Bạn có hoàn toàn an toàn với xác thực đa yếu tố – phần 2



Tiếp theo Bạn có hoàn toàn an toàn vớ xác thực đa yếu tố – phần 1… 

  • Vấn đề và giải phápDựa trên kinh nghiệm của tôi trong quá khứ và hiện tại trong việc hacking và bảo mật. Những vấn đề và giải pháp mà bạn nên quan tâm — cái mà tôi muốn tập trung vào đó là điện thoại thông minh và các công nghệ của nó.Các vấn đề:1/ Tin tặc có thể thao túng bạn bằng một chút kỹ thuật xã hội (social engineering) và thu thập càng nhiều thông tin cá nhân về bạn để thuyết phục bạn lấy mã OTP. Dữ liệu mà tin tặc có thể thu thập về bạn thông qua email lừa đảo, phần mềm độc hại, web đen hoặc nghiên cứu trên mạng xã hội trở nên hữu ích.

    Hình 1. Những gì hacker có thể làm?

    2/ Tin tặc có thể mạo danh bạn để gọi cho nhà khai thác mạng di động (MNO) của bạn để thực hiện hành vi lừa đảo hoán đổi SIM. Tin tặc gọi là “MNO” của bạn, mạo danh bạn và tuyên bố đã làm mất hoặc làm hỏng thẻ SIM của họ (của bạn). Sau đó, họ yêu cầu đại diện dịch vụ khách hàng kích hoạt thẻ SIM mới mà kẻ lừa đảo sở hữu. Thao tác này sẽ chuyển số điện thoại của bạn sang thiết bị của tin tặc có chứa một SIM khác. Hoặc, họ có thể tuyên bố rằng họ cần trợ giúp để chuyển sang điện thoại mới hoặc cần trợ giúp để thay SIM mới. Với số điện thoại của bạn, chúng có thể gây ra nhiều thiệt hại như đánh cắp tài khoản Facebook, Gmail, tài khoản ngân hàng hoặc bất kỳ tài khoản trực tuyến nào có thể xảy ra.

    “Không xây dựng bảo mật và xác thực danh tính của bạn chỉ xung quanh số điện thoại của bạn như OTP qua tin nhắn văn bản / tin nhắn thoại (yếu và có nhiều lỗ hổng).”

    3/ Tin tặc có thể tạo các trang web lừa đảo giống như các trang web yêu thích của bạn để lừa bạn nhấp vào các liên kết độc hại để lấy tên người dùng, mật khẩu và quan trọng nhất là mã OTP của bạn. Tuy nhiên, một cách bí mật, thông tin đăng nhập đi qua máy chủ của tin tặc và họ có thể lấy cookie phiên và ngay lập tức họ có thể kiểm soát tài khoản của bạn bằng cách sử dụng cookie phiên của người dùng mà không cần tên người dùng, mật khẩu của bạn hoặc thậm chí không có mã OTP.

    4/ Tin tặc có thể đưa phần mềm độc hại vào, ví dụ: trang web bị tấn công, trang web lừa đảo, tin nhắn văn bản, ảnh, tệp đính kèm, email, v.v. Họ có thể khiến bạn tin họ vào điều gì đó để bạn có thể bị thao túng bằng cách sử dụng các kỹ năng kỹ thuật xã hội (social engineering), rất có thể họ thao túng bạn bằng cách sử dụng sự sợ hãi, tham lam và tò mò. Sau đó, họ có thể kiểm soát điện thoại hoặc máy tính của bạn. Điều này có nghĩa là mã OTP từ tài khoản ngân hàng của bạn sẽ được tự động chuyển tiếp dễ dàng.

    ·5/ Tin tặc có thể tạo một ứng dụng giả và phân phối nó trên App Stores — để âm thầm theo dõi bạn và chiếm quyền kiểm soát điện thoại của bạn để thu thập dữ liệu nhạy cảm như tin nhắn văn bản, nhật ký điện thoại, ghi âm cuộc gọi, dữ liệu ứng dụng, v.v.

    6/ Tin tặc có thể khai thác lỗ hổng của ứng dụng hoặc khai thác thông qua lỗ hổng của hệ điều hành (hệ điều hành như Apple iOS, Android) để sử dụng làm bước đệm để chiếm quyền kiểm soát điện thoại của bạn.

    7/ Tin tặc có thể sử dụng trình mô phỏng trang web di động hoặc cái gọi là IMSI-catcher (công cụ bắt nhận dạng thuê bao di động quốc tế), với cái tên là “stingrays” (“cá đuối gai độc”), mạo danh tháp di động và có thể thu thập các cuộc gọi siêu dữ liệu, tin nhắn văn bản và lưu lượng truy cập internet từ tất cả các thiết bị ở gần chúng, không chỉ các thiết bị của cá nhân được nhắm mục tiêu. Hơn nữa, nó thậm chí có thể theo dõi thông tin vị trí khi thiết bị tắt nguồn và có thể chủ động thao tác dữ liệu trên thiết bị di động, cho phép theo dõi liên tục hoặc tiêm vào các phần mềm độc hại.

