Tội phạm mạng có nhiều "kịch bản" lừa đảo khi nắm được tên và địa chỉ e-mail của bạn. Sẽ nguy hại hơn nữa nếu chúng biết cả số điện thoại, địa chỉ thư tín, 4 số cuối mã thẻ tín dụng...
Khi công ty Zappos thông báo với khách hàng của mình rằng “các dữ liệu giao dịch qua thẻ tín dụng và các phương thức khác KHÔNG bị ảnh hưởng hay truy cập trái phép” sau khi các dữ liệu quan trọng về thông tin khách hàng của doanh nghiệp bán giày dép trực tuyến này bị rò rỉ vào đầu tháng, đó là một sự an ủi về mặt tinh thần. Các dữ liệu bị rò rỉ bao gồm tên tuổi, địa chỉ, nơi nhận hóa đơn, nơi nhận hàng, số điện thoại và 4 số cuối của thẻ tín dụng của 24 triệu khách hàng.
Những khách hàng này có thể sẽ không bị ảnh hưởng ngay, họ sẽ không thấy có bất kì một giao dịch bất thường nào qua thẻ tín dụng hay một sự xâm nhập trái phép nào đó trong khoảng thời gian ngắn kể từ khi các dữ liệu quan trọng này bị thất thoát. Nhưng không có nghĩa là họ AN TOÀN.
Vậy những nạn nhân không may mắn này phải lo lắng về điều gì? Các chuyên gia bảo mật cho rằng nguy cơ sẽ đến theo nhiều cách. Nhẹ nhất là việc hòm thư điện tử bị spam cho đến việc trở thành mục tiêu của việc lừa đảo qua mạng (phishing), qua đó các dữ liệu khác như mật khẩu, toàn bộ số thẻ tín dụng hoặc số an sinh xã hội sẽ có nguy cơ bị lộ.
Những tin tặc đột nhập thành công trang web của Zappos đã có tất cả những thông tin đó. Các vụ rò rỉ thông tin khác được tin tặc tiến hành nhằm vào các máy chủ web thường chỉ lấy được tên tuổi và địa chỉ e-mail. Cho dù quy mô các vụ đột nhập như vậy lớn hay nhỏ, chúng đều làm chúng ta nghĩ tới các nghi vấn sau:
- Tại sao những thông tin đó có giá trị đối với tội phạm mạng?
- Những thông tin đó có giá trị về tiền bạc là bao nhiêu?
- Tội phạm mạng cần tối thiểu những thông tin gì?
- Sau khi đột nhập, khoảng bao lâu sau tin tặc sẽ sử dụng thông tin chúng lấy được?
- Người dùng sẽ gặp rủi ro gì khi tin tặc lấy được những thông tin này?
- Hậu quả của vấn đề.
Hãy xem xét từng điểm một.
Tại sao những thông tin đó có giá trị đối với tội phạm mạng?
Thông tin cá nhân chính là tiền trong nền kinh tế “ngầm”. Đó là mục đích chính của giới tội phạm mạng. Các dữ liệu lấy được sẽ được bán cho nhiều bên khác nhau, bao gồm: những kẻ chuyên lừa đảo mạo danh, các băng đảng tội ác có tổ chức, spammer (cá nhân hoặc tổ chức chuyên gửi thư rác) và những kẻ điều hành botnet (mạng gồm nhiều máy tính bị xâm nhập và bí mật chịu sự điều khiển từ xa). Những cá nhân hay tổ chức này sử dụng thông tin cá nhân mất cắp của các nạn nhân để phục vụ mục đích phi pháp kiếm được nhiều tiền hơn nữa.
