Bản phúc trình có tên là “” của công ty an ninh mạng Trend Micro, dự báo rằng trong năm 2019, tội phạm mạng sẽ đẩy mạnh các phương thức tấn công tinh vi hơn trong bối cảnh công nghệ thay đổi.
Các vụ lừa đảo trên mạng xã hội được dự báo sẽ tiếp tục tăng mạnh trong năm nay, và những kẻ tấn công cũng sẽ lợi dụng các công nghệ mới như trí tuệ nhân tạo (AI) để giả mạo nhân sự trong các công ty lớn, khiến cho các vụ lừa đảo chiếm đoạt thông tin trở nên thuyết phục hơn.
Trong một bài nói chuyện trên diễn đàn TED, chuyên gia bảo mật Caleb Barlow đến từ IBM đã chỉ ra sự thiếu sót trong các chiến lược bảo mật dữ liệu hiện tại, và gợi ý rằng tội phạm trực tuyến cần được đối phó bằng nỗ lực tập thể, chia sẻ thông tin kịp thời về các nạn nhân và cách thức lây lan, nhằm chống lại các hình thức tấn công tinh vi và nguy hiểm.
Trên cương vị Phó chủ tịch của IBM Security, ông Barlow có cái nhìn sâu sắc về một trong những hoạt động tình báo an ninh lớn nhất trên thế giới. Đội ngũ của ông lãnh vai trò bảo mật thông tin cho hàng ngàn khách hàng tại hơn một trăm quốc gia. Trong một ngày làm việc, họ có thể xử lý đến 35 tỷ rủi ro bảo mật trên khắp các trung tâm hoạt động.
Ông Barlow chuyên tư vấn cho các giám đốc an ninh thông tin, ban giám đốc và các quan chức chính phủ về các hoạt động, khuôn khổ và chiến lược an ninh nhằm giảm thiểu rủi ro trên toàn cầu. Ông nhận xét về tội phạm trực tuyến như sau:
“Tội phạm mạng đã vượt ngoài tầm kiểm soát. Chúng tồn tại khắp mọi nơi. Chúng ta nghe về chúng mỗi ngày. Năm nay, có hơn 2 tỷ hồ sơ bị mất hoặc lấy cắp. Vào năm ngoái, 100 triệu người, hầu hết là người Mỹ, bao gồm cả tôi, đã bị mất dữ liệu bảo hiểm y tế vào tay những kẻ trộm. Điều đặc biệt đáng lo ngại ở đây là trong hầu hết các trường hợp, phải mất hàng tháng trước khi có ai đó trình báo việc dữ liệu bị đánh cắp.
“Nếu bạn hay xem tin tức trên truyền hình, bạn sẽ nghĩ rằng hầu hết các vụ tấn công này là hoạt động gián điệp hay mang tầm quốc gia. Vâng, có một số vụ như vậy. Bạn thấy đấy, gián điệp là một hoạt động được quốc tế chấp nhận. Nhưng trong trường hợp này, nó chỉ là một phần nhỏ trong vấn đề mà chúng ta đang đối mặt. Chúng ta thường nghe nói rằng một vụ xâm nhập là ‘kết quả của một cuộc tấn công tinh vi mang tầm cỡ quốc gia’. Thế nhưng trong nhiều trường hợp, đó là do chính các công ty không chịu thừa nhận những thiếu sót của họ trong việc bảo mật thông tin. Nhiều người tin rằng khi quy chụp một vụ tấn công cho một quốc gia nào khác, thì các cơ quan quản lý sẽ ít dòm ngó bạn hơn.
“Vậy thì những vụ tấn công này bắt nguồn từ đâu? Liên Hiệp Quốc ước tính rằng 80% các vụ tấn công mạng đến từ những nhóm tội phạm tinh vi và có tổ chức. Cho đến nay, nó đại diện cho một trong những nền kinh tế bất hợp pháp lớn nhất thế giới, lên đến 445 tỷ Mỹ kim. Để dễ hình dung con số này, 445 tỷ đô la lớn hơn Tổng sản phẩm quốc nội của 160 quốc gia gộp lại, bao gồm Ireland, Phần Lan, Đan Mạch và Bồ Đào Nha.
