| Cẩn trọng khi sử dụng
Dưới đây là những tư vấn về cách thức bảo mật khi sử dụng e-mail, phòng tránh các cuộc tấn công mà ông Võ Đỗ Thắng, Giám đốc Trung tâm Đào tạo quản trị và an ninh mạng Athena dành cho độc giả Thanh Niên.
E-mail ngày nay thường chứa đựng tất cả những thông tin cá nhân, tài khoản,... của người dùng và đặc biệt quan trọng đối với doanh nghiệp. Chính vì thế nó trở thành mục tiêu tấn công của hacker để lấy cắp tài khoản cá nhân cũng như đánh bại đối thủ kinh doanh.
Những thủ đoạn đánh cắp mật khẩu
- Stealing Cookies: Khi người dùng sử dụng webmail để truy cập thì tài khoản e-mail của họ sẽ được lưu vào cookies dưới dạng Plantext không được mã hóa. Hacker có thể lấy được cookies này và sử dụng nó để đăng nhập vào tài khoản e-mail của bạn mà không cần biết mật khẩu (password) của bạn là gì. Hiện nay, các công cụ ăn cắp cookies rất phổ biến trên internet như CookieMonster, Hamster, Ferret... Do đó, bất kỳ ai sử dụng webmail như Yahoo, Gmail... từ các mạng công cộng (wifi ở quán cà phê, trường học, văn phòng,...) đều có thể đối mặt với nguy cơ bị tấn công.
- Social Engineering: Đây là kỹ thuật non-technical, hacker sẽ cố gắng tìm mọi cách để có thể lấy được những thông tin cần thiết bằng những trò bịp. Một số người thường dùng những thông tin cá nhân của mình để đặt cho account như ngày sinh, số điện thoại, tên người yêu... Hacker có thể tìm được những thông tin này và sử dụng nó để lấy cắp tài khoản.
- Password Phishing: Hacker sử dụng một trang web giả mạo để người dùng đăng nhập tên tài khoản, mật khẩu.
- Password Sniffer: Hacker sử dụng kỹ thuật ăn cắp tài khoản trong môi trường wifi.
- Fraudulent Email Messages: Những lá thư nặc danh, trúng thưởng, mời nhận tiền, chúc mừng... gửi từ một nguồn mà bạn không hề biết, yêu cầu bạn điền đầy đủ thông tin cá nhân hay tài khoản để nhận một giải thưởng nào đó. Ngoài ra còn chèn link chứa virus, trojan vào các bài viết để khi người nhận mail đọc sẽ click vào link đó làm cho máy tính bị dính mã độc và tài khoản của người dùng sẽ bị lấy cắp.
Một số phương pháp bảo mật
- Bảo mật trong quá trình gửi/nhận và mã hóa e-mail. E-mail trong quá trình truyền từ nguồn tới đích sẽ đi qua rất nhiều trạm trung chuyển. Vấn đề bảo đảm an toàn cho việc gửi/nhận phải được theo dõi và giám sát ngay tại các điểm vào/ra của e-mail, để đảm bảo các e-mail gửi/nhận không vi phạm các chính sách an toàn thông tin của doanh nghiệp, đặc biệt là các vấn đề có liên quan tới các chiến lược kinh doanh. Có một điểm cần lưu ý là e-mail cũng được coi là một bằng chứng trong trường hợp xảy ra tranh chấp cần có sự can thiệp của pháp luật. Do vậy, việc kiểm soát nội dung e-mail là một vấn đề mà nhiều doanh nghiệp đã cân nhắc tới.
Bên cạnh đó, việc triển khai các phương án phòng chống tấn công, mã hóa đường truyền, nội dung e-mail và các phương thức phòng chống virus, spam là điều cốt yếu để bảo vệ bất kỳ hệ thống e-mail nào. Các phương án mã hóa e-mail thường sử dụng hiện nay: TLS (Transport Layer Security), S/MINE, PGP...
- Bảo mật dữ liệu e-mail khi lưu trữ. Vấn đề lớn nhất trong việc này là thất thoát dữ liệu. Dữ liệu có thể bị mất, hư hại hoặc thay đổi do các yếu tố tự nhiên hoặc yếu tố con người. Có một khó khăn đặt ra là hầu hết người dùng hiện nay thường sử dụng các công cụ e-mail client để gửi và nhận e-mail trong doanh nghiệp. Không phải ai cũng thiết lập tùy chọn “lưu lại một bản copy của các e-mail trên mail server” (Leave a copy of messages on the server) trong mail client của mình. Với thiết lập đó, khi client kết nối với mail server để nhận e-mail, các e-mail được lấy về sẽ không còn lưu lại trên mail server nữa. Và do đó, việc bảo vệ dữ liệu e-mail không còn đơn thuần là bảo đảm dữ liệu ở phía server nữa mà bao gồm cả phía client.
Không phải người dùng nào cũng ý thức được hết vấn đề bảo đảm an toàn dữ liệu và chính họ có thể là tác nhân gây thất thoát thông tin.
Quang Thuần (ghi)
|