Xem mẫu
- PHÂN TÍCH ĐỊNH TÍNH- BẢO MẬT THÔNG TIN
TRÊN MẠNG XÃ HỘI FACEBOOK TRONG THỜI ĐẠI 4.0
Nguyễn Lê Hoàng Minh, Trần Lê Quỳnh Nhi
Viện Đào tạo Quốc tế, Trường Đại học Công nghệ TP. Hồ Chí Minh (HUTECH)
GVHD: ThS. Nguyễn Lan Hương
TÓM TẮT
Thời gian qua, “bảo mật thông tin” hay “rò rỉ dữ liệu, thông tin cá nhân” là những cụm từ "nóng"
được nhắc đến rất nhiều trong lĩnh vực an ninh mạng. Năm 2018, hàng tỉ người dùng trên khắp
thế giới đã bị rò rỉ thông tin cá nhân khi dùng các ứng dụng trên mạng xã hội và bị tin tặc tấn
công. Các vụ tấn công hệ thống thông tin, cài mã độc, rao bán thông tin người dùng… ngày
càng diễn biến phức tạp, khiến yêu cầu bảo mật thông tin cá nhân trở nên cấp thiết. Do vậy, mỗi
người dùng mạng internet cần tự trang bị kỹ năng tự bảo vệ thông tin cá nhân để tránh những
hậu quả đáng tiếc.
Từ khóa: Bảo mật thông tin, rò rỉ dữ liệu.
1 TÌNH HÌNH CHUNG
1.1 Việt Nam
Việt Nam trở thành 1 trong 20 quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới
với gần 60 triệu người sử dụng thiết bị di động kết nối Internet. Đây là nền tảng thuận lợi để Việt
Nam phát triển giao thông thông minh, y tế thông minh, giáo dục thông minh, từ đó tiến tới thành
phố thông minh. Ở đó, các thiết bị sẽ kết nối với nhau qua Internet, tuy nhiên, vấn đề bảo mật thông
tin cho người dân khi sử dụng mạng y tế trực tuyến trên toàn quốc hay lộ thông tin từ camera giám
sát giao thông thông minh cũng là một trong những vấn đề đặt lên hàng đầu. Theo các chuyên gia,
trong năm qua, với lỗ hổng bảo mật cả về công nghệ và con người, tin tặc đã tấn công gây thiệt hại
tới hơn 10.000 tỷ đồng cho người sử dụng Internet ở Việt Nam, trong vụ rò rỉ thông tin cá trên mạng
xã hội Facebook, ước tính hơn 400.000 tài khoản cá nhân Facebook tại Việt Nam đã bị lộ thông tin
cá nhân. Trong kỷ nguyên số 4.0, với sự bùng nổ của các thiết bị kết nối với nhau qua mạng
Internet (IOT), vấn đề an ninh, bảo mật thông tin trên các thiết bị này ngày càng trở nên cấp thiết
không chỉ ở Việt Nam, mà còn cả ở trên thế giới.
1.2 Thế giới
Vấn đề bảo mật trong kỷ nguyên của các thiết bị vạn vật kết nối đang trở thành đề tài nóng trên
mọi diễn đàn lớn nhỏ trên thế giới. Theo dự đoán của Công ty Gartne - chuyên tư vấn về mảng
công nghệ thông tin, trong năm 2018, thế giới sẽ chi khoảng 547 triệu USD cho việc bảo mật hệ
thống vạn vật kết nối. Năm 2020, sẽ có gần 4 tỷ thiết bị trên khắp thế giới được kết nối với nhau qua
Internet, đem lại nhiều tiện ích trong giao thông, y tế, giáo dục... cho người sử dụng. Tuy nhiên,
987
- người sử dụng sẽ đối diện với vấn đề mất dữ liệu thông tin lớn và thiệt hại kinh tế khi các cuộc tấn
công mạng đang có xu hướng nhằm vào lỗ hổng của những thiết bị kết nối Internet.
2 MỤC ĐÍCH VÀ NHỮNG THỦ ĐOẠN PHỔ BIẾN CỦA VIỆC ĐÁNH CẮP THÔNG TIN
2.1 Thông tin cá nhân bị đánh cắp như thế nào?
Vụ bê bối quyền dữ liệu cá nhân Facebook xoay quanh việc thu thập thông tin cá nhân của "lên tới
87 triệu người"(2) của Công ty Tư vấn Chính trị và Truyền thông chiến lược Cambridge Analytica(3).
