Đe dọa bủa vây khi bạn chia sẻ quá nhiều thông tin lên mạng xã hội

Hiện tại, các email lừa đảo trên mạng đã không còn dễ bị nhận ra như trước đây, chúng ngày càng trở nên tinh vi cũng như chuyên nghiệp hơn. 

VnReview.vn lược dịch bài viết của tác giả Katie Paxton-Fear, trang Fast Company. 

Có thể nói, cái thời của những email lừa đảo đầy lỗi chính tả và chứa nhiều nội dung thể hiện sự "lố bịch", chẳng hạn như các hoàng tử Nigeria sẽ giúp bạn giàu có nếu bạn chuyển tiền vào thẻ tín dụng của họ, đã qua từ lâu. Thay vào đó, email lừa đảo ngày nay không chỉ trở nên thuyết phục hơn mà còn thường được gửi tới nạn nhân với hình thức được đầu từ kỹ lưỡng từ thông tin cá nhân cho đến nội dung. 

Cụ thể, để có thể đánh lừa và tiếp cận nạn nhân mà không bị nghi ngờ, tin tặc thời bây giờ sẽ thông qua công cụ tìm kiếm như Google hay các phương tiện truyền thông xã hội như Facebook và sau đó dễ dàng tìm được hàng loạt thông tin liên quan đến nạn nhân, được họ chia sẻ một cách công khai trên mạng. Làm thế nào mà tôi lại biết điều này? Thật ra tôi là một tin tặc, nhưng công việc của tôi vẫn nằm trong các phạm trù đạo đức. Tôi kiếm tiền hằng ngày bằng cách đột nhập vào hệ thống của các tập đoàn nổi tiếng, có sự cho phép từ họ, nhằm giúp họ xác định các lỗ hổng bảo mật tiềm ẩn. Tôi có thể miêu tả công việc của mình bằng một cụm từ, đó là "Sherlock Holmes trên mạng". 

Trong quá trình giả làm nạn nhân, tôi nhận thấy rằng bọn tội phạm mạng khai thác thông tin cá nhân của tôi chủ yếu từ nền tảng trực tuyến, nơi mà dữ liệu của tôi được chia sẻ một cách công khai. Chúng có thể tận dụng bất cứ nguồn tin nào, chẳng hạn như những tấm ảnh tôi đăng, vị trí tôi check-in, bạn bè tôi thường hay gắn thẻ… Sau khi thu thập đủ dữ liệu, chúng sẽ bắt đầu thực hiện hành vi lừa đảo của mình bằng rất nhiều hình thức, phổ biến trong số đó là gửi email. Nếu dính bẫy, nạn nhân sẽ phải đối mặt với các rủi ro bảo mật nghiêm trọng như việc máy tính sẽ bị dính phần mềm độc hại, mất tài khoản ngân hàng hay tài khoản mạng xã hội. 

Tôi nêu ra điều này không phải có ý làm bạn sợ. Trên thực tế, bạn vẫn có thể tận hưởng những phút giây giải trí trên mạng xã hội mà không cần phải lo về nguy cơ bị tin tặc tấn công. Tôi sẽ chỉ cho bạn cách thức mà tin tặc thực hiện, từ đó bạn có thể nhận ra những dấu hiệu nếu bạn đang bị chúng nhắm đến. 

Liệu chúng ta có đang chia sẻ quá nhiều thứ lên mạng xã hội?

Từ khi các nền tảng mạng xã hội xuất hiện, mỗi ngày, đều có hàng ngàn, hàng triệu lượt đăng tin, hình ảnh, chia sẻ… và tần suất của việc này cứ tăng lên theo thời gian. Gần đây, tôi đã thực hiện một cuộc khảo sát cho công ty bảo mật Tessian với mục đích giúp khách hàng tránh nguy cơ bị tấn công bởi các hình thức lừa đảo kỹ thuật số qua email. Trong nhóm người dùng tham gia vào khảo sát, có đến 84% người cho biết họ đăng bài lên mạng xã hội mỗi tuần, trong số này có 42% người đăng bài mỗi ngày. Chưa dừng lại ở đó, khoảng 55% nhóm người này có tài khoản Facebook được chia sẻ ở chế độ công khai và đối với tài khoản Instagram là 67%. Điều này có nghĩa là bất kỳ ai cũng có thể dễ dàng theo dõi các bài đăng cũng như xem thông tin cá nhân của họ, kể cả tin tặc. 

