"Phần lớn người dùng mua ốp cho smartphone chứ chưa chú trọng tới bảo mật"

Hình thức lừa đảo thông qua tin nhắn mạo danh, giả dạng ngân hàng đã xuất hiện tại Việt Nam những năm gần đây. Người dùng nhận được tin nhắn hiển thị đúng tên ngân hàng, chẳng hạn Vietcombank, ACB, Sacombank… nhưng thực chất đến từ hacker. Thậm chí, nếu đang sử dụng dịch vụ của những ngân hàng này thì tin nhắn lừa đảo sẽ "trộn lẫn" với cả tin nhắn thật.

Trước vấn đề này, Dân trí đã có buổi phỏng vấn với ông Yeo Siang Tiong - Tổng giám đốc khu vực Đông Nam Á của Kaspersky để làm rõ hơn.

- Ông nhìn nhận, đánh giá thế nào về tin nhắn giả mạo tại Việt Nam?

Trước hết, chúng ta cần xem xét định nghĩa về tin nhắn giả mạo, đây là một hình thức lừa đảo thông tin không chỉ bao gồm tin nhắn điện thoại SMS mà còn thông qua các dạng nhắn tin bằng ứng dụng OTT như WhatsApp, Line, Facebook Messenger… và các app tương tự.

Trong 2 năm qua, tác động của dịch Covid-19 đã khiến mọi người gia tăng trao đổi thông qua hình thức trực tuyến, các phương tiện liên lạc được số hóa. Đương nhiên khi ấy, tin nhắn giả mạo cũng gia tăng và đây là xu hướng chung trên toàn thế giới chứ không riêng gì Việt Nam.

Tháng 7/2021, Kaspersky đã tiến hành một số nghiên cứu với người tiêu dùng ở khu vực Đông Nam Á trong đó có Việt Nam. Theo đó thì có tới 61% người được khảo sát sử dụng thiết bị di động để thanh toán kỹ thuật số. Con số này không khó hiểu bởi hiện nay thiết bị di động đã trở thành một phần không thể thiếu trong đời sống của người dân Việt Nam.

So với email, hình thức trao đổi thông qua nhắn tin (bao gồm cả SMS và ứng dụng nhắn tin online) tiện lợi cho người dùng nhưng cũng tạo ra sơ hở nhiều hơn cho kẻ tấn công. Nói đơn giản thì gửi tin nhắn là trao đổi thời gian thực, thao tác đọc và trả lời gần như trực tiếp. Trong khi với email trước đây chúng ta sẽ mở máy tính, vào email và còn các bước nữa.

Chính vì sự thay đổi hành vi như vậy mà hacker tấn công thông qua hình thức tin nhắn cũng trở nên nở rộ và thuận lợi hơn.

- Hiện nay, tin nhắn SMS giả mạo có thể lấy luôn tên của ngân hàng, các tổ chức. Khi những tin nhắn này đến thiết bị của người dùng thì nó lẫn luôn cả vào tin nhắn thật. Vậy có cách nào để phân biệt và xử lý?

Một trong những thủ thuật của hacker khi tấn công qua hình thức này là giả mạo nguồn gốc của tin nhắn. Quả thực để phân biệt tin nhắn mạo danh như này là không dễ.

Chẳng hạn như ở Singapore thì hacker có thể nhắn tin giả mạo ngân hàng OCBC. SMS gửi đến trông y chang như được gửi từ chính ngân hàng nhưng thực ra lại là của nhóm lừa đảo, hoàn toàn không có bất cứ điều gì liên quan đến OCBC. Tương tự vậy, tôi biết là cũng có người dùng tại Việt Nam nhận được tin nhắn SMS mạo danh những ngân hàng trong nước.

Việc sử dụng SMS Brandname (tin nhắn gửi đến mang tên thương hiệu thay vì số điện thoại) giúp khách hàng của đơn vị đó dễ dàng nhận diện hơn. Song cũng chính điều này khiến cho kẻ tấn công dễ mạo danh hơn.

Vấn đề cần làm ở đây là phải nâng cao nhận thức của mọi người rằng không phải cứ nhìn thấy tin nhắn có tên của ngân hàng, tổ chức là tin tưởng 100%. Một ví dụ vui rằng nếu trên đường ta gặp một người đến và tự xưng là công an thì cũng không thể tin ngay được, cần phải quan sát đồng thời xác minh thêm.

Đương nhiên, tôi biết là các nhà mạng và các cơ quan, đơn vị chuyên môn cũng liên tục đưa ra các giải pháp để chặn. Nhưng cũng tương tự câu chuyện về bảo mật khác, đây là một cuộc rượt đuổi mà ở đó bên phòng thủ nâng cấp thì bên tấn công cũng cải tiến phương thức. Chúng ta chặn tin nhắn giả mạo thì hacker lại tìm cách khác tinh vi hơn và vòng lặp này sẽ khó có hồi kết.

- Theo ông, hình thức giả mạo qua tin nhắn ngày càng gia tăng và nó nguy hiểm thế nào với người dùng?

Hiện nay, việc giả mạo tin nhắn ngày càng gia tăng trong bối cảnh hacker có xu hướng chuyển từ tấn công trên máy tính sang các thiết bị di động cầm tay.