Công ty này và các công ty khác - đã có thể truy cập vào dữ liệu cá nhân của người dùng Facebook
do sự hợp nhất của nhiều yếu tố, bao gồm cả các biện pháp bảo vệ không đầy đủ đối với các công
ty tham gia thu hoạch dữ liệu, ít có sự giám sát của các nhà phát triển bởi Facebook, nhà phát triển
lạm dụng API Facebook và người dùng đồng ý với các điều khoản và điều kiện quá rộng.
Trong trường hợp của Cambridge Analytica, công ty đã có thể thu thập thông tin nhận dạng cá
nhân thông qua một ứng dụng đố vui về tính cách có tên thisisyourdigitiallife, dựa trên mô hình tính
cách OCEAN(4). Thông tin được thu thập thông qua ứng dụng này rất hữu ích trong việc xây dựng
hồ sơ "tâm lý" của người dùng (từ viết tắt OCEAN là viết tắt của Openness (cởi mở),
Conscientiousness (sự tận tâm), Extraversion (sự cởi mở), Agreeableness (sự dễ chịu) và
Neuroticism (sự nhạy cảm). Việc thêm ứng dụng vào tài khoản Facebook của bạn để làm bài kiểm
tra giúp người tạo ứng dụng truy cập thông tin hồ sơ và lịch sử người dùng cho người dùng làm bài
kiểm tra, cũng như tất cả bạn bè mà người dùng có trên Facebook. Dữ liệu này bao gồm tất cả các
mục mà người dùng và bạn bè của họ đã thích trên Facebook.
Hình 1: Nguy cơ mất dữ liệu
2.2 Mục đ ch
Bất cứ ai sử dụng máy tính có kết nối Internet đều có thể là nạn nhân của các hackers. Chúng
thường sử dụng các trò lừa đảo như email spam có chứa mã độc hoặc gửi tin nhắn và các trang
web không có thật để cung cấp phần mềm độc hại nguy hiểm nhằm xâm phạm an ninh máy tính
của bạn. Tin tặc cũng có thể cố gắng truy cập trực tiếp vào máy tính và thông tin cá nhân của bạn
nếu bạn không được tường lửa bảo vệ. Chúng có thể theo dõi các cuộc hội thoại của bạn nhằm tìm
kiếm thông tin hoặc dụ dỗ bạn tiết lộ thông tin cá nhân dưới hình thức ẩn danh. Tiếp theo, thông tin
bị đánh cắp sẽ được sắp xếp theo mức độ hữu dụng. Không phải tất cả dữ liệu đều hữu ích nhưng
các thông tin như mật khẩu và các chi tiết xác thực cộng với số điện thoại, email và địa chỉ, số thẻ
tín dụng và tên đều rất có giá trị.
988
- 2.2.1 Tống tiền thông qua phần mềm gián điệp có chứa mã độc (ransomware)
Một trong những hành vi phổ biến nhất của tin tặc là đánh cắp dữ liệu để tống tiền nạn nhân.
Chúng sẽ chiếm quyền truy cập vào máy tính của bạn và mã hóa toàn bộ dữ liệu cá nhân tìm được.
Một khi dữ liệu đã bị mã hóa thì chỉ có một chìa khóa đặc biệt bí mật mới có thể giải mã được.
2.2.2 Đánh cắp danh tính
Danh tính chính là các thông tin cá nhân như: Tên, tuổi, giới tính, email và các thông tin nằm trong
account của bạn. Tin tặc có thể sử dụng nó để phục vụ cho các ý đồ xấu trong tương lai – bao gồm
đánh cắp nhiều thông tin có giá trị hơn thông qua những gì đã thu thập được hoặc truy xuất vào
thẻ tín dụng, thẻ ngân hàng của bạn nhằm tạo ra những giao dịch ảo.
2.2.3 Bán ra chợ đen
Hầu hết các dữ liệu bị đánh cắp sẽ bị bán ra chợ đen trên một nền tảng được gọi là deep web.
Theo Quartz, một bộ đầy đủ thông tin cá nhân của ai đó bao gồm mã số an sinh, địa chỉ, ngày sinh
và thông tin thẻ tín dụng sẽ có giá từ 1 đến 450 USD.
