Cần hành lang pháp lý cho sản phẩm dịch vụ an ninh mạng
Nhiều kẻ gian giả mạo nhân viên ngân hàng, viễn thông, đánh cắp dữ liệu,... nhằm lừa đảo khách hàng, chiếm đoạt tiền trong tài khoản, trong khi công tác quản lý an toàn thông tin vẫn còn lỏng lẻo.
Muôn mặt lừa đảo
Hiện tượng lừa đảo trên không gian mạng ngày càng xuất hiện nhiều, trong bối cảnh nền kinh tế số có sự chuyển biến mạnh mẽ vì COVID-19, các hoạt động giao dịch, mua bán, trao đổi thông tin, tài liệu đều thực hiện thông qua Internet.
Nhiều tội phạm gửi thư điện tử mạo danh ngân hàng, yêu cầu xác nhận giao dịch chuyển tiền bằng cách mở tệp tin đính kèm thư điện tử hoặc click vào đường liên kết chứa mã độc (ảnh minh hoạ)
Đối với ngành ngân hàng, nhiều kẻ xấu đã mạo danh nhân viên ngân hàng với lý do hỗ trợ kiểm tra số dư giao dịch, sau đó đối tượng đọc 6 số đầu trong thẻ ghi nợ nội địa của nạn nhân để tạo niềm tin, rồi yêu cầu nạn nhân đọc nốt dãy số còn lại, rồi tiếp tục yêu cầu nạn nhân đọc mã OTP nhận được từ tin nhắn điện thoại. Nếu nạn nhân thực hiện theo yêu cầu của đối tượng, thì xảy ra rủi ro mất tiền trong tài khoản thẻ ngân hàng.
Hay các số đối tượng cố ý chuyển một khoản tiền vào tài khoản của của nạn nhân, sau đó mạo danh nhân viên ngân hàng gọi điện thoại/ gửi tin nhắn yêu cầu để tra soát giao dịch chuyển tiền và yêu cầu nạn nhân mở lệnh chuyển lại tiền hoặc cung cấp mã OTP.
Trong trường hợp khác, tội phạm còn gửi thư điện tử mạo danh ngân hàng, yêu cầu xác nhận giao dịch chuyển tiền bằng cách mở tệp tin đính kèm thư điện tử hoặc click vào đường liên kết chứa mã độc. Với cách thức này, tội phạm cài cắm mã độc trên hệ thống của nạn nhân, qua đó, có thể thu thập các thông tin cá nhân nhạy cảm, trong đó có tài khoản ngân hàng. Các thông tin thu thập được sẽ là cơ sở để các đối tượng phạm tội thực hiện hành vi chiếm đoạt tiền sau này.
Ngoài ra, theo cảnh báo của một công ty chứng khoán, trên thị trường đã xuất hiện trường hợp kẻ gian gọi điện cho nạn nhân, giả mạo là nhân viên nhà mạng viễn thông và thông báo đang có chương trình hỗ trợ miễn phí khách hàng nâng cấp SIM điện thoại từ 3G/4G lên 5G kèm theo nhiều ưu đãi và tiện ích. Từ đó, kẻ gian chuyển đổi số điện thoại của nạn nhân sang eSIM (SIM điện tử) ngay trên điện thoại của kẻ gian. Tiếp theo, nạn nhân được hướng dẫn gửi các tin nhắn để thực hiện nâng cấp SIM. Trong quá trình này, kẻ gian sẽ yêu cầu nạn nhân đọc mã OTP do nhà mạng gửi với lý do để hoàn tất việc nâng cấp SIM. Nếu nạn nhân làm theo yêu cầu, ngay lập tức SIM của nạn nhân sẽ bị vô hiệu hóa, số điện thoại của nạn nhân đã được chuyển sang eSIM của kẻ gian.
Sau khi có được số điện thoại, kẻ gian tiếp tục thực hiện đổi mật khẩu (password) trên Email cá nhân của nạn nhân, liên hệ nhà mạng viễn thông để truy vấn số CMND/CCCD, sau đó là các tài khoản ngân hàng, chứng khoán của nạn nhân...
