gửi các thông tin nhạy cảm.

    Epsilon thay mặt cho hơn 2500 khách hàng gửi 40 tỷ email quảng bá/năm. Những email này không bị xem là spam. Epsilon có khá nhiều khách hàng nổi tiếng như JP Morgan Chase, Capital One, CitiGroup…

    Sau khi Epsilon bị tấn công, nhiều người dùng lo ngại họ sẽ thành nạn nhân của các cuộc tấn công lừa đảo. Và họ đặt ra hàng loạt câu hỏi: Epsilon và các doanh nghiệp, là khách hàng của Epsilon, đã hành động như thế nào để cảnh báo người dùng? Rủi ro gì khi hàng triệu email bị đánh cắp? Và người dùng sẽ tự bảo vệ mình ra sao?

    Hành động

    Tuy thông cáo báo chí của Epsilon về việc tin tặc tấn công máy chủ của hãng rất ngắn nhưng hành động của Epsilon rất kịp thời. Hãng đã nhanh chóng phát hiện dữ liệu khách hàng bị đánh cắp và có động thái thông báo ngay cho khách hàng. Các khách hàng của Epsilon cũng nhanh chóng thông báo cho từng khách hàng của mình.

    Theo các nhà phân tích bảo mật, có thể Epsilon bị tấn công SQL injection. Tuy nhiên đây chỉ là các phỏng đoán, nguyên nhân Epsilon bị tấn công có lẽ phải chờ đến khi có kết luận điều tra cụ thể.

    Rủi ro gì?

    Rất may là tin tặc chỉ mới đánh cắp được địa chỉ email, không bao gồm thông tin cá nhân, tài khoản người dùng. Tuy nhiên, tin tặc có thể dùng các email này để giả danh và thực hiện các cuộc tấn công lừa đảo.

    Tin tặc sẽ dùng các email này, giả danh ngân hàng, khách sạn, nhà hàng… là khách hàng của Epsilon, gửi email đến bạn. Bạn sẽ không nghi ngờ gì vì email này không phải spam, và email có đầy đủ thông tin về nơi gửi. Nếu bạn nhấn vào các đường liên kết trong email giả danh này, virus và các phầm mềm độc hại có thể xâm nhập vào máy tính để khai thác dữ liệu của bạn. Hoặc tin tặc dùng email này để chào mời các thông tin hấp dẫn, dụ dỗ bạn cung cấp các thông tin về tài khoản, số thẻ tín dụng…

    Mức độ nguy hiểm của các cuộc tấn công lừa đảo này nằm ở chỗ, nếu người dùng đang là khách hàng của các doanh nghiệp, là khách hàng của hãng Epsilon, hầu như họ sẽ chẳng mảy may nghi ngờ thông tin từ các email này.

    Theo các chuyên gia bảo mật, người dùng dễ bị mắc bẫy do họ dễ tin và đưa ra quyết định chỉ dựa trên những gợi ý hấp dẫn kèm theo nội dung thay vì phân tích toàn bộ nội dung của email một cách cẩn trọng. Ngoài ra, những hình thức lừa đảo cũng đánh trúng tâm lý của người nhận email, khi tin tặc biết khai thác điểm yếu của con người, chẳng hạn gửi nội dung email có liên quan đến việc bảo mật tài khoản ngân hàng, vé tham dự buổi hòa nhạc miễn phí… Những nội dung này gần như làm người dùng tò mò.

    Làm thế nào để tự bảo vệ?

    Các chuyên gia bảo mật khuyên người dùng hãy cẩn thận, vì email không hoàn toàn là phương tiện thông tin tin cậy và tin tặc có thể dễ dàng giả mạo email của bất kỳ tổ chức nào. Hơn nữa, tin tặc có thể tạo các trang web giống như trang web thật của doanh nghiệp, nhằm đánh lừa người dùng, nếu như người dùng nghi ngờ và muốn kiểm tra thông tin.

    Do đó, người dùng nên cân nhắc thật kỹ trước khi nhấn vào liên kết hay tải về các tập tin đính kèm trong email. Nếu thông tin trong email quá hấp dẫn, cách an toàn là bạn hãy nhấc điện thoại và hỏi trực tiếp doanh nghiệp về thông tin đó.

    Ngoài ra, người dùng cũng nên thường xuyên theo dõi tin tức trên báo chí, các trang web như www.pcworld.com.vn để nhanh chóng cập nhật các thông tin về bảo mật, virus, các cảnh báo của doanh nghiệp về an toàn thông tin.

    Nguồn: PC World Mỹ, 5/4/2011