2.2.4 Đánh cắp sở hữu trí tuệ
Chúng ta đang sống trong một thế giới chạy đua về công nghiệp, bí mật thương mại và quyền sở
hữu trí tuệ. Trong đó, quyền sở hữu trí tuệ là một trong những mục tiêu hàng đầu của các hackers –
những người thậm chí được bảo trợ bởi một thế lực lớn đứng đằng sau như các tập đoàn hoặc
chính phủ.
2.2.5 Ăn cắp cơ sở hạ tầng
Sẽ tốn rất nhiều chi phí để duy trì máy chủ và hệ thống cơ sở hạ tầng lưu trữ riêng. Vì vậy, một số tin
tặc sẽ muốn xâm nhập vào cơ sở hạ tầng của bạn để lưu trữ dữ liệu và ứng dụng của chúng mà
không phải trả tiền. Ngoài ra, tin tặc còn nhắm đến cơ sở hạ tầng của các tập đoàn lớn hoặc chính
phủ để phục vụ cho mục đích thương mại hoặc chính trị,…
2.2.6 Mục đ ch khác
Ngoài ra, tồn tại một số lượng rất nhỏ hackers muốn đánh cắp dữ liệu của bạn chỉ để thỏa mãn cái
tôi cá nhân mà không vì bất kỳ lợi ích kinh tế hay chính trị nào. Họ đơn giản chỉ muốn chứng tỏ bản
thân rằng họ có thể vượt qua được các biện pháp bảo mật của bạn. Trong trường hợp này, không
có điều gì sẽ xảy ra với thông tin cá nhân của bạn nhưng bạn vẫn nên bảo mật dữ liệu cẩn thận và
giám sát thông tin tài khoản một cách chặt chẽ để phát hiện mọi dấu hiệu tấn công một cách kịp
thời, khóa kiểm soát truy cập và tránh các nguy cơ tiềm ẩn.
2.2.7 Một số thủ thuật đánh cắp mật khẩu phổ biến
Tấn công “Từ điển”
Đây là thủ đoạn đơn giản và phổ biến nhất trong danh sách. Bởi hacker sẽ sử dụng một thuật toán
để tự động thử tất cả các từ/cụm từ có sẵn trong một “Từ điển” – một tập tin nhỏ chứa các từ/cụm từ
989
- phổ biến mà người dùng trên toàn thế giới thường sử dụng để đặt mật mã. Ví dụ: 123456, qwerty,
password, mynoob, princess, baseball, hunter2…
Ưu điểm: Nhanh, thường thành công đối với một số tài khoản bảo mật lỏng lẻo.
Nhược điểm: Khả năng thành công thấp đối với các mật mã phức tạp.
Thủ đoạn “Lừa đảo”
Cách này không được xếp vào hàng “bẻ khoá”, bởi hacker sẽ dụ dỗ người dùng thông qua một số
mánh khoé lừa đảo. Thủ đoạn này thường gặp nhất dưới hình thức lừa đảo qua email (dưới danh
nghĩa một tập đoàn hay tổ chức lớn có danh tiếng). Email này thường yêu cầu người nhận phải chú
ý, và có kèm theo một đường dẫn đến một trang web. Đường dẫn này thực ra liên kết đến một
trang đăng nhập giả mạo, thiết kế trông y hệt trang đăng nhập thực tế. Người nhận không hề hay
biết và điền các thông tin cá nhân vào đó, hoặc bị dẫn đến trang khác… Thông tin người dùng
được gửi về cho hacker và bị đem bán hoặc sử dụng vào nhiều mục đích khác.
Ưu điểm: Dụ dỗ người dùng trực tiếp giao mật mã, khả năng thành công cao, dễ dàng được thay đổi
để tương thích với nhiều dịch vụ khác nhau (trong đó Apple ID là mục tiêu được nhắm đến nhiều nhất).
Nhược điểm: Email spam dễ bị lọc bởi các dịch vụ email hoặc các máy lọc spam.
Malware/keylogger:
Đây là thủ đoạn quá phổ biến và nhiều người gặp phải. Các malware có thể nhắm vào các dữ liệu
cá nhân, hoặc thả một con Trojan điều khiển từ xa để ăn cắp thông tin người dùng.
Ưu điểm: Có quá nhiều malware với nhiều phương thức hoạt động khác nhau, rất khó bị phát hiện.
Nhược điểm: Có thể bị các phần mềm bảo vệ ngăn chặn.
