• Thứ Năm, 06/01/2005 16:29 (GMT+7)

    Trộm trên mạng

    Lấy cắp thông tin tài khoản là một trong những tội phạm phát triển nhanh nhất ở Mỹ. Theo báo cáo của tổ chức FTC (Federal Trade Commission), số nạn nhân tăng gấp 4 lần từ năm 2000 - 2004, ước tính trong 5 năm qua đã có khoảng 10 triệu ng ười là nạn nhân của tội phạm trên mạng. Hầu hết các nạn nhân bị lấy trộm tài khoản tín dụng, nhưng cũng có nhiều tình huống tồi tệ hơn.


    Các tên trộm trên mạng đang hăm he tài khoản tín dụng và thông tin cá nhân của bạn. Làm thế nào để phòng vệ và chống đỡ nếu bị tấn công?

    Tội phạm gia tăng

    Lấy cắp thông tin tài khoản là một trong những tội phạm phát triển nhanh nhất ở Mỹ. Theo báo cáo của tổ chức FTC (Federal Trade Commission), số nạn nhân tăng gấp 4 lần từ năm 2000 - 2004, ước tính trong 5 năm qua đã có khoảng 10 triệu ng ười là nạn nhân của tội phạm trên mạng. Hầu hết các nạn nhân bị lấy trộm tài khoản tín dụng, nhưng cũng có nhiều tình huống tồi tệ hơn.

    Theo giới chức trách, nhiều trường hợp rò rỉ thông tin dẫn đến mất cắp tài khoản không phải do lỗi nạn nhân, chỉ cần điểm qua một số tin là chúng ta có thể nhìn ra vấn đề: Bọn đạo tặc đã lấy cắp hàng chục ngàn báo cáo tín dụng từ các nguồn chính thức, một website vô tình công bố hàng ngàn tên khách hàng cùng thông tin tín dụng... Ngoài ra, các phòng mạch, trường học và các tổ chức khác có lưu giữ thông tin của khách hàng nhưng lại không được bảo vệ hiệu quả, dễ bị hacker hoặc nhân viên 'hiếu kỳ' xem trộm.

    Tuy nhiên đối với kiểu tấn công thư trộm (phishing), phương pháp phổ biến nhất để lấy cắp thông tin, người dùng có phần trách nhiệm và họ có thể kiểm soát được phần nào.

    Các kiểu tấn công thư trộm mới gia tăng khoảng 40 - 50% hàng tháng, theo tổ chức Anti-Phishing Working Group (www.antiphishing.org), tổ hợp nhiều ngành công nghiệp được thành lập năm rồi nhằm chống lại dạng tội phạm này. Thực tế, những loại tấn công như vậy dễ tạo và khó phát hiện, các tên trộm đang bỏ dần các phương pháp lấy cắp thông tin khác và chuyển sang tấn công phishing. Các kiểu tấn công ngày càng tinh vi hơn, làm cho ngay cả người dùng tinh ý nhất cũng khó phân biệt email thật giả. Khi giấu được 'thân phận', kẻ tấn công có thể dùng spyware, một 'dịch bệnh' khác của Internet, xâm nhập PC và lấy cắp thông tin của bạn.

    Thật may, theo các chuyên gia, phishing và các kiểu lấy cắp thông tin trực tuyến khác có thể ngăn chặn được, nhưng đòi hỏi người dùng có ý thức hơn về bảo mật - có thể tốn một ít chi phí cho các công cụ phần mềm và thật cẩn thận khi đọc e-mail.

    Lỗ hổng Phishing

    Bạn có thể gặp hàng đống thư trộm. Những kẻ tấn công (phisher) có thể giả mạo địa chỉ gửi (vùng 'from' của email) từ các công ty tên tuổi như Citibank, Ebay, PayPal... thúc giục bạn nhấn vào một liên kết trong email để cập nhật thông tin tài khoản với lý do nào đó - thường là vì 'công ty' nghi ngờ tài khoản bị sửa đổi trái phép. Liên kết này sẽ dẫn đến một trang web trông đáng tin cậy, và tất cả việc bạn cần làm là nhập thông tin và nhấn Send (gửi đi). Thế là mọi chuyện bắt đầu rối tung!

    Ngay cả người dùng am hiểu kỹ thuật có ý thức bảo mật cũng có thể 'mắc bẫy', vì các phisher ngày càng ranh ma hơn, dùng phần mềm để thay địa chỉ web của site lừa đảo bằng địa chỉ của trang web hợp pháp. Chúng bắt chước một cách hoàn hảo các logo và hình ảnh từ site hợp pháp, thậm chí còn dùng thủ đoạn chèn đoạn mã phá hoại vào đầu site hợp pháp để khi bạn đến đúng địa chỉ URL nhưng lại nhập thông tin vào cửa sổ mà phisher cung cấp.