Ví dụ, với các spammer, danh sách email mua được sẽ được dùng để chào bán Viagra và Cialis. Các spammer này thường kiếm được 1 USD/lần nhấn chuột dựa trên tỉ lệ phản hồi từ website nhà cung cấp hay do người dùng nhấn chuột vào các quảng cáo pop-up thường được thiết kế nhảy xổ ra bất thình lình ngay trước con trỏ chuột của người xem. Trong khi đó, những kẻ lừa đảo mạo danh lại sử dụng địa chỉ email của nạn nhân để thực hiện các vụ lừa đảo phishing hòng lấy được các thông tin khác giá trị hơn về tài khoản ngân hàng và thẻ tín dụng.
Rod Rasmussen chủ tịch kiêm nhiệm giám đốc kĩ thuật của Internet Identity, một công ty bảo mật Internet có trụ sở ở Tacoma, Washington cho rằng các tổ chức tội phạm mạng giao dịch các thông tin này với nhau nhằm có thể có thể có được thông tin càng hoàn chỉnh về nạn nhân càng tốt. Ông nói: “Quan điểm của tôi là nếu [tội phạm mạng] càng có nhiều thông tin, chúng càng có thể tiến hành các hành vi nguy hiểm và tác hại mạnh hơn. Và chúng sẽ có trong tay thông tin đầy đủ của nạn nhân từ tên họ, số thẻ tín dụng, số PIN, địa chỉ email, số điện thoại khi tiến hành thu thập các dữ liệu kiểu này từ nhiều nguồn khác nhau”.
Những thông tin đó có giá trị về tiền bạc là bao nhiêu?
Giới bảo mật thông tin cá nhân cho biết, thông tin tên tuổi một cá nhân hoặc địa chỉ thư điện tử có giá khoảng 1 USD tùy thuộc vào dữ liệu đó mới hay cũ. Rasmussen cho biết: ”Có quá nhiều dữ liệu trôi nổi ở ngoài kia, và chúng rất dễ dàng được giao dịch ở thế giới ngầm. Thậm chí có khi số thẻ tín dụng cũng có giá dưới 1 USD”.
Số tiền nhỏ nhoi này thoạt nghe thì cũng chẳng đáng gì, song nếu con số lên tới hàng triệu nạn nhân thì đây lại là một khoản tiền lớn. Lấy trường hợp Zappos ở đầu bài làm ví dụ: nếu quả thật tin tặc có được dữ liệu 24 triệu khách hàng của doanh nghiệp này, chúng chỉ cần bán từng gói 5 triệu e-mail với giá nửa đô-la một đơn vị là có ngay 250.000 USD cho mỗi lần giao dịch thành công chỉ từ kết quả của một lần đột nhập đánh cắp thành công.
Những tổ chức/cá nhân điều hành mạng botnet còn kiếm được nhiều tiền hơn thế. Stu Sjouwerman, nhà sáng lập và CEO của tổ chức KnowB4, một đơn vị đào tạo về nhận thức bảo mật Internet, nêu ví dụ một mạng botnet có 100.000 máy tính thành viên. Khách hàng có nhu cầu cần gửi thư rác sẽ phải thuê mạng này với giá 1.000 USD/giờ.
Còn trong trường hợp một gói dữ liệu lớn như dữ liệu 24 triệu khách hàng của Zappos, nó sẽ rất có giá trị để spam thông tin cũng như gửi email chứa các mã độc hại. Chỉ cần 20% số khách hàng này nhận e-mail và “dính” mã độc là mạng botnet đã có thể có thêm chừng 5 triệu thành viên mới bổ sung chỉ bằng cách gửi email. Lúc đó chủ nhân mạng botnet này có thể đòi số tiền cao gấp 5 lần so với trước, tức 5.000 USD/giờ”. Sjouwerman nói thêm: "Đám này đặt tiền bạc lên trên hết”. Tất nhiên, các hành động phi pháp này đồng nghĩa với việc sẵn sàng lãnh án hình sự, ngồi tù và bồi thường tài chính.
Tội phạm mạng cần tối thiểu những thông tin gì?