    Hình 2. Tấn cộng nhà mạng viễn thông bằng SS7.

    Một câu chuyện từ người bạn của tôi, anh ta là một kỹ sư phần mềm đã kể rằng : anh ta gặp một trường hợp, trước đây anh ta bị tấn công bằng OTP SMS, có một số cuộc điện thoại nước ngoài ngẫu nhiên gọi vào số điện thoại di động của anh ta trong khoảng vài giây. Anh ta đoán rằng kẻ tấn công đã sử dụng lỗ hổng để kích hoạt bắt tay dựa trên giao thức Hệ thống tín hiệu số 7 (SS7) làm rò rỉ dữ liệu IMSI của tôi.

    Biết giá trị của bạn. Hãy nghĩ về số tiền mà tin tặc sẽ nhận được nếu họ có thể truy cập vào tất cả dữ liệu / tài khoản của bạn. Nếu bạn là một chính trị gia, một giám đốc điều hành cấp cao, một người có tầm ảnh hưởng hoặc một người có nhiều tiền (đặc biệt là tiền điện tử) thì cơ hội được nhắm mục tiêu của bạn cao hơn nhiều.

    Có một số giải pháp giúp bạn giảm nguy cơ trở thành nạn nhân của tin tặc, tội phạm mạng hoặc gián điệp. Tất cả các giải pháp dưới đây phải được thực hiện ngay bây giờ để mang lại cho bạn (với tư cách là người dùng cuối) một giấc ngủ ngon hơn vào ban đêm và bạn (với tư cách là một công ty) là một doanh nghiệp tốt hơn thể hiện tình yêu với khách hàng của họ.

    Giải pháp cho người sử dụng:

    — — — — — Các quy tắc bảo mật chung — — — —

    1. Lưu ý, suy nghĩ kỹ trước khi nhấp hoặc mở bất kỳ tin nhắn văn bản và email nào, nghiên cứu kỹ các nguồn tin, đừng tin vào những điều quá tốt là đúng hoặc quá dễ tin.

    2. Luôn cập nhật hệ thống, chương trình chống vi-rút và ứng dụng của bạn. Không bẻ khóa điện thoại của bạn và không sử dụng các ứng dụng vi phạm bản quyền.

    “Đừng vì sự thiếu hoàn hảo, mà bỏ đi lợi ích của MFA (con người cũng không hoàn hảo mà?). Nó vẫn tốt hơn rất nhiều so với một mật khẩu và khả năng chống lại các nỗ lực hack quy mô lớn hơn.”

    3. Bất cứ phần mềm nào bạn đã cài, bạn phải liên tục cập nhật. Sắp xếp ứng dụng theo cảm nhận của bạn và mức độ hữu ích của chúng, chiếm thời gian của bạn. Điện thoại phải là hộp công cụ của bạn: bất cứ thứ gì không hữu ích đều phải bỏ đi. Không tải xuống các tệp hoặc ứng dụng bạn không biết — chỉ tải xuống từ các nền tảng trực tuyến chính thức.

    4. Luôn sao lưu dữ liệu quan trọng của bạn lên dịch vụ đám mây hoặc ổ cứng di động đề phòng bạn bị mất điện thoại hoặc máy tính xách tay.

    5. Không sử dụng các thiết bị cũ vì phần cứng của nó đã lỗi thời — có thể có lỗ hổng để tin tặc khai thác.

    Hình 3. Một trang web cho phép sử dụng nhiều kiểu xác thực đa yếu tố.



    6. Không sử dụng cùng một mật khẩu trên nhiều tài khoản và không lưu mật khẩu trong trình duyệt của bạn. Nên cân nhắc việc sử dụng trình quản lý mật khẩu như LastPass, KeePass, Dashlane, Keeper Password Manager. Cân nhắc việc sử dụng Face ID và Vân tay để thay thế mật khẩu của bạn. Đảm bảo mật khẩu của bạn dài tối thiểu tám ký tự và đảm bảo sử dụng kết hợp duy nhất giữa chữ hoa và chữ thường, ký hiệu và số. Không sử dụng các từ, ngày sinh, địa chỉ hoặc số điện thoại trong mật khẩu của bạn. Đây là những thứ thường có thể dễ dàng bị thu thập bởi tin tặc. Đừng quên cập nhật mật khẩu của bạn ít nhất 3 tháng một lần.