Thực tế, người dùng hiện nay vẫn chưa có ý thức về vấn đề bảo mật cho các thiết bị di động. Theo khảo sát của chúng tôi thì chỉ có 28% người được hỏi sử dụng phần mềm chống virus và/hoặc các giải pháp bảo mật khác và 43% người được khảo sát sử dụng các lớp bảo vệ bổ sung (Ví dụ: xác thực 2 yếu tố, VPN, khóa vân tay, nhận dạng khuôn mặt…)

Tôi cho rằng nguy cơ mất bảo mật giữa thiết bị di động và máy tính là tương tự nhau. Vấn đề ở đây là khách hàng, người sử dụng chưa quan tâm đúng mức tới vấn đề an toàn. Một ví dụ có thể thấy ở đây rằng khi mua một chiếc laptop mới, bạn thường bảo nhân viên kỹ thuật cài luôn cho mình phần mềm diệt virus. Nhưng khi mua một chiếc điện thoại mới, bạn chỉ mua thêm ốp lưng bảo vệ chứ chưa thực sự quan tâm tới bảo mật dữ liệu bên trong.

Khi ta nhận email trên máy tính, ta biết được nó gửi từ ai, thông tin thể hiện trên một chiếc màn hình lớn với đầy đủ nội dung, từ đó ta có thể phát hiện các bất thường từ lỗi chính tả, ngữ pháp trong đó. Nhờ vậy, người dùng có thể đưa ra nhận định chính xác hơn rằng email đó có phải lừa đảo không.

Ngược lại, hacker tấn công qua hình thức tin nhắn có cơ hội thành công cao hơn bởi chúng ta có xu hướng xem nhanh, đọc nhanh và trả lời sớm. Cộng thêm việc xem trên thiết bị di động, chúng ta dễ mất cảnh giác để rồi mở file đính kèm có chứa mã độc, bấm vào link dẫn tới trang web giả mạo, phần mềm gián điệp… 

Một vấn đề nữa là chúng ta ngày nay lưu trữ rất nhiều thông tin quan trọng trên smartphone. Bây giờ đó không chỉ là phương tiện liên lạc, kho ảnh mà còn là thông tin ngân hàng, ví điện tử, thanh toán trực tuyến… Vì thế, đây trở thành "miếng mồi ngon" cho kẻ tấn công và ngược lại, thiệt hại gây ra đối với người dùng sẽ là rất lớn.

- Ông có thể chia sẻ về nghiệm phân biệt tin nhắn lừa đảo, các giải pháp kỹ thuật?

Tôi xin kể về câu chuyện của cá nhân mình. Trong đợt dịch Covid-19 vừa rồi, cũng như hầu hết mọi người thì tôi cũng phải làm việc tại nhà ở Singapore nên đã đặt mua trực tuyến một chiếc bàn. Hôm sau, khi tôi đang đi ăn thì nhận được tin nhắn mang danh công ty vận chuyển FedEx với nội dung rằng kiện hàng đã sẵn sàng kèm một đường link.

Là người làm trong lĩnh vực bảo mật nhưng chính tôi lúc đó cũng không cảnh giác nên đã bấm vào. Rất may là phần mềm bảo mật cài trên điện thoại của tôi đã phát hiện, cảnh báo và chặn đường link đó. Như vậy để thấy rằng ngay cả chuyên gia cũng có thể bị đánh lừa và trở thành nạn nhân của hình thức lừa đảo giả mạo tin nhắn. 

Qua câu chuyện trên, tôi cho rằng để phòng tránh tin nhắn giả mạo thì người dùng cần tự trang bị kiến thức cho mình và luôn cảnh giác trước bất kỳ tin nhắn, đường link hay tệp đính kèm nào. Nhận thức về nguy cơ mất an toàn là điều vô cùng quan trọng. 

Thứ hai, thiết bị của mỗi cá nhân cần được thiết lập trong một mạng lưới an toàn, bằng việc sử dụng các công cụ hỗ trợ, cài đặt phần mềm bảo mật. Nếu không may thao tác trên các trang giả mạo thì người dùng cần nhanh chóng đổi mật khẩu sớm nhất có thể. Với thiết bị mà lỡ cài đặt phần mềm không rõ nguồn gốc thì cần gỡ cài đặt hoặc tiến hành cài đặt lại cả smartphone.

Nguyên tắc cơ bản với cả email hay tin nhắn là nếu bạn nhận được đường link thì đừng vội bấm vào đó. Đặc biệt với tin nhắn từ ngân hàng có chứa đường link, đừng bấm vào mà hãy gọi tới tổng đài của ngân hàng đó để xác nhận.

Hãy coi việc tương tác trực tuyến với các thiết bị di động như cuộc sống ngoài đời thực của chúng ta vậy. Khi đi trên đường, gặp một ai đó tự xưng là nhân viên ngân hàng và mời bạn đi tới một địa điểm, hoặc họ muốn xin thông tin của bạn, liệu bạn có cung cấp không? Tôi nghĩ chắc chắn là không rồi. Vì thế, nếu gặp một tin nhắn hay link bất kỳ từ ngân hàng thì cũng cần kiểm tra và xác nhận trước khi thực hiện bất kỳ thao tác nào tiếp.

Hiện nay, trên điện thoại di động thông minh có một số phần mềm bảo mật mà người dùng có thể cài đặt. Tùy theo mỗi chương trình và gói mà khách hàng đăng ký sẽ có các tính năng khác nhau, từ cơ bản tới nâng cao như Kaspersky Internet Security hay với Kaspersky Total Security thì chúng tôi còn xây dựng cả tính năng để bảo vệ trẻ em khi sử dụng.