3 HẬU QUẢ
3.1 Cá nhân
3.1.1 Thông tin cá nhân (PII)
Khi một người dùng Facebook tham gia vào cuộc khảo sát, họ đã cấp cho công ty quyền truy cập
vào một phổ rộng dữ liệu cá nhân mà Facebook cung cấp cho các nhà quảng cáo. Ứng dụng đã
vươn xa hơn, cho phép công ty truy cập dữ liệu hồ sơ từ những người trong nhóm bạn bè trên
Facebook rộng hơn của người dùng, những người có, hay nói cách khác, cài đặt bảo mật của họ
tương đối yếu. Mặc dù công ty có thể đã không sử dụng "hack"(4) truyền thống để truy cập thông tin
người dùng, nhưng họ có thể đã vi phạm các điều khoản sử dụng(5) của Facebook bằng cách thu
hoạch hàng loạt và sử dụng lại dữ liệu người dùng. Bắt người dùng tương tác với khảo sát là chìa
khóa để mở khóa dữ liệu.
3.1.2 Thông tin tài chính và ngân hàng
Hacker có thể sử dụng thông tin tài chính của nạn nhân cho các hoạt động: Thanh toán hóa đơn,
thực hiện các giao dịch trực tuyến lừa đảo và chuyển tiền ra khỏi các tài khoản ngân hàng. Với
990
- thông tin ngân hàng, chúng có thể mua hàng trực tiếp và giao dịch trực tuyến dựa trên thông tin có
trong thẻ.
3.1.3 Thông tin trực tuyến
Thông tin trực tuyến đề cập đến dữ liệu được sử dụng trên mạng bao gồm: tên người dùng và mật
khẩu email cũng như thông tin đăng nhập mua sắm trực tuyến. Việc đánh cắp thông tin trực truyến
có thể nguy hiểm hơn PII vì nó là cơ sở làm lộ các tài khoản trực tuyến của nạn nhân trước các nguy
cơ độc hại tiềm ẩn.
3.1.4 Các loại thông tin khác
Ngoài ra, mỗi cá nhân còn có những thông tin về y tế, giáo dục,… Cho dù đó là thông tin gì thì tất
cả đều có liên quan mật thiết đến nhau. Nếu một loại dữ liệu, chẳng hạn như thông tin ngân hàng
bị rò rỉ, các loại thông tin còn lại cũng bị tổn hại.
3.2 Doanh nghiệp hoặc tổ chức
3.2.1 Thông tin khách hàng
Các doanh nghiệp để xảy ra hành vi làm rò rỉ thông tin khách hàng sẽ chịu một hậu quả rất to lớn
không chỉ là về tài chính mà còn là lòng tin của khách hàng. Ví dụ: Sau tin đồn Công ty cổ phần Thế
giới Di động để lộ hàng loạt thông tin khách hàng và nhân viên, cổ phiếu MWG của công ty này
mức giảm mạnh này, ước tính vốn hóa của Thế giới Di động đã "bốc hơi" gần 650 tỷ đồng chỉ trong
ngày 8/11.
3.2.2 Các bí mật kinh doanh, công nghệ,…
Thiệt hại là không thể lường trước được với bất cứ doanh nghiệp, hay tổ chức nếu bị đánh cắp các
thông tin cơ mật này trong thời đại chạy đua giữa các công ty trong thời đại của công nghệ và kinh
doanh này. Theo các đại diện thương mại tại Mỹ, hoạt động đánh cắp quyền sở hữu trí tuệ tại
Trung Quốc tiêu tốn hơn 50 tỷ USD mỗi năm.
Thật khó để nói hết được những hậu quả to lớn để lại cho cá nhân, doanh nghiệp hay bất cứ tổ
chức nào khi xảy ra sự rò rỉ thông tin trong thời đại.
4 BIỆN PHÁP BẢO MẬT THÔNG TIN
4.1 Đặt lại mật khẩu máy tính và ứng dụng
Facebook đã chủ động thông báo cho người dùng đã thu thập dữ liệu của họ bởi Cambridge
Analytica, mặc dù người dùng có thể kiểm tra thủ công để xem liệu dữ liệu của họ có được chia sẻ
hay không bằng cách truy cập trang Trợ giúp của Facebook này.