Các chuyên gia về an ninh thông tin cho biết tất cả các tội phạm mạng đều bắt đầu với địa chỉ e-mail của mỗi cá nhân, bằng cách đó, ít nhất chúng cũng có thể làm hộp thư của nạn nhân bị ngập trong thư rác. Để lấy cắp danh tính của nạn nhân hoặc gian lận thẻ tín dụng, tội phạm mạng cần có mật khẩu, số thẻ tín dụng hoặc số an sinh xã hội. Một khi đã có trong tay địa chỉ hòm thư điện tử, chúng có thể dần dần thu thập nhiều thông tin có giá trị hơn bằng cách gửi email phishing hoặc email chứa phần mềm độc hại.
Một số thư điện tử dạng này có đính kèm phần mềm theo dõi bàn phím (key logger) ghi nhận các thông tin người dùng gõ vào từ bàn phím và lấy cắp các thông tin về tên và mật khẩu của các tài khoản trực tuyến của họ. Nếu không may trong số các tài khoản này có tài khoản ngân hàng thì chúng sẽ mau mắn vét sạch.
Rasmussen cho biết trong trường hợp tội phạm mạng chỉ có được 4 số cuối của thẻ tín dụng hay thẻ ghi nợ của nạn nhân thì chúng vẫn có thể sử dụng những con số này để tiến hành yêu cầu cấp lại mật khẩu người dùng trên các trang thương mại điện tử mà người dùng có tham gia. Kết quả là chúng sẽ có thể tiến hành mua sắm với tài khoản này của nạn nhân, nhưng thường thì chúng sẽ “bán cho những người có nhu cầu tấn công khác” – Rasmussen nói thêm.
Sau khi đột nhập, khoảng bao lâu sau tin tặc sẽ sử dụng thông tin chúng lấy được?
Rasmussen cho biết điều này còn tùy thuộc vào loại tội phạm cũng như thông tin mà chúng lấy được. Nếu các thông tin mất cắp liên quan tới thẻ tín dụng thì chúng gần như sẽ được sử dụng trong khoảng thời gian sớm nhất. Những kẻ lừa đảo kiểu phishing cũng sẽ rất nhanh chóng tận dụng các địa chỉ email mà chúng có được.
Tiếp tới là đám tội phạm mạng gửi email để tiếp tục ‘câu kéo’ nạn nhân tải về các ứng dụng độc hại để có thể “bắt cóc” máy tính nạn nhân trở thành thành viên của mạng botnet hoặc phát đi những thông tin nhạy cảm. Chúng có thể sử dụng các thông báo lưu ý giả yêu cầu nạn nhân phải cài lại mật khẩu trên các trang web giả mạo có giao diện giống với trang web “xịn” trước khi chủ nhân các trang web ‘xịn” này phát hiện ra mình bị đột nhập.
Đó là lí do tại sao việc các công ty đưa ra thông báo về tình trạng dữ liệu khách hàng bị tin tặc lấy cắp là một vấn đề thực sự quan trọng, bởi lẽ chỉ các doanh nghiệp này mới biết được chính xác chuyện gì xảy ra và ai sẽ bị ảnh hưởng, theo Rasmussen. Ông cũng lưu ý rằng EU đang xem xét dự luật liên quan tới việc các doanh nghiệp phải thông báo cho khách hàng về việc mất cắp thông tin cá nhân của khách hàng trong vòng 24 giờ.
Người dùng sẽ gặp các rủi ro gì khi tin tặc lấy được những thông tin này?
Nếu bạn bị mất email, khả năng chắc chắn bạn sẽ nhận thêm thư rác. Sau đó là các email lừa đảo phishing và các email chứa phần mềm độc hại. Các phần mềm độc hại này dọn đường cho tội phạm mạng chiếm quyền điều khiển máy tính của bạn và biến nó thành một “thây ma” (zombie) trong mạng botnet. Sjouwerman cho biết, những kẻ điều hành mạng botnet có thể bí mật khởi động webcam và micophone trên máy bạn để do thám bạn bất kì lúc nào. Sau đó chúng sẽ cài các phần mềm key logger vào máy để ghi lại mật khẩu cũng như các thông tin liên quan đến tài chính khác.
