Tin tặc ngày càng sử dụng nhiều thủ đoạn tinh vi để tấn công doanh nghiệp cũng như người dùng máy tính khắp nơi. Đôi khi các cuộc tấn công có kết thúc tốt đẹp, nhưng nhiều vụ để lại hậu quả nghiêm trọng, gây thiệt hại nặng nề cho các nạn nhân.
Điều đáng lưu ý là, những vụ vi phạm bảo mật xảy ra với các tổ chức và định chế tài chính lớn thường gây chú ý trên diện rộng nhưng ít đem lại những bài học thực tế cho các doanh nghiệp vừa và nhỏ rút kinh nghiệm để tự bảo vệ tốt hơn. Doanh nghiệp vừa và nhỏ thường triển khai các công nghệ khác doanh nghiệp lớn, chưa kể là bộ phận CNTT “mỏng” hơn nhiều và thậm chí còn phải kiêm nhiệm nhiều công việc khác.
Tuy vậy, một doanh nghiệp dù là nhỏ cũng không có lí do gì để tiết kiệm chi phí đối với bảo mật. Công nghệ đang lan tỏa khắp nơi, tới cả những khu vực phi kĩ thuật, và điện toán đám mây ngày càng hoàn thiện đang nhanh chóng tràn vào các doanh nghiệp. Nhiều doanh nghiệp dần gắn chặt hoạt động với trực tuyến, tới mức dường như không thể thiếu kết nối Internet và thẻ tín dụng. Điều đó cũng có nghĩa là tin tặc từ không gian mạng có nhiều cơ hội gây khó dễ cho doanh nghiệp.
Phải làm gì để bảo vệ doanh nghiệp mình trước hiểm nguy rình rập từ không gian mạng chắc hẳn luôn là điều trăn trở của bạn. Những vụ xâm phạm bảo mật xảy ra gần đây sẽ là những bài học thực tiễn quí giá cho bạn có những biện pháp đối phó để tránh thiệt hại cho doanh nghiệp nhỏ của mình.
Coi chừng mất tài khoản đám mây vì mánh lừa phi kĩ thuật
Hồi đầu năm nay, một nhà phát triển có tên là Naoki Hiroshima bị tin tặc tấn công tài khoản quản lí domain (tên miền) cá nhân ông đã đăng kí với nhà đăng kí tên miền tên tuổi GoDaddy. Hành động của tin tặc thực ra là nhằm tống tiền Hiroshima để chiếm đoạt tên người dùng Twitter của ông, @N – một cái tên ngắn gọn chỉ với một chữ cái mà theo ông là đã có người trả giá tới 50.000 USD. Ban đầu ông đã phải từ bỏ tài khoản Twitter của mình để đổi lấy quyền kiểm soát tài khoản GoDaddy, nhằm bảo vệ nhiều domain và website công việc.
Điều đáng lưu ý là quá trình tấn công của tin tặc chỉ hoàn toàn bằng mánh lới phi kĩ thuật (social engineering), với vài cuộc gọi điện thoại tới nhà cung cấp dịch vụ.
Theo Hiroshima, ông đã liên lạc qua email với kẻ tấn công và hắn huênh hoang cho biết, đã mạo nhận Hiroshima gọi tới PayPal trình bày bị mất thẻ tín dụng đăng kí cùng tài khoản PayPal và đề nghị nói cho biết 4 số cuối cùng của thẻ vì trót quên. Thông tin này sau đó đã được dùng trong quá trình xác thực tại GoDaddy để giành quyền kiểm soát tài khoản GoDaddy của nhà phát triển. Kẻ tấn công cho biết nhân viên tiếp nhận cuộc gọi tại GoDaddy yêu cầu hắn cung cấp 6 số cuối cùng của thẻ tín dụng để xác thực, nhưng lại cho phép đoán mò lần lượt hai kí tự chưa biết (từ 00 đến 99).
Hiroshima thực sự kinh ngạc khi thấy PayPal quá dễ dãi trong việc tiết lộ thông tin nhạy cảm của khách hàng, còn GoDaddy không hiểu sao lại chấp nhận cho khách hàng (trong trường hợp này là giả mạo) đoán mò nhiều lần 2 số trong 6 số cuối của thẻ tín dụng. May mắn là mọi thứ đã kết thúc tốt đẹp sau khi câu chuyện vỡ lở và lan truyền rộng rãi trên không gian mạng. Hiroshima không mất dữ liệu, và ban quản trị Twitter cuối cùng đã cấp lại @N cho ông.
