Thiết bị di động: Tiện đi liền họa

Dễ mất, thất lạc, bị lấy cắp, bị kẻ xấu lợi dụng thu thập thông tin cá nhân nhạy cảm, làm cầu nối tấn công mạng doanh nghiệp… Nhiều hiểm họa có thể đến từ những thiết bị di động đời mới khiến người dùng mất tiền, tốn thời gian khắc phục hậu quả, doanh nghiệp bị “vạ lây”. Không phải ai cũng lường hết mặt trái của việc sử dụng thiết bị cá nhân công nghệ cao.


Những thiết bị di động thông minh như smartphone, máy tính bảng đã trở thành kho chứa thông tin cá nhân nhạy cảm, cũng là cửa ngõ dẫn tới những dữ liệu quí của người dùng và tài nguyên vô giá của doanh nghiệp cùng trào lưu dùng thiết bị riêng cho công việc (BYOD – bring your own device). Thiết bị di động đời mới không chỉ được sử dụng để giao tiếp hàng ngày mà còn phục vụ cho rất nhiều hoạt động khác của chủ nhân nó như nhận và gửi email, truy cập mạng xã hội, chụp ảnh, giải trí, giao dịch tài chính, ngân hàng, mua sắm trực tuyến… Nhiều công việc đòi hỏi người dùng nhập số tài khoản cùng mật mã truy cập, và lưu trữ dữ liệu trên thiết bị. Ngoài nguy cơ bị tin tặc dùng mã độc tấn công, đặc điểm của thiết bị di động là nhỏ, gọn, được người dùng mang đi khắp nơi nên rất dễ mất, thất lạc hay bị đánh cắp. Kết quả là, danh bạ bị mất, lộ nội dung email, hình ảnh riêng tư nhạy cảm, các số tài khoản cùng mật mã truy cập bị đánh cắp, mất tiền trong tài khoản ngân hàng…

Dù vậy, rất nhiều người dùng vẫn chưa ý thức được cần có biện pháp thích hợp bảo vệ thiết bị di động của mình để bảo toàn thông tin như họ đã có thói quen với máy tính. “Công nghệ phát triển quá nhanh, ý thức của người dùng không theo kịp sự phát triển đó. Smartphone mà bạn sử dụng hàng ngày nên được coi là máy tính hơn là điện thoại và cần có những biện pháp bảo vệ tương xứng”, ông Nguyễn Minh Đức – Phó chủ tịch phụ trách an ninh mạng Bkav- nhấn mạnh trong một bản tin an ninh mạng do công ty phát hành hồi tháng 8.

Nhiều nguy cơ rình rập
Một điều dễ nhận thấy khi người dùng làm mất hay bị đánh cắp thiết bị di động, trước hết là tốn tiền mua máy mới. Nhưng không chỉ có vậy. Nạn nhân có thể phải trả một khoản tiền lớn cho những cuộc gọi mà kẻ đoạt được điện thoại tranh thủ thực hiện. Nhiều rắc rối khác kéo đến vì dữ liệu bị mất cùng thiết bị, như danh bạ, hình ảnh riêng tư và nhiều tài liệu lưu trữ quan trọng khác. Không loại trừ khả năng kẻ gian có thể lợi dụng danh tính nạn nhân thực hiện lừa đảo với những ứng dụng mạng xã hội, email, chat… do nạn nhân có thói quen ghi nhớ tài khoản sử dụng cùng mật mã truy cập ngay trong ứng dụng. Do vậy, kẻ gian khi lấy được thiết bị, chỉ cần chạy ứng dụng là mặc nhiên truy cập được thông tin, tài khoản.


Đặt mật khẩu cho thiết bị di động, tránh sự tò mò của kẻ khác.