Việc chúng ta chia sẻ về bản thân quá nhiều trên mạng xã hội giống như chúng ta đang tạo ra "một mỏ vàng" cho tội phạm mạng, những kẻ chuyên "săn lùng" thông tin người dùng. Mọi thông tin công khai liên quan đến bạn đều hữu ích với tin tặc, đặc biệt là đối với những bài đăng về công việc. Năm ngoái, tôi cùng một vài đồng nghiệp đã đăng một tấm ảnh chia sẻ về nơi làm việc của chúng tôi, trong đó có một màn hình máy tính đang chạy ứng dụng email, hiển thị số cuộc gọi video và tên của một loạt khách hàng. Chỉ từ một bức ảnh như vậy, hacker đã có thể khai thác để tạo ra một loạt trò lừa đảo qua mạng, chẳng hạn như bọn chúng sẽ mạo danh email tôi và sau đó tận dùng điều này để lừa khách hàng.

Đối với các nhóm tin tặc chuyên nghiệp hơn, chúng có thể đánh cắp cả email của giám đốc điều hành một công ty và thực hiện hành vi lừa đảo với quy mô lớn. Đối tượng ưa thích của nhóm tin tặc này chủ yếu là các ứng viên xin việc, những người thường có tâm lý sẵn sàng thực hiện mọi yêu cầu của giám đốc điều hành nhằm tạo được một ấn tượng tốt ban đầu. 

Bên cạnh đó, trên mạng xã hội, cũng có nhiều bài đăng chứa các thông tin mà không ít người tưởng chừng như vô hại bao gồm tên của trẻ em và vật nuôi, đội thể thao yêu thích hay ngày sinh nhật, nhưng thật ra chúng lại chứa nguy cơ bị tin tặc khai thác là rất cao. Theo kinh nghiệm của tôi, hacker có thể tận dụng những thông tin như vậy để dụ bạn tiết lộ mật khẩu hay giúp chúng trả lời các câu hỏi bảo mật phổ biến. Đáng nói, tin tặc thời này đa phần đều biết rằng mọi người có xu hướng sử dụng một mật khẩu cho nhiều loại tài khoản. Do đó, sau khi chúng bẻ khóa thành công một mật khẩu, sẽ không có chuyện chúng bỏ qua cho những tài khoản trên các nền tảng phổ biến khác, từ tài khoản ngân hàng cho đến email của bạn, tất cả đều có nguy cơ bị tấn công. 

Một vụ lừa đảo qua email sẽ diễn ra như thế nào? 

Hãy nhìn nhận và đánh giá rõ ràng rằng việc chia sẻ quá nhiều thông tin lên mạng xã hội có thể được tin tặc sử dụng như một công cụ để tấn công chính bạn. Thực tế không giống như những gì bạn thấy trong văn hóa đại chúng, hầu hết các tội phạm mạng không trực tiếp tấn công vào hệ thống của một công ty, thay vào đó, chúng nhắm đến nhân viên làm việc ở công ty này trước tiên. Bởi vì để xâm nhập vào thiết bị của một nhân viên, tin tặc có thể chỉ cần gửi đi một email lừa đảo với nội dung, hình thức được đầu tư bài bản cũng như có tính thuyết phục cao là được, trong khi đó, nếu muốn tấn công vào hệ thống của cả một công ty, chưa kể các công ty lớn, tin tặc phải có một phần mềm hack chuyên nghiệp kết hợp với nhiều yếu tố khác như kỹ năng, kinh nghiệm, nguồn lực. Ngay cả trong trường hợp có đủ khả năng, tin tặc chưa chắc đã phá được, có thể nói, việc phá vỡ lớp bảo mật trong hệ thống của một công ty giống như chúng phải bước qua một căn phòng chứa đầy tia laser. 

Trong 6 tháng cuối năm 2020, các nhà nghiên cứu của Tessian khám phá ra rằng các vụ tấn công sử dụng thông tin trên mạng xã hội và bằng hình thức gửi email đã gia tăng thêm 15%. Điều này chứng tỏ rằng thời gian để hacker tìm kiếm thông tin cá nhân liên quan đến nạn nhân đã rút ngắn đi rất nhiều, đồng nghĩa với việc chúng ta đang chia sẻ quá nhiều thông tin lên mạng xã hội và các nền tảng trực tuyến ngày nay. 

Nếu tôi đang cố gắng hack một công ty, nơi đầu tiên tôi tìm đến là trang mạng xã hội LinkedIn. Tại đây, có rất nhiều người công khai hồ sơ cá nhân để tìm việc làm, cho nên, tôi có thể dễ dàng đánh cắp các thông tin này của họ mà không phải tốn quá nhiều thời gian và chi phí mà tất cả cần có là mua tài khoản LinkedIn Premium với một mức giá "rẻ mạt". Đối tượng nhân viên tôi khai thác chủ yếu sẽ là những người ít am hiểu về công nghệ cũng như không làm việc liên quan đến kỹ thuật, chẳng hạn như nhân viên bán hàng hay nhân viên hành chính. Như đã nói, điểm yếu của nhóm nhân viên này khiến tôi bị thu hút là họ rất dễ bị khai thác vì họ không có chuyên môn trong lĩnh vực công nghệ. Tôi nghĩ đây là một  phương thức phổ biến mà đa phần giới hacker mũ đen sẽ áp dụng khi nhắm vào một công ty nào đó. 