Coi chừng mất sạch dữ liệu gửi trên “mây”
Code Spaces, nhà cung cấp SaaS (phần mềm như một dịch vụ) dựa trên dịch vụ đám mây EC2 của Amazon, đã bất ngờ ngừng hoạt động khi bị tin tặc giành được quyền truy cập vào bảng điều khiển (control panel) Amazon EC2 của mình. Theo lời giải thích trong thông báo đóng cửa dịch vụ đăng trên trang chủ của Code Spaces, một người không rõ danh tính đã để lại một số tin nhắn tại bảng điều khiển đe dọa một cuộc tấn công từ chối dịch vụ (DdoS) và lưu ý một khoản tiền chuộc.
Khi Code Spaces cố gắng giành lại quyền kiểm soát bảng điều khiển, kẻ tấn công đã ra tay xóa mọi thứ lưu giữ trên mây của Code Spaces. Dữ liệu bị xóa không thể phục hồi, Amazon rũ bỏ trách nhiệm sao lưu, và Code Spaces cho biết không thể tiếp tục hoạt động.
Ngoài những điều lâu nay chúng ta thường nói về xác thực đa yếu tố và đặt mật khẩu mạnh/yếu, qua trường hợp này còn có thêm bài học quan trọng về sao lưu offline, hoặc ít nhất là sao lưu ngoài tầm tiếp cận của tin tặc hay nhân viên tà tâm. Không rõ khách hàng của Code Spaces có bị mất mã nguồn (source code) của họ hay không, nhưng rõ ràng đã có thêm một lời cảnh báo, đừng quá tin vào lời hứa của nhà cung cấp dịch vụ đám mây khi nói đến sao lưu dữ liệu. Hãy tự lo cho mình!
Coi chừng mất tên miền
Tháng 4 vừa qua, một kẻ trộm cắp trên không gian mạng đã sử dụng hệ thống xác nhận email của nhà cung cấp dịch vụ hosting web uy tín HostMonster để chiếm đoạt domain của Jordan Reid – nhà sáng lập và điều hành trang phong cách sống ramshackleglam.com từ tháng 3/2010. Sau đó, kẻ chiếm đoạt chuyển domain của cô sang quyền sở hữu của một người đàn ông có tên “bahbouh” và đăng kí tại GoDaddy.
Một người bạn của Reid tình cờ phát hiện domain của cô bị ai đó rao bán 30.000 USD trên một trang web đấu giá trực tuyến và đã báo cho cô. Reid liên tục trao đổi với các nhà cung cấp dịch vụ nhờ hỗ trợ lấy lại domain nhưng xem ra bế tắc. GoDaddy cho biết họ không thể giúp đỡ, và HostMonster từ chối khởi động và giải quyết vụ tranh chấp để domain trở lại chủ cũ. Tất cả đều né tránh việc thừa nhận trách nhiệm pháp lí.
Cuối cùng, Reid phải tự giải quyết vấn đề bằng cách nhờ một người bạn mua lại domain từ kẻ chiếm đoạt. Tuy nhiên sau khi có quyền kiểm soát domain cô nhanh chóng dừng việc chuyển khoản thanh toán và đã thành công. Tóm lại, cô tránh một vụ kiện có khả năng tốn kém và kéo dài bằng cách lừa lại tội phạm mạng.
Bài học ở đây là, tên miền của bạn có thể có giá trị cao hơn nhiều so với bạn nghĩ, và việc giành lại quyền kiểm soát khi bị chiếm đoạt không hề đơn giản. Cũng đừng quên rằng quyền kiểm soát domain rơi vào tay tin tặc sẽ cho phép kẻ chiếm đoạt chặn mọi email bằng cách thay đổi bản ghi MX trỏ đến các máy chủ của hắn. Thay vì ngồi than vãn sau khi để mất các domain, các doanh nghiệp nhỏ nên quan tâm nhiều hơn tới việc bảo vệ chúng.
Bảo vệ doanh nghiệp nhỏ của bạn bằng xác thực, sao lưu
Dưới đây là bốn bước giúp doanh nghiệp tự bảo vệ mình khỏi tin tặc sau các sự cố bảo mật ở trên. Các biện pháp nêu lên chưa thể gọi là đủ, nhưng mang tính thực tế và dễ thực hiện. Ý tưởng ở đây là nâng cao ý thức phòng chống tin tặc và các mánh lừa đảo phi kĩ thuật để làm nản lòng mọi cố gắng của chúng.