“Những băng đảng tội phạm này hoạt động như thế nào? Tôi sẽ kể cho các bạn nghe một câu chuyện. Khoảng 1 năm về trước, các chuyên gia bảo mật của chúng tôi đang theo dõi một Trojan thông thường nhưng rất tinh vi nhắm vào các ngân hàng tên là Dyre Wolf. Dyre Wolf sẽ xâm nhập vào máy tính của bạn khi bạn nhấn vào một đường dẫn trong một email lừa đảo mà lẽ ra bạn không nên nhấn vào. Sau đó nó sẽ chờ đến khi bạn đăng nhập vào tài khoản ngân hàng. Và khi đó, những kẻ xấu sẽ tiếp cận, đánh cắp các thông tin đăng nhập, và sử dụng chúng để lấy cắp tiền của bạn. Điều này nghe có vẻ khủng khiếp, nhưng sự thật là, trong ngành kỹ nghệ bảo mật, dạng tấn công này khá là phổ biến. Tuy nhiên, Dyre Wolf có hai cơ chế tấn công hoàn toàn khác biệt – một là đối với các giao dịch nhỏ, nhưng nó sẽ hành động theo cách hoàn toàn khác khi bạn chuyển tiền với số lượng lớn qua mạng.
“Đây là những gì sẽ xảy ra. Bạn bắt đầu quá trình giao dịch qua mạng, và trên trình duyệt sẽ hiện ra một màn hình từ ngân hàng, thông báo rằng có vấn đề với tài khoản của bạn, và bạn cần phải gọi điện cho ngân hàng ngay lập tức, kèm theo số điện thoại đến bộ phận chống lừa đảo của ngân hàng. Vậy là bạn sẽ nhấc máy và thực hiện cuộc gọi. Sau khi nghe xong lời chào tự động thông thường, bạn được gặp nhân viên tổng đài nói tiếng Anh. ‘Xin chào, Ngân hàng Altoro Mutual. Tôi có thể giúp gì cho bạn?’ Và bạn sẽ trải qua một trình tự như mọi lần bạn gọi tới ngân hàng, cung cấp thông tin về tên và số tài khoản, trả lời các câu hỏi bảo mật để xác nhận danh tính. Phần lớn chúng ta đều không biết là, rất nhiều giao dịch quy mô lớn yêu cầu có hai người ký xác nhận cho giao dịch đó. Vì thế nhân viên tổng đài yêu cầu bạn chuyển máy cho người thứ hai, để trải qua trình tự xác nhận và kiểm chứng y hệt.
“Thoạt nghe thì có vẻ bình thường, nhưng vấn đề ở đây là: Bạn không nói chuyện với ngân hàng, mà là với những tên tội phạm. Chúng dàn dựng một bộ phận hỗ trợ bằng tiếng Anh, giả mạo giao diện trang mạng của ngân hàng. Điều này được thực hiện hoàn hảo đến mức trong mỗi phi vụ, chúng lấy được từ nửa triệu đến một triệu rưỡi đô la.
“Những tổ chức tội phạm này vận hành như những doanh nghiệp cực kỳ quy củ. Nhân viên của chúng làm việc từ thứ Hai đến thứ Sáu. Họ nghỉ làm cuối tuần. Vì sao chúng tôi biết được điều này? Bởi vì các chuyên gia bảo mật của chúng tôi nhận thấy mức tăng đột biến và lặp lại của phần mềm độc hại vào chiều thứ Sáu. Những kẻ xấu, sau khi nghỉ ngơi cuối tuần với vợ con, sẽ quay lại để xem mọi việc tiến hành ra sao vào thứ Hai.
“Mạng internet ngầm, hay dark web, là hang ổ của chúng. Đó là thuật ngữ ám chỉ góc khuất ẩn danh của mạng Internet, nơi những kẻ trộm có thể hoạt động ẩn danh và không bị phát hiện. Tại đây, chúng rao bán các phần mềm xâm nhập và chia sẻ thông tin về các ngón nghề tấn công mới.
“Bạn có thể mua mọi thứ ở đó, từ một phần mềm tấn công cơ bản cho đến phiên bản cao cấp hơn. Thực ra, trong nhiều trường hợp, bạn còn thấy dịch vụ cấp độ vàng, bạc và đồng. Bạn có thể kiểm tra lý lịch. Thậm chí bạn có thể mua các vụ tấn công kèm theo cam kết hoàn lại tiền nếu bạn không thành công. Những khu chợ này – chúng giống như Amazon hay eBay. Bạn thấy các sản phẩm, giá tiền, xếp hạng và nhận xét. Dĩ nhiên, khi bạn cần mua một dịch vụ tấn công, bạn sẽ mua từ một tên tội phạm có tiếng với thứ hạng cao chứ?