Từ tài khoản LinkedIn hay Twitter của một người nào đó, tôi có thể biết được liệu họ đang có một công việc hay đang thất nghiệp cũng như xác định được công ty họ mong muốn làm việc. Nếu nắm được thông tin này, tôi sẽ dễ dàng tìm ra giám đốc điều hành của công ty đó thông qua Google và bắt đầu gửi email mạo danh đến những người mình muốn làm việc tại đây. Dĩ nhiên, với tâm lý của người đang đi tìm việc và gặp đúng email yêu cầu từ giám đốc điều hành của công ty mình yêu thích, tỉ lệ họ sa vào bẫy là rất cao. 

Tôi sẽ để tiêu đề email là khẩn cấp với nội dung đại khái như sau: "Này, công ty chúng tôi đang thiếu người nên bạn có thể đến phỏng vấn không. Tuy nhiên, tôi sẽ đặt ra cho bạn một tình huống để xem bạn đủ điều kiện không. Ví dụ, tôi hiện đang có một buổi họp và quên mất phải tặng quà sinh nhật cho con trai mình. Do đó, tôi cần bạn mua cho tôi một thẻ quà tặng từ Amazon. Bạn sẽ thực hiện ngay chứ?". Có thể bạn sẽ cảm thấy nghi ngờ, nhưng tôi chỉ muốn nói rằng dù nó có "lố bịch" và thiếu thuyết phục như thế nào, bạn cũng sẽ vì dòng chữ "khẩn cấp" và "giám đốc điều hành" mà nhanh chóng bỏ qua suy nghĩ đề phòng của mình. 

Làm sao để tránh các vụ lừa đảo qua email? 

Đầu tiên, hãy thử tìm kiếm tên hay tài khoản mạng xã hội của bạn trên Google và sau đó xem hồ sơ của chính bạn với tư cách là một người lạ. Bạn có cảm thấy thoải mái nếu làm việc này không? Nếu không, hãy chuyển các tài khoản xã hội của bạn sang chế độ riêng tư và kiểm tra liệu xem trong danh sách những người theo dõi của bạn có ai bạn không quen biết hoặc chưa gặp bao giờ không. 

Tiếp theo, đó là bạn nên tránh đặt mật khẩu liên quan đến những thông tin mà bạn chia sẻ trực tuyến như ngày sinh, tên, số điện thoại… Theo khảo sát của Tessian, có đến 85% khách hàng của công ty sử dụng một mật khẩu cho nhiều loại tài khoản. Tôi khuyên tốt nhất là bạn không nên làm giống họ, thay vào đó, hãy đặt mật khẩu khác nhau cho từng loại tài khoản và để chúng phức tạp một chút. Tôi biết sẽ rất khó để nhớ hết được tất cả, nhưng hãy cố gắng vì an toàn của bản thân. 

Hãy đề phòng và đọc kỹ các email gửi đến cho bạn. Nếu cảm thấy nghi ngờ, hãy nhấp vào tên hiển thị của người gửi để kiểm tra xem địa chỉ email có trùng khớp không, đặc biệt là trên điện thoại di động. Sau đó, hãy đưa email cho bộ phận chuyên về công nghệ thông tin ở công ty của bạn kiểm tra hoặc hỏi ý kiến của các nhóm bảo mật trên những nền tảng trực tuyến. Đừng căng thẳng với câu hỏi liệu bạn có đang làm phiền mọi người hay không. An toàn là quan trọng nhất. Cuối cùng, hãy dừng lại và suy nghĩ kỹ trước khi mở các tệp đính kèm, nhấp vào liên kết hoặc chia sẻ thông tin trong email.

Email lừa đảo có thể đã trở nên tinh vi và khó phát hiện hơn trước đây, nhưng điều này không đồng nghĩa với việc nó không còn kẽ hở. Do đó, nếu đọc sơ email mà nhận thấy điều gì khả nghi hoặc thấy thông tin trong email không cần thiết thì bạn hãy bỏ qua nó. 

Chí Tôn

Đánh giá gần đây
Đọc nhiều nhất Phản hồi nhiều nhất

1 Nguyên nhân Vsmart dừng cuộc chơi dù doanh số tăng

2 Vụ Shark Phú "Anh quan tâm mỗi em thôi", nữ chính nói bình thường, dư luận vẫn thấy phản cảm

3 Hệ thống Vòm Sắt của Israel hoạt động như thế nào?

4 Nhìn lại một năm qua: COVID-19 đã thay đổi chúng ta… mãi mãi

5 Hệ thống đằng sau các bài đăng về coin của Ngọc Trinh, Kiều Minh Tuấn

Tin Liên quan
Các tin khác
a
Xem thêm
Góc nhìn VNREVIEW