QR code có thể chứa đường link dẫn tới trang web độc hại khiến người dùng vô tình tải về mã độc

Thiết bị di động thường xuyên kết nối mạng, nên đang là đích nhắm lừa đảo người dùng của giới tội phạm mạng. Theo ghi nhận của công ty bảo mật McAfee, đang có sự tăng trưởng nhanh về số lượng phần mềm độc hại nhắm vào các thiết bị di động thông minh như smartphone và máy tính bảng, khi những thiết bị này ngày càng phổ biến và thường được sử dụng cho các hoạt động như giao dịch tài chính, ngân hàng, mua sắm trực tuyến. McAfee cho biết, chỉ riêng trong quý 2/2013 đã xuất hiện hơn 17.000 loại mã độc mới hoạt động trên nền Android.

Các chuyên gia McAfee cho rằng, cũng như với máy tính, trên smartphone và máy tính bảng có nhiều thứ cần được bảo vệ như lịch trình, các số tài khoản, emai. Đặc biệt, người dùng gặp nguy cơ cao mất tiền trong tài khoản ngân hàng vì giao dịch bất hợp pháp khi số tài khoản và mật mã truy cập bị đánh cắp, còn mã xác thực từ tổng đài của ngân hàng gửi về số điện thoại người dùng thì bị chặn lấy mà nạn nhân không hề biết (tham khảo bài “Mất tiền do thông tin cá nhân bị đánh cắp”, PCW tháng 9/2013; hoặc PCW Online, ID: A1309_27). Khi thiết bị dính mã độc, thông tin cá nhân còn bị lợi dụng cho những hoạt động lừa đảo nhắm vào những người có tên trong danh bạ; cũng có thể tiền trong tài khoản thuê bao di động trả trước cạn nhanh chóng vì ứng dụng mã độc tự động nhắn tin về tổng đài tính phí; hoặc một cách thức khác là bị cài chế độ nghe lén để moi những bí mật riêng tư của người dùng.

Theo đánh giá của các chuyên gia bảo mật, Android đang là miếng mồi ngon của các loại phần mềm độc hại. Đó là điều thực sự đáng lo ngại vì nền tảng này đã chiếm gần 80% thị phần smartphone và hơn 60% thị phần máy tính bảng toàn cầu. Dù Google đã tăng cường kiểm soát kho ứng dụng Google Play, nhưng nhiều người dùng muốn tự do sử dụng theo cách của mình đã root (bẻ khóa) thiết bị để cài ứng dụng từ những nguồn khác. Ngay cả Apple tuy có chế độ kiểm duyệt ngặt nghèo nhưng nhiều thiết bị iOS vẫn thiếu an toàn vì chủ nhân của chúng jealbreak (bẻ khóa) thiết bị để thoải mái cài ứng dụng miễn phí. Những ứng dụng miễn phí có thể có những tính năng hấp dẫn, nhưng xuất phát từ nguồn thiếu tin cậy và không được kiểm duyệt nên chúng tiềm ẩn nguy cơ chứa mã độc, sẵn sàng gây tác hại khi được người dùng tải về.

Những năm gần đây, QR Code hay còn gọi là mã QR (Quick Response) đang nổi lên như là phương thức hữu hiệu cho việc quảng bá sản phẩm, dịch vụ nhờ tính tiện lợi. Người dùng thiết bị di động dễ dàng thu nhận dữ liệu bằng cách quét camera với ứng dụng đọc mã QR cài sẵn. Thế nhưng, một mã QR có thể chứa đường link dẫn tới một trang web độc hại khiến người dùng vô tình tải về mã độc.
Một mối đe dọa nhận được nhiều cảnh báo của các chuyên gia bảo mật là các mạng Wi-Fi công cộng. Cũng như khi dùng máy tính, thiết bị di động sử dụng kết nối với mạng Wi-Fi công cộng không được bảo mật rất dễ bị kẻ xấu chặn “bắt” dữ liệu gửi đi. Đó có thể là số tài khoản và mật mã truy cập một dịch vụ ảo, và hệ quả là mất tiền thật. Bluetooth thường bật theo mặc định cũng là cầu nối bị kẻ gian lợi dụng truy cập thiết bị của bạn bất hợp pháp.