    Phối hợp Spyware

    Có một xu hướng đáng lo hơn đang diễn ra đó là sự phối hợp spyware (phần mềm gián điệp) và phishing. Ví dụ, spyware nạp vào PC của bạn, để theo dõi hành vi gõ phím của bạn và gửi dữ liệu đến tổ chức tội phạm mà thường là các phisher và hacker.

    Với kiểu tấn công này, bạn sẽ được mời nhấn vào một hình - để nhận được một mặt hàng giá rẻ chẳng hạn. Với cú nhấn đó, bạn vô tình tải về spyware trên PC của mình. Phisher có thể phải mất nhiều thời gian hơn để thu thập thông tin cá nhân của bạn, nhưng rồi chúng cũng sẽ phân tích được các gõ phím của bạn và liên hệ thông tin đó với các site mà bạn thường ngao du.

    Theo một nghiên cứu năm rồi của tổ chức phi lợi nhuận Theft Resource Center, các nạn nhân mất trộm thông tin mất trung bình 600 giờ và 1.400USD để khắc phục hậu quả. Còn các tên trộm thì sử dụng trung bình 10.200USD dưới tên nạn nhân, theo số liệu của FTC. Tổng cộng thất thoát mà người dùng gánh chịu do mất trộm tài khoản lên đến gần 4 tỉ USD, và không có dấu hiệu suy giảm. Các doanh nghiệp đã mất gần 33 tỉ USD cho những việc như giao dịch không thể khắc phục và xử lý sự cố.

     

    Tiện ích

    CÁC CÔNG CỤ CHỐNG PHISHING

     

     

     

     

    Dưới đây là một số tiện ích có thể giúp bạn phát hiện các site giả mạo. Tuy không 'trị được bách bệnh', nhưng các công cụ này là bước phòng vệ cơ bản tốt. Lưu ý, một số dịch vụ trực tuyến có cung cấp công cụ riêng, như phần mềm Account Guard của Ebay (find.pcworld.com/44686).
     CoreStreet SpoofStick: Thanh công cụ miễn phí bổ sung cho trình duyệt IE và Mozilla Firefox; find.pcworld.com/44690. Công cụ này nhận diện URL của website bạn đang duyệt, làm việc tốt với địa chỉ số. SpoofStick không hiệu quả nếu phisher ranh mãnh dùng URL gần giống địa chỉ của công ty hợp pháp và nó không cảnh báo các kiểu tấn công đưa bạn đến site hợp pháp nhưng mở cửa sổ pop-up để lấy thông tin của bạn.
     EarthLink ScamBlocker: Thanh công cụ miễn phí cho hầu hết các trình duyệt; find.pcworld.com/44694. ScamBlocker lưu giữ danh sách các site lừa đảo đã biết và khi bạn truy cập những site này nó sẽ đưa bạn đến trang cảnh báo trên server của EarthLink. Mức độ hiệu quả của công cụ phụ thuộc vào danh sách 'đen' này.
     GeoTrust TrustWatch: Thanh công cụ miễn phí cho IE 5.x trở đi; find.pcworld.com/44688. Chương trình này giám sát các site bạn viếng thăm và đánh giá mức độ an toàn của chúng với mã màu: xanh là an toàn, vàng cần cẩn thận, và đỏ là site lừa đảo. Giống SpoofStick, chương trình này không cảnh báo các kiểu tấn công pop-up vì pop-up không hiện thanh công cụ.
     WebRoot Phish Net: chương trình miễn phí tương thích với IE từ phiên bản 5.5 trở đi; find.pcworld.com/44692. Bạn nhập thông tin nhạy cảm như mật khẩu và tên người dùng của tài khoản ngân hàng, và Phish Net sẽ mã hoá và lưu trữ thông tin đó trên PC của bạn để thông báo khi bị lộ thông tin. Chương trình giám sát bạn trực tuyến, kiểm tra các cuộc viếng thăm đến những site lừa đảo đã biết. Nó sẽ cảnh báo khi bạn nhập thông tin nhạy cảm ở những site chưa biết hoặc site lừa đảo đã biết.

     


    Kiếm tiền dễ dàng

    Lấy cắp thông tin nói chung, và phishing nói riêng, gần đây bùng phát dữ dội vì dễ thực hiện và dễ kiếm tiền. Các phisher mua bán và trao đổi công cụ phishing đủ loại. Trong một số trường hợp, công cụ được cung cấp miễn phí với dụng tâm xấu. Việc còn lại khá đơn giản. Người muốn trộm thông tin chỉ việc gửi đi hàng loạt email (có thể là hàng trăm, hàng ngàn hay hàng triệu) và đợi nhận thông tin từ các nạn nhân.