Sử dụng xác thực hai bước. Đã qua thời xác thực hai yếu tố được coi là xa xỉ, chỉ sử dụng để bảo vệ các tài khoản có giá trị cao. Giờ đây, việc chỉ sử dụng mật khẩu là thiếu an toàn, đặc biệt dữ liệu lưu trữ trực tuyến ngày càng tăng. Nhìn chung, mọi mục tiêu đều có giá trị cao. Hơn nữa, phần mềm độc hại tinh vi có thể lây nhiễm sang điện thoại thông minh và tự động đánh cắp mã xác thực, như khi giao dịch ngân hàng trực tuyến, cướp đi tiền bạc trước khi có bất kì cảnh báo nào được gióng lên (Tham khảo thêm bài “Mẹo sử dụng xác thực 2 bước Gmail trên nhiều thiết bị “).
Sử dụng email riêng cho việc thiết lập lại mật khẩu. Hầu hết, nếu không phải tất cả, các dịch vụ trực tuyến đều yêu cầu một địa chỉ email dùng cho mục đích thiết lập lại mật khẩu. Đó cũng chính là điểm yếu, bởi tin tặc thường tìm cách chiếm đoạt email để giành quyền kiểm soát tài khoản trực tuyến của bạn.
Vì vậy, cần thận trọng khi chọn địa chỉ email cho việc thiết lập lại mật khẩu của một tài khoản, tốt nhất là dùng email trên một tên miền riêng biệt. Các dịch vụ như Gmail và Outlook được cho là đáng tin cậy. Để tránh trở thành mục tiêu của tin tặc hoặc những nỗ lực lừa đảo phi kĩ thuật, đừng sử dụng tài khoản này để trao đổi thư từ hàng ngày với những người khác, và giữ an toàn bằng một mật khẩu mạnh và xác thực hai yếu tố.
Bảo vệ tên miền của bạn. Hãy cân nhắc việc trả phí cao hơn cho dịch vụ đăng kí tên miền nếu có lựa chọn. Một số nhà cung cấp dịch vụ đăng kí tên miền có chính sách khóa domain để ngăn chặn những chuyển nhượng trái phép, có thể đó là lựa chọn tính phí, nhưng là một khoản đầu tư đáng giá.
Ngoài ra, nên đăng kí gia hạn tự động tên miền để tránh việc quên đăng kí lại khi tên miền hết hạn và rơi vào tay người khác. Nhiều doanh nghiệp nhỏ có thể không để ý tới điều đó, nhưng kẻ xấu thường sử dụng các chương trình tự động rình rập những tên miền hết hạn để chộp ngay lấy và “làm giá” khổ chủ. Hãy đảm bảo an toàn cho các tài khoản email liên quan đến tài khoản quản lí domain, tránh để bị tin tặc cướp quyền chuyển domain sang nhà đăng kí khác.
Thường xuyên tạo các bản sao lưu offline. Đối với mọi dịch vụ lưu trữ trực tuyến hiện nay, hãy luôn nhớ tạo bản sao lưu thường xuyên cho các dữ liệu quan trọng. Lưu trữ chúng tách biệt mạng đồng thời tại cả những nơi mà tin tặc khó có thể tiếp cận để gây tổn thất cho doanh nghiệp. Bạn có thể lưu trữ các bản sao trên ổ đĩa cứng di động, thiết bị lưu trữ mạng (NAS), băng từ, hoặc thậm chí là một dịch vụ trực tuyến riêng biệt được bảo vệ với một bộ thiết lập quyền khác.
Ngoài ra, bạn nên sử dụng những thẻ tín dụng khác nhau cho các nhà cung cấp dịch vụ khác nhau và duy trì các định danh riêng biệt cho từng nhà cung cấp dịch vụ đám mây.
Cuối cùng, các doanh nghiệp nhỏ phải luôn chú ý áp dụng các biện pháp gia tăng phòng thủ tại những điểm yếu mà tin tặc có thể khai thác tấn công. Cuộc chiến trên mặt trận an ninh bảo mật sẽ không bao giờ kết thúc, nhưng các doanh nghiệp nhỏ có thể giữ bình yên cho mình với sự chuyên tâm và nỗ lực không ngừng.
Theo PC World VN.
Bình luận