Cấu hình chung, rủi ro riêng
Những thiết lập mặc định của các nhà sản xuất ẩn chứa những rủi ro có thể người dùng không nhận biết. Chẳng hạn khi chia sẻ lên Facebook ảnh vừa chụp được bằng smartphone hay máy tính bảng trong một chuyến đi xa, nếu chưa vô hiệu hóa GPS (hệ thống định vị toàn cầu) trên thiết bị có thể sẽ là điều không hay, vì vị trí người dùng bị lộ ngoài ý muốn và việc này có thể bị kẻ gian lợi dụng (ví dụ biết là nhà đang không có người). Dịch vụ địa điểm chạy nền liên tục kết nối thiết bị với mạng không dây khiến pin hao tổn rất nhanh, nhưng điều đáng ngại hơn là nguy cơ vị trí của chủ nhân bị theo dõi.


Cảm biến vân tay sẽ là xu hướng mới cho bảo mật di động, xác thực giao dịch trực tuyến.

Cấu hình sẵn trên thiết bị di động ẩn chứa nhiều rủi ro mang tính riêng tư nếu người dùng không quan tâm đúng mức về bảo mật. Những gì chat trên Facebook sẽ được cập nhật đồng thời trên tất cả các thiết bị có cùng tài khoản; những ứng dụng cho phép lưu trữ ảnh trực tuyến như Dropbox hay Photostream của iOS sẽ tự động tải ảnh người dùng chụp lên “mây” rồi tải về mọi thiết bị có chung tài khoản; tương tự như vậy với các dịch vụ Gmail, iCloud… Do đó, nếu để người khác sử dụng smartphone hay máy tính bảng cài sẵn tài khoản sử dụng các dịch vụ này, họ sẽ thấy ngay nội dung bạn vừa cập nhật. Mặt khác, thiết bị nếu không được thiết lập khóa bảo vệ chẳng khác gì cửa “kho báu” di động mở toang cho bất cứ kẻ nào nhòm ngó. Khi đề cập tới tính năng bảo mật bằng cảm biến dấu vân tay Touch ID trên iPhone 5s, Apple cho biết hơn nửa số người dùng iPhone hầu như không quan tâm tới việc đặt khóa bảo mật dùng để mở thiết bị và truy cập màn hình khóa.

Bkav mới đây lên tiếng cảnh báo nguy cơ người dùng dễ lộ những thông tin quan trọng như ảnh chụp, tin nhắn, email, danh bạ do cơ chế đồng bộ dữ liệu giữa các thiết bị dùng chung tài khoản, vì nhiều trường hợp smartphone “chuyển chủ” do mua, bán, cho mượn nhưng tài khoản được cấu hình sẵn trên máy vẫn giữ nguyên. Có một thực tế là nhiều cửa hàng sẵn sàng cài đặt các ứng dụng cho khách mua máy tính bảng. Nhiều thiết lập mặc định có thể gây bất lợi cho khách hàng. Chưa kể là các ứng dụng cài đặt sẵn khi có phiên bản mới vá lỗi không thể nâng cấp được vì đòi hỏi người dùng phải đăng nhập bằng tài khoản ban đầu được sử dụng để cài ứng dụng lên máy. Có vẻ như Touch ID của Apple hứa hẹn mở ra xu hướng bảo mật di động mới, tiện cho người dùng quản lý thiết bị di động của mình, các ứng dụng trên đó, và xác thực các giao dịch trực tuyến.