“Nó chẳng khác gì truy cập Yelp hay TripAdvisor trước khi ghé thăm một nhà hàng mới. Sau đây là một ví dụ: Ảnh chụp màn hình thực tế của một tên chuyên cung cấp phần mềm độc hại. Bạn có thể thấy chúng là người bán cấp độ 4, với mức độ tín nhiệm là 6. Năm ngoái chúng có 400 nhận xét tích cực, và duy nhất 2 nhận xét tiêu cực trong tháng trước. Chúng tôi thậm chí còn thấy những thứ như điều khoản sử dụng. Đây là ví dụ về một trang mạng mà bạn có thể vào nếu bạn muốn thay đổi danh tính. Họ sẽ bán cho bạn chứng minh thư giả, sổ thông hành giả.“Chuyện này xảy ra vài tháng trước. Một trong các chuyên gia bảo mật của chúng tôi đang tìm hiểu một ứng dụng phần mềm độc hại trên Android mà chúng tôi mới phát hiện. Nó có tên là Bilal Bot. Trong một bài blog, cô ấy nhận xét Bilal Bot là một bản thử nghiệm giá rẻ thay thế cho GM Bot, một phần mềm tinh vi hơn và rất phổ biến trong giới tội phạm ngầm. Bài đánh giá này khiến cho những tác giả của Bilal Bot không hài lòng. Họ viết email cho cô ấy và nói rằng có lẽ cô ấy đã đánh giá một phiên bản cũ. Họ yêu cầu cô ấy cập nhật bài blog với những thông tin chính xác hơn, và thậm chí còn đề nghị thu xếp một cuộc phỏng vấn để mô tả chi tiết cho cô ấy phần mềm tấn công của họ giờ đã vượt xa đối thủ như thế nào.
A listing on the dark web advertising Medicare details in 2017. (Source: SBS World News) Source: SBS World News
“Vậy chúng ta sẽ ngăn chặn việc này như thế nào? Chúng ta khó thể nào tìm ra thủ phạm – nên nhớ, chúng hoạt động ẩn danh ngoài vòng pháp luật. Chắc chắn chúng ta cũng không thể truy tố bọn chúng. Tôi đề nghị chúng ta nên tiếp cận theo hướng hoàn toàn mới. Đó là thay đổi động cơ kinh tế của bọn tội phạm.
“Để minh họa cách thức làm việc này, hãy nghĩ tới phản ứng thường thấy đối với các đại dịch y tế như SARS, Ebola, cúm gà, hay Zika. Ưu tiên hàng đầu là gì? Đó là nắm được thông tin người nhiễm bệnh và cách dịch bệnh lan truyền. Các chính phủ, tổ chức tư nhân, bệnh viện, nhân viên y tế – tất cả đều phản hồi một cách cởi mở và nhanh chóng. Đây là một nỗ lực tập thể và xuất phát từ lòng vị tha, nhằm ngăn chặn quá trình lây lan và cảnh báo bất cứ ai chưa nhiễm bệnh những biện pháp tự bảo vệ hoặc chủng ngừa.
“Thật không may, đây lại không phải là phản ứng thường thấy trong các vụ tấn công mạng. Các tổ chức thường giấu nhẹm thông tin về những vụ tấn công này. Vì sao? Bởi vì họ lo sợ sự cạnh tranh, các vụ kiện tụng hay cơ quan quản lý. Chúng ta cần phải dân chủ hóa các dữ liệu tình báo về nguy cơ tấn công. Chúng ta cần phải thuyết phục các tổ chức này cởi mở và chia sẻ những thông tin cất giấu trong kho dữ liệu của họ. Những kẻ xấu đang hành động nhanh chóng; chúng ta càng phải nhanh hơn bọn chúng. Và biện pháp tốt nhất là cởi mở và chia sẻ thông tin về các vụ việc đã xảy ra.
“Hãy nghĩ về điều này từ quan điểm của các chuyên gia bảo mật. Nên nhớ, họ được lập trình từ trong gen để giữ bí mật. Chúng ta cần phải thay đổi quan niệm ngay từ gốc rễ. Chúng ta phải vận động chính phủ, các tổ chức tư nhân và công ty bảo mật tự nguyện chia sẻ thông tin mau chóng. Và đây là lý do: bởi vì nếu bạn chia sẻ thông tin, điều đó đồng nghĩa với việc chủng ngừa. Và nếu bạn không chia sẻ, bạn là một phần của vấn đề, bởi vì bạn đang nâng cao khả năng người khác bị mắc bẫy bởi cùng một mánh khóe tấn công.
“Nhưng còn một lợi ích to lớn hơn thế. Thông qua việc phá hủy các thiết bị của bọn tội phạm gần với thời gian thực, chúng ta sẽ phá vỡ kế hoạch của chúng. Chúng ta cảnh báo những người chúng định làm hại sớm hơn những gì chúng có thể phỏng đoán được. Chúng ta hủy hoại tiếng tăm của chúng, đạp đổ những bảng xếp hạng và đánh giá. Chúng ta khiến cho tội phạm mạng không kiếm ra tiền. Chúng ta phá hủy động cơ kinh tế của bọn chúng. Nhưng để làm được điều này, cần có một người tiên phong, thay đổi quan niệm trong ngành kỹ nghệ bảo mật nói chung.”