Đẩy mạnh công tác quản lý
Theo Bộ Công an, thời gian vừa qua, từ thực tiễn và qua kiểm tra trực tiếp nhiều Bộ, ban, ngành, cơ quan Trung ương có hệ thống thông tin quan trọng về an ninh quốc gia đã phát hiện những lỗ hổng bảo mật nghiêm trọng, bị lây nhiễm mã độc, phần mềm gián điệp,... Một trong những nguyên nhân dẫn đến các lỗ hổng bảo mật là chưa có hành lang pháp lý để quản lý các doanh nghiệp, các tổ chức cá nhân cung cấp các sản phẩm dịch vụ an ninh mạng, dẫn đến nguy cơ sử dụng sản phẩm dịch vụ không đảm bảo yêu cầu, không đủ chất lượng. Đây cũng là kẽ hở hết sức nghiêm trọng, đe dọa đến an toàn an ninh quốc gia và trật tự an toàn xã hội. Chính vì vậy, mới đây, Bộ Công an đã đề xuất Ủy ban Thường vụ Quốc hội xem xét bổ sung dịch vụ bảo vệ an ninh mạng vào các ngành nghề kinh doanh có điều kiện trong Luật đầu tư, nhằm đáp ứng các yêu cầu cấp bách trong thực tiễn.
Theo chuyên gia, công tác quản lý an toàn an ninh mạng hiện nay vẫn còn lỏng lẻo (ảnh minh hoạ)
Một vụ việc nóng xảy ra hồi tháng 8/2021 đó là, trên một diễn đàn dành cho tin tặc, tài khoản có tên “Chunxong” đã đăng bài rao bán mã nguồn phần mềm của Bkav- công ty chuyên về an ninh mạng, đáng chú ý, trong đó có mã nguồn phần mềm an ninh mạng Bkav pro, một trong những phần mềm bảo vệ được sử dụng phổ biến. Đến cuối tháng 12/2021, một bộ dữ liệu thông tin tài khoản gồm họ tên, số điện thoại, Email của hơn 200 người dùng dịch vụ Bkav bị một tài khoản khác chia sẻ trên một trang Web chuyên mua bán dữ liệu. Thành viên này cho biết lấy được dữ liệu trên từ website được Bkav sử dụng làm nơi tiếp nhận các góp ý, báo lỗi về sản phẩm của hãng. Sau đó, Bkav xác nhận sự cố này và giải thích, trong quá trình triển khai thử nghiệm dịch vụ, họ vô tình để lộ địa chỉ Email và có thể có số điện thoại của các khách hàng. Cụ thể, hệ thống thử nghiệm được triển khai độc lập trên một máy chủ ở hạ tầng đám mây của Amazon, nhưng Bkav có sai sót về cấu hình dẫn đến tình huống trên.
Về vấn đề này, TS. Đoàn Trung Sơn, chuyên gia an ninh mạng cho rằng, những sản phẩm liên quan đến an ninh mạng có sự đặc biệt so với những sản phẩm khác. Những sản phẩm này là để bảo vệ người dùng, nhưng nếu chỉ là bản thử nghiệm, thì khi bị tấn công sẽ gây ra thất thoát dữ liệu, lộ lọt thông tin người dùng, mức độ ảnh hưởng là rất lớn nên phải được đặc biệt quan tâm.
“Bất kỳ sản phẩm công nghệ dịch vụ nào khi đưa ra cũng phải được tuân thủ quy định của Bộ, ban, ngành về việc xây dựng và phát triển ứng dụng phần mềm, hoặc xây dựng phát triển theo hệ thống, chứ không thể đưa ra các sản phẩm thử nghiệm, tuy nhiên, công tác quản lý của chúng ta còn rất lỏng lẻo”.
Ngoài ra hiện nay, cũng không thể phủ nhận tính ưu việt của căn cước công dân gắn chíp, khi mã QR và chíp trên thẻ căn cước công dân chứa rất nhiều thông tin cá nhân, ảnh cá nhân và dữ liệu sinh trắc học cơ bản, nhưng đây lại cũng là những thông tin mà tội phạm công nghệ cao triệt để lợi dụng. Từ những thông tin đó, nếu nắm được dữ liệu trái phép, các đối tượng xấu có thể dễ dàng thực hiện các hành vi vi phạm pháp luật, như để làm giả thẻ căn cước công dân, giả mạo mở tài khoản ngân hàng, vay tiền online, đăng ký mã số thuế ảo hay một số dịch vụ công trực tuyến khác,...
Do đó, vị chuyên gia an ninh mạng khuyến cáo, với những thủ đoạn, phương thức đã được nêu trên, người dân cần thực hiện 3 không: không cung cấp mã OTP ngân hàng và mật khẩu ví điện tử cho người khác, không click vào các đường link có dấu hiệu bất thường mang mã độc từ các tin nhắn, thư điện tử, website không chính thống và đề phòng với các cuộc gọi từ các số điện thoại lạ mạo danh cơ quan nhà nước, nhà cung cấp dịch vụ… và không cung cấp thông tin, hình ảnh cá nhân hoặc đăng tải lên mạng xã hội.