Gia tăng tổn thất vì ứng dụng giả mạo
Hãng bảo mật McAfee mới đây đưa ra cảnh báo xu hướng mã độc lây nhiễm thiết bị di động để đánh cắp thông tin truy cập tài khoản ngân hàng trực tuyến của người dùng. Hình thức này đem lại mối lợi bất hợp pháp lớn hơn nhiều so với tự động gửi tin nhắn đến tổng đài tính phí có chủ đích. Theo McAfee, ngày càng có nhiều người sử dụng smartphone cho các giao dịch tài chính cá nhân, nhưng lại không chú ý tăng cường bảo mật như khi họ thực hiện với máy tính, trở thành mục tiêu ngon lành của tin tặc. McAfee phát hiện mã độc mới ẩn trong ứng dụng giả, mạo danh ứng dụng của ngân hàng, lừa người dùng tải về thiết bị di động, không chỉ ăn cắp thông tin đăng nhập tài khoản ngân hàng trực tuyến mà còn có khả năng chặn “bắt” tin nhắn mã xác thực dùng một lần OTP (one time password) cho các giao dịch trực tuyến. Điều này đặt tài khoản ngân hàng trực tuyến của nạn nhân nằm gọn trong tay của tin tặc. Những ứng dụng giả mạo này thường được cung cấp từ các nguồn bên ngoài, không chịu sự kiểm duyệt như với các ứng dụng trên Google Play của Google hay App Store của Apple.


Android đang là “mồi” ngon của phần mềm độc hại.

Ứng dụng miễn phí cho thiết bị Android được cảnh báo nhiều nhất về những rủi ro chực chờ người dùng tải về. Ứng dụng giả mạo có thể vượt qua chính sách kiểm duyệt của Google, như đưa phiên bản sạch lên Google Play, chỉ đến khi khách hàng bị dụ nâng cấp phiên bản mới thì tính năng gián điệp mới kích hoạt. Ứng dụng giả mạo thường miễn phí và có những tính năng hấp dẫn người dùng, nhưng kèm theo đó là những hành vi đáng ngờ như đòi quyền truy cập danh bạ, xem lịch sử cuộc gọi, theo dõi vị trí, hay truy cập camera tích hợp trên thiết bị. Đó là cách tác giả thu thập và sử dụng những thông tin quan trọng để thực hiện các giao dịch và thanh toán trực tuyến bất hợp pháp. Cũng có thể những thông tin đánh cắp được, tác giả sẽ đem bán cho các công ty dùng cho mục đích tiếp thị hoặc chạy những quảng cáo ngầm.

Theo McAfee, để tránh rủi ro, người dùng phải chú trọng bảo vệ an toàn thông tin cho smartphone và máy tính bảng như với PC. Thiết lập cơ chế bảo mật cho thiết bị di động thông minh phải được đặt ưu tiên lên hàng đầu.

BYOD – thách thức cân bằng tính tiện dụng và bảo mật
Cùng với trào lưu sử dụng thiết bị di động cá nhân cho công việc (BYOD), nhiều tổ chức, doanh nghiệp đã chấp nhận cho nhân viên của mình truy cập mạng nội bộ bằng smartphone, máy tính bảng để xử lý dữ liệu, giúp tăng năng suất. BYOD rõ ràng tiện cho nhân viên làm việc mọi lúc mọi nơi, giảm chi phí đầu tư thiết bị của doanh nghiệp. Theo một báo cáo gần đây của hãng nghiên cứu thị trường Gartner, hơn một nửa số công ty hiện đang áp dụng chính sách BYOD sẽ yêu cầu nhân viên sử dụng các thiết bị cá nhân của họ cho công việc vào năm 2017. Và tới năm 2016, dự kiến sẽ có 38% số công ty ngừng cung cấp thiết bị cho nhân viên. Vì thế đang nổi lên những thách thức mới về vấn đề bảo mật doanh nghiệp.