    Mặt khác, các phisher ít đối mặt với rủi ro. Mặc dù chính phủ một số nước đã có luật phạt nặng những người tạo site giả hay email lừa gạt, tuy nhiên các phisher có thể đối phó bằng cách dùng các kỹ thuật 'biến dạng' liên tục hoặc đặt trụ sở ở nước ngoài để lẩn tránh chính phủ sở tại.

    Giành lại chủ quyền

    Đối với các nạn nhân mất cắp thông tin tài khoản, việc phát hiện sớm là rất quan trọng. Theo FTC, nếu nạn nhân phát hiện thông tin cá nhân của mình bị sử dụng bất hợp pháp trong vòng 1 tháng, hơn 90% có thể ngăn chặn tội phạm mở tài khoản mới dưới tên của mình, và không bị thiệt hại tài chính. Theo luật pháp Mỹ, người dùng chỉ chịu phí trách nhiệm tín dụng 50USD khi tài khoản bị xâm phạm, và nhiều khi các công ty thẻ tín dụng bỏ phí trách nhiệm này. Nhưng nếu nạn nhân phát hiện chậm hơn 6 tháng, 45% bị tội phạm mở tài khoản mới và gần phân nửa số nạn nhân đó phải chi ít nhất 5.000USD.

    Công việc khó khăn nhất đó là chứng minh 'bạn là ai' với công ty thẻ tín dụng (hoặc cơ quan pháp luật), và sau đó thông báo về việc mất thông tin tài khoản. Website của FTC có một mục trợ giúp dành cho việc mất trộm thông tin tài khoản (www.consumer.gov/idthef), bao gồm các mẫu thư về tài khoản không chủ quyền hoặc tranh chấp. Bạn cũng có thể tham khảo thông tin hướng dẫn, mẫu thư ở các website như Identity Theft Resource Center (www.idtheftcenter.org), Identity Theft Prevention and Survival (IdentityTheft.org)...

    Việc đi tìm lại chính mình gần như là quá trình tự thân vận động. Bạn không thể đơn giản đi đến cơ quan pháp luật và nói 'tôi là nạn nhân'. Nếu thật sốt sắng, có thể hy vọng tài khoản tín dụng của bạn trở lại 'trong sạch' trong vài tháng. Đến lúc đó, bạn có thể quay lại cuộc sống bình thường - nhưng với sự sút giảm đáng kể lòng tin vào thế giới xung quanh.

    Bí quyết bảo mật

    LÀM SAO PHÒNG TRÁNH MẤT CẮP THÔNG TIN?

     

     

     

     

      Đừng nhấn các liên kết hay hình ảnh trong các email không yêu cầu. Nếu một công ty mà bạn có giao dịch yêu cầu liên lạc, hãy mở trình duyệt, nhập vào địa chỉ web của công ty, và đăng nhập với tài khoản của bạn. Hoặc bạn gọi điện thoại cho công ty.
      Dùng trình lọc spam. Với trình lọc tốt, có thể thư trộm sẽ không bao giờ xuất hiện trong hộp thư của bạn. Tham khảo các công cụ chống spam trong bài 'Chống spam cho hộp thư' - TGVT A 6/2004, t.84.
      Cài đặt phần mềm phát hiện spyware. Ad-Aware của Lavasoft (find.pcworld.com/44236) và Spybot Search & Destroy (find.pcworld.com/43064) có các phiên bản miễn phí dùng cho mục đích cá nhân và phi thương mại. Các chương trình này được xếp hạng đầu trong loạt công cụ được giới thiệu trong loạt bài về bảo mật trên TGVT A 6/2004.
      Sử dụng dịch vụ giám sát tín dụng. Ví dụ, với mức phí 44USD/năm, dịch vụ Identity Fraud Watch của TransUnion gửi email định kỳ hàng tuần thông báo những thay đổi trong hồ sơ tín dụng của bạn.
      Kiểm tra chi tiêu thẻ tín dụng. Lưu ý, dân trộm trên mạng thường chi tiêu dần những khoản tiền nhỏ để tránh bị phát hiện.
      Không giữ thông tin thẻ tín dụng trên ổ cứng của PC. Hãy lưu thông tin nhạy cảm trên đĩa CD-RW (và đừng để trong ổ CD khi không cần dùng). Nếu cần phải lưu thông tin trên đĩa cứng, hãy bảo vệ bằng những công cụ như Password Agent (find.pcworld.com/44264).
      Cố gắng giữ thông tin tín dụng.
      Lấy báo cáo tín dụng 2 lần/năm.

     

    Nguyễn Lê
    PC World Mỹ 12/2004

    ID: A0412_116