Nếu tin tặc lấy được nhiều thông tin hơn là tên và địa chỉ e-mail, nếu chúng có cả số điện thoại, địa chỉ thư tín, 4 số cuối của mã thẻ tín dụng của bạn, chúng có thể thiết lập nên các kịch bản lừa đảo "hấp dẫn" và hiệu quả hơn nhiều.
Hậu quả của vấn đề
Cả hai chuyên gia Rasmussen và Sjouwerman đều đồng ý với nguy cơ thư rác và cảnh báo người dùng về việc đối mặt với các email lừa đảo phishing như đã nói ở trên. Theo nghiên cứu của Sjouwerman, tỉ lệ mắc bẫy phishing cao một cách đáng ngạc nhiên là 4/10. Nghiên cứu này được đơn vị KnowB4 của ông tiến hành thử nghiệm với một khách hàng là nhà thầu quốc phòng.
KnowB4 đã gửi một thư điện tử giả mạo CEO của công ty khách hàng tới địa chỉ e-mail của 100 nhân viên tìm được trên web. Trong e-mail này, KnowB4giả danh vị CEO kia yêu cầu các nhân viên thay đổi các thông tin liên quan tới phúc lợi của họ trên một trang web giả mạo mà KnowB4 dựng nên. Kết quả là 40% nhân viên sập bẫy và khai báo tuốt tuồn tuột thông tin cần thiết.
Trừ khi các thông tin nhạy cảm như số thẻ tín dụng hoặc tài khoản ngân hàng bị rò rỉ, bạn không cần phải lo lắng quá về chuyện gian lận tài chính có thể xảy ra, nhưng cũng nên cẩn trọng vì những kẻ lừa đảo mạo danh luôn rình rập để có thêm những thông tin này.
Còn trong trường hợp tin tặc có được những thông tin nhạy cảm quý báu trên, chắc chắn bạn sẽ thấy chúng bị lợi dụng ngay khi nhận thông báo cuối kì từ ngân hàng. Khi ấy, bạn phải ngay lập tức thông báo với ngân hàng hoặc các tổ chức phát hành thẻ về các thông tin bạn cho là đã bị rò rỉ bởi tin tặc đột nhập. CNET cho biết, sau vụ PlayStation Network bị đột nhập vào năm ngoái, một số khách hàng của mạng này đã thông báo về việc có những giao dịch gian lận từ thẻ tín dụng và thẻ ghi nợ của họ sử dụng dịch vụ của PlayStation. Tuy nhiên vẫn chưa xác định được các gian lận này có phải là hậu quả của vụ rò rỉ dữ liệu từ Sony hay không hay chỉ là trùng hợp về mặt thời điểm.
Thực ra thì cũng không phải toàn bộ dữ liệu bị rò rỉ đều bị sử dụng cho các mục đích lừa đảo mạo danh, gian lận phi pháp với thẻ tín dụng hay gửi thư rác. CIO.com đã liên hệ với 10 người có các thông tin cá nhân, e-mail và mật khẩu bị đăng tải công khai trên Pastebin.com sau khi nhóm tin tặc LulzSec đột nhập thành công PBS vào tháng 5/2011 để tìm hiểu xem họ có bị ảnh hưởng hay không. Trong số 4 cá nhân chấp nhận phản hồi thông tin, 3 người nói các thông tin bị rò rỉ này hoàn toàn không gây bất kì một tác hại gì đối với họ, người còn lại từ chối bình luận.
Rasmussen nói rằng phiền toái lớn nhất đến với nạn nhân bị mất thông tin cá nhân qua các vụ rò rỉ dữ liệu là “cảm giác bất an và cảm thấy bị rình rập để lợi dụng bất kì lúc nào", ngay cả chỉ khi các thông tin bị mất chỉ gồm tên và địa chỉ email.