Thách thức lớn với bộ phận IT là thông tin, dữ liệu riêng của cá nhân được để chung với dữ liệu doanh nghiệp trên cùng một thiết bị. Nếu thiết lập chế độ bảo mật nghiêm ngặt sẽ mâu thuẫn với thói quen sử dụng của từng cá nhân. Trong khi đó, nhiều người có xu hướng tìm đủ mọi cách cài đặt các ứng dụng “ngoài luồng” lên thiết bị riêng của mình, dẫn đến nguy cơ dính mã độc, kèm theo đó là rủi ro lớn từ việc thất lạc hay mất cắp thiết bị vì thường xuyên được người dùng mang đi khắp nơi. Thiết bị cá nhân bị chiếm quyền điều khiển không chỉ mất dữ liệu doanh nghiệp chứa trên đó mà còn nguy cơ bị tin tặc lợi dụng làm cầu nối để đột nhập vào mạng nội bộ, khai thác trái phép những thông tin bảo mật của doanh nghiệp.

Bài toán khó đặt ra là làm sao dung hòa giữa bảo mật doanh nghiệp và tính tiện dụng cá nhân. Dữ liệu doanh nghiệp phải được phân mức độ bảo vệ như thế nào; dữ liệu nào được phép truy cập, xử lý và lưu trữ trên thiết bị di động cá nhân, dữ liệu nào không; những qui định về quản lý và bảo mật cho thiết bị di động, cấu hình và cài đặt ứng dụng bảo mật. Chẳng hạn thiết bị bị mất, nhân viên sẽ khóa máy và định vị tìm kiếm qua tính năng quản lý từ xa, nhưng ai sẽ là người chịu trách nhiệm ra quyết định xóa dữ liệu trên máy từ xa để bảo vệ thông tin doanh nghiệp, cũng đồng thời làm mất dữ liệu cá nhân. Nhân viên có vẻ mất toàn quyền với thiết bị của riêng mình khi tuân thủ chính sách bảo mật doanh nghiệp. Vì thế, nếu như chính sách quá khắt khe, nhân viên có thể sẽ có xu hướng vi phạm bằng cách thay đổi thiết lập, gỡ bỏ ứng dụng bảo mật, lờ đi các bước kiểm soát truy cập… để sử dụng thiết bị thoải mái theo ý mình.

Việc tồn tại cùng lúc nhiều nền tảng di động, gồm iOS, Android, BlackBerry, Windows Phone với các mô hình bảo mật khác nhau đòi hỏi hệ thống hỗ trợ của doanh nghiệp phức tạp hơn. Ngoại trừ BlackBerry vốn có thế mạnh về bảo mật doanh nghiệp, các nền tảng di động khác còn thiếu cơ chế bảo mật chặt chẽ vì nhằm mục tiêu phục vụ người tiêu dùng tiện nhất.

10 lời khuyên giúp tăng cường bảo mật di động
1. Thiết lập chế độ khóa thiết bị và đặt thời gian tự động khóa màn hình.
2. Tắt Wi-Fi, Bluetooth, NFC, dịch vụ địa điểm nếu không dùng.
3. Đừng hack thiết bị (jailbreak với iOS hay root với Android). Chỉ cài ứng dụng từ nguồn đáng tin cậy.
4. Sao lưu dữ liệu.
5. Khi thực hiện giao dịch tài chính, ngân hàng, mua bán trực tuyến: tránh dùng mạng Wi-Fi công cộng; chắc chắn địa chỉ web là chính xác; thoát ngay (logout) thay vì chỉ đóng trình duyệt khi kết thúc sử dụng dịch vụ; không ghi nhớ tên tài khoản người dùng và mật mã trong trình duyệt .
6. Không nhắn tin hay email trả lời yêu cầu cung cấp thông tin cá nhân.
7. Không nhấp vào đường link hay mở file đính kèm email gửi tới từ nguồn không đáng tin cậy.
8. Cài đặt ứng dụng bảo mật di động.
9. Khôi phục cấu hình thiết bị về mặc định trước khi “chuyển chủ”.
10. Nâng cấp phần mềm khi có phiên bản cập nhật.

Nguồn PC World VN​