    7. Đặt mật mã hoặc mã PIN riêng cho thẻ SIM của bạn. Nó sẽ cung cấp thêm một lớp bảo vệ.

    8. Không sử dụng Wi-Fi công cộng hoặc không an toàn, nếu bạn cần kết nối, hãy đảm bảo rằng bạn sử dụng VPN. Hơn nữa, hãy tắt radio như Wi-Fi, Bluetooth khi bạn không sử dụng để đảm bảo bạn đang kết nối với mạng hoặc thiết bị mà bạn mong đợi. Làm như vậy sẽ giảm rủi ro, tăng quyền riêng tư và như một phần thưởng bổ sung và cải thiện thời lượng pin.

    9. Nếu bạn tin rằng mình đang là đối tượng mục tiêu của hacker và muốn tìm hiểu xem mình có phải là mục tiêu của tin tặc hay không, chỉ cần thiết lập một tài khoản honey-trap.

    Hướng dẫn: (Ví dụ về Gmail ở đây, cũng tương tự với Facebook và các nền tảng trực tuyến khác).

    – Thiết lập tài khoản Gmail dưới tên thật của bạn với mật khẩu dễ dàng (Đây là email bẫy mật của bạn).

    – Đi tới cài đặt bảo mật, thêm số điện thoại và email thực của bạn làm phương pháp khôi phục.

    – Chia sẻ công khai email này trên các trang web yêu thích của bạn.

    – Khi một tin tặc có quyền truy cập vào tài khoản đó, bạn sẽ được thông báo ngay lập tức, vì vậy bạn sẽ biết rằng mình đang bị nhắm mục tiêu.

    Nếu tin tặc chiếm đoạt tin nhắn SMS của bạn, họ có thể sẽ cố gắng khôi phục tài khoản Google của bạn bằng chức năng “Quên email”. Tất cả những gì họ cần là họ, tên và mã SMS OTP. Nếu họ thành công, bạn sẽ nhận được thông báo đến email thực của mình rằng ai đó đã truy cập vào tài khoản honeytrap.

    “Hãy chú ý và dành một chút thời gian để đọc những hướng dẫn căn bản về an toàn thông tin mạng, trước khi quyết định sử dụng thẻ tín dụng / tài khoản ngân hàng trực tuyến.”

    —Giữ an toàn cho tài khoản ngân hàng và các tài khoản trực tuyến của bạn —

    1/ Cài đặt quyền riêng tư và bảo mật, sự có mặt của những tính năng này là có lý do. Hầu hết các trang web yêu thích của bạn đều có các cài đặt quan trọng đó, hãy xem lại các tùy chọn quyền riêng tư cho các nền tảng truyền thông xã hội mà bạn tham gia để hiểu cách giới hạn lượng thông tin bạn chia sẻ. Bảo vệ thông tin nhạy cảm của bạn trên mạng xã hội. Nội dung bạn đăng trên mạng xã hội sẽ luôn được lưu trữ online, vì vậy hãy suy nghĩ kỹ trước khi đăng hình ảnh, video hoặc bất kỳ thông tin nào mà bạn không muốn ba mẹ hoặc người sếp tương lai hoặc để hacker nhìn thấy. Bạn nên nhận thức được về các hoạt động trực tuyến của mình và những người bạn đã liên hệ.

    2/ Không xây dựng bảo mật và xác thực danh tính của bạn chỉ xung quanh số điện thoại của bạn như OTP qua tin nhắn văn bản / tin nhắn thoại (yếu và có nhiều lỗ hổng). Thay vào đó, nếu nền tảng trực tuyến như Facebook, Gmail hoặc ngân hàng của bạn cung cấp hỗ trợ OTP thông qua trình xác thực dựa trên phần mềm như Google Authenticator, khóa bảo mật phần cứng như Google’s Titan và các lựa chọn thay thế MFA mạnh hơn khác, bạn nên cân nhắc sử dụng nó. Đừng để bước bổ sung này ngăn cản bạn bảo vệ các tài khoản trực tuyến của mình bằng MFA. Đừng vì sự thiếu hoàn hảo, mà bỏ đi lợi ích của MFA (con người cũng không hoàn hảo mà?). Nó vẫn tốt hơn rất nhiều so với một mật khẩu và khả năng chống lại các nỗ lực hack quy mô lớn hơn.

    Hình 4. Bảo vệ dữ liệu qua mạng của bạn với VPN.