Facebook cũng đang phát triển nút “Xóa lịch sử” mà công ty chỉ ra là "hồ sơ cơ sở dữ liệu của họ về
bạn". CNET và CBS News Nhà sản xuất Cao cấp Dan Patterson lưu ý (6) trên CBSN rằng "không có
nhiều thông tin cụ thể về việc xóa cơ sở dữ liệu sẽ làm gì, và tất nhiên, ngay khi bạn đăng nhập lại
và bắt đầu tạo lại dữ liệu, bạn đã đặt lại một cookie mới và bạn bắt đầu lại quá trình".
991
- Để hiểu rõ hơn về cách Facebook xử lý dữ liệu người dùng, bao gồm những tùy chọn nào có thể và
không thể sửa đổi bởi người dùng cuối, có thể hữu ích khi xem lại Điều khoản dịch vụ(7) của
Facebook, cũng như Chính sách dữ liệu(8) và Chính sách cookie(9) của Facebook.
4.2 Sử dụng phần mềm diệt virus
Kiểm tra chi tiết các quyền của ứng dụng di động Fcaebook bao gồm quyền truy cập bộ nhớ,
camera, liệu micro có thể ghi âm thanh hay không, trạng thái điện thoại, vị trí gần đúng (dựa trên
các liên kết giao tiếp mạng) và vị trí chính xác của bạn (GPS và dựa trên các liên kết giao tiếp
mạng).(10)
4.3 Cập nhật phần mềm thường xuyên
Cập nhật phần mềm có thể là một vấn đề gây phiền toái cho người sử dụng vì mất nhiều thời gian,
Tuy nhiên, chúng là một điều cần thiết, vì các bản cập nhật này chứa các bản vá bảo mật quan
trọng, các bản vá lỗi ấy sẽ bảo vệ dữ liệu máy tính của bạn khỏi các mối đe dọa mới phát hiện
gần nhất. Không cài đặt các cập nhật này có nghĩa là máy tính của bạn đang gặp nguy hiểm.
4.4 Mã hóa dữ liệu quan trọng
Mã hóa dữ liệu không chỉ dành cho những người chuyên sâu về công nghệ, người dùng bình
thường cũng có thể mã hóa được. Các công cụ hiện đại sẽ giúp mọi người có thể mã hóa email và
các thông tin khác một cách dễ dàng. Để tránh việc máy tính của bạn gặp rủi ro về việc mất thông
tin, dữ liệu thì bạn có thể sử dụng một số phần mềm mã hóa dữ liệu máy tính như: AutoKrypt
11.09, TrueCrypt 7.1.
4.5 Bảo vệ máy tính khỏi người sử dụng khác
Hạn chế chia sẻ máy tính người khác, bạn sẽ không biết họ đã làm những gì với máy tính của bạn.
Máy tính của bạn có thể bị cài những phần mềm độc hại, hay phần mềm theo dõi. Vì thế, lời
khuyên cho trường hợp này là: chỉ giao máy tính của bạn cho những người bạn thực sự tin tưởng.
TÀI LIỆU THAM KHẢO
[1] Giải pháp nào bảo mật dữ liệu thông tin trong thời đại công nghệ 4.0? (2018),
https://vtv.vn/90-phut-de-hieu/giai-phap-nao-bao-mat-du-lieu-thong-tin-trong-thoi-dai-
cong-nghe-40-20180408130302603.htm
[2] Zack Whittaker (2018), (Link: https://www.zdnet.com/article/facebook-confirms-cambridge-
analytica-took-more-data-than-first-thought/), Cambridge Analytica LLC (CA), Cambridge
Analytica took a lot more data than first thought
[3] Dan Patterson (2018), As Cambridge Analytica closes shop, Facebook adds privacy tools,
(Link: https://www.techrepublic.com/article/as-cambridge-analytica-closes-shop-facebook-
adds-privacy-tools/)
[4] Facebook Terms of Service (Link:
https://www.facebook.com/legal/terms/update/?ref=email&locale=en_US)
992
- [5] Facebook Terms of Service (Link:
https://www.facebook.com/about/privacy/update/?ref=email&locale=en_US
[6] Facebook Terms of Service (Link:
https://www.facebook.com/policies/cookies/?ref=email&locale=en_US
[7] Jake Smith (2018), Securing Facebook: Keep your data safe with these privacy settings, (Link:
https://www.zdnet.com/article/facebook-private-data-settings/)
993
nguon tai.lieu . vn