    3/ Hiện tại không có cách nào hiệu quả để tránh bị “tấn công Stingray”, tôi thừa nhận rằng có một số ứng dụng dò tìm Stingray nhưng không có ứng dụng nào thực sự hiệu quả cả. Vì vậy, nếu ai đó sử dụng Stingrays muốn xâm phạm quyền riêng tư của bạn, bạn không thể ngăn cản họ. Giải pháp tốt nhất hiện nay là sử dụng VPN (Mạng ảo cá nhân) với giao thức mã hóa mạnh để mã hóa kết nối của bạn, khi đó dữ liệu của bạn sẽ luôn an toàn — tránh sử dụng VPN với các giao thức yếu như PPTP sẽ không bảo vệ bạn khỏi các cuộc tấn công như vậy. (Một ứng dụng miễn phí giúp Internet của bạn an toàn hơn https://1.1.1.1 từ Cloudflare).

    4/ Hãy chú ý và dành một chút thời gian để đọc những hướng dẫn căn bản về an toàn thông tin mạng, trước khi quyết định sử dụng thẻ tín dụng / tài khoản ngân hàng trực tuyến. Chỉ sử dụng trên các nền tảng trực tuyến chính thức và đáng tin cậy chỉ (ví dụ: truy cập https://facebook.com không phải http://fakebook.com) — các nền tảng trực tuyến đó phải sử dụng HTTPS (bảo mật kết nối), máy chủ của trang web sử dụng chứng chỉ để chứng minh danh tính của trang web với các trình duyệt, như Chrome. Bất kỳ ai cũng có thể tạo chứng chỉ tự xưng là bất kỳ trang web nào họ muốn. Do đó, việc sử dụng các trình duyệt đáng tin cậy như Chrome hoặc Firefox, yêu cầu các trang web sử dụng chứng chỉ từ các tổ chức đáng tin cậy để giúp bạn giữ an toàn trên môi trường web.

    5/ Nên sử dụng thẻ tín dụng hơn sử dụng thẻ ATM; có nhiều biện pháp bảo vệ người tiêu dùng hơn đối với thẻ tín dụng nếu có sự cố. Hoặc, bạn có thể sử dụng dịch vụ thanh toán của bên thứ ba thay vì thẻ tín dụng của mình. Có nhiều dịch vụ bạn có thể sử dụng để thanh toán khi mua hàng — như Google Pay, Zalo Pay, MoMo, VnPay, Paypal — mà không cần cung cấp trực tiếp cho người bán thông tin thẻ tín dụng của bạn.

    6/ Theo dõi chi tiêu của bạn với các ứng dụng ngân hàng. Thiết lập cảnh báo để nếu tiền của bạn được chi tiêu, bạn sẽ nhận được email hoặc tin nhắn văn bản với các chi tiết giao dịch.

    7/ Nếu một nền tảng mua sắm trực tuyến yêu cầu lưu thông tin thẻ tín dụng của bạn, sau khi mua hàng, hãy truy cập và xóa các chi tiết thanh toán đã lưu trữ. Hãy cảnh giác với các loại thông tin đang được thu thập để hoàn tất giao dịch của bạn, nếu một nền tảng trực tuyến đang yêu cầu nhiều dữ liệu hơn mức bạn cảm thấy thoải mái khi chia sẻ, hãy hủy giao dịch.

    8/ “Điều gì xảy ra nếu” bạn rơi vào bẫy của tin tặc; bạn nên liên hệ ngay với ngân hàng và các trang web yêu thích của mình để xem họ có những lời khuyên nào và làm theo lời khuyên đó để khắc phục tình trạng của bạn. Đồng thời, bạn cũng nên liên hệ với bạn bè để họ biết về tình trạng của mình hoặc nhờ một người bạn đăng thông báo để cảnh báo người khác.

    Hãy dành thời gian của bạn để đọc các hướng dẫn bảo mật và bảo vệ quyền riêng tư dưới đây từ các nguồn chính thức và đáng tin cậy:

    · Trung tâm Giám sát an toàn không gian mạng quốc gia https://khonggianmang.vn/

    · Chonghack https://www.chonghack.com/ & https://lamsaodevao.com/

    · Facebook https://www.facebook.com/about/basics/stay-safe-and-secure

    · Google https://safety.google/security/

    · Linkedin https://www.linkedin.com/help/linkedin/answer/267

    · Twitter https://help.twitter.com/en/safety-and-security

    · Wells Fargo https://www.wellsfargo.com/privacy-security/fraud/

    · Techcombank Những Câu Hỏi Thường Gặp Về Smart OTP

    · Electronic Frontier Foundation’s Basic Security Guide https://ssd.eff.org/module-categories/basics & https://ssd.eff.org/module-categories/tool-guides

    · Security Planner: https://securityplanner.consumerreports.org/

    · balodeplao.com Làm gì khi thẻ tín dụng bị hack

    · bb.com.vn Cách xử lý căn bản khi máy bị nhiễm virus



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật