Hướng dẫn để không bị hack

Nguyễn Minh Giàu
15 thg 5, 2021

huong-dan-de-khong-bi-hack-01.png

Tin tặc thường sẽ đánh cắp hàng trăm triệu mật khẩu trong một lần truy cập và đôi khi gây thảm hoạ mất điện quy mô lớn. Tương lai có lẽ sẽ không trở nên tốt đẹp hơn, với những thảm họa ngoài đời thực gây ra bởi các loại công nghệ thông minh như Internet of Things, robot nhà thông minh có thể giết bạn hay sự nguy hiểm của việc hacker lấy được dữ liệu của bạn. Trong khi đó, một bộ máy giám sát ngày càng phát triển của các tập đoàn công nghệ lớn xung quanh chúng ta là một mối đe dọa luôn hiện hữu đối với quyền riêng tư kỹ thuật số của chúng ta.

Điều đó không có nghĩa là không có sự hy vọng. Có rất nhiều điều bạn có thể làm để khiến tin tặc khó truy cập vào thiết bị và tài khoản của bạn hơn và mục đích của hướng dẫn này là cung cấp cho bạn các bước rõ ràng, dễ làm để cải thiện nhận thức về bảo mật thông tin. Nói một cách khái quát, có hai kiểu hack: Loại mà bạn không thể phát hiện được và loại mà bạn thường có thể ngăn chặn. Mình muốn giúp bạn giảm thiểu thiệt hại của loại đầu tiên và ngăn chặn loại thứ hai xảy ra.

Với tư cách là người dùng cá nhân, bạn không thể làm bất cứ điều gì để ngăn nhà cung cấp email hoặc công ty nắm giữ chi tiết tài chính của bạn khỏi việc bị tấn công. Nhưng bạn có thể tránh các cuộc tấn công lừa đảo sẽ cho phép tin tặc xâm nhập vào tài khoản email cá nhân của bạn và bạn cũng có thể ngăn việc bị lấy mật khẩu trong một vụ hack lớn hơn được sử dụng lại trên một tài khoản riêng biệt khác mà bạn có.

Hướng dẫn này không toàn diện và không được cá nhân hóa. Không có cái gọi là “bảo mật hoàn hảo” và không có một giải pháp nào phù hợp với tất cả các trường hợp. Thay vào đó, mình hy vọng đây sẽ là sự khởi đầu cho những người đang tìm cách bảo vệ thông tin riêng tư của họ.

Đó là lý do tại sao mình cố gắng giữ cho hướng dẫn này dễ tiếp cận nhất có thể, nhưng nếu bạn gặp phải bất kỳ từ ngữ chuyên ngành nào mà bạn không biết thì sẽ có một bảng chú giải thuật ngữ ở cuối hướng dẫn này để giúp bạn hiểu rõ hơn về nó.

Mô hình hóa mối đe dọa

huong-dan-de-khong-bi-hack-02.png

Mọi thứ trong hướng dẫn này đều bắt đầu bằng “mô hình hóa mối đe dọa” (threat modeling) là thuật ngữ của hacker dùng để đánh giá khả năng bạn bị tấn công hoặc bị giám sát. Khi nghĩ về cách bảo vệ thông tin riêng tư của mình, trước tiên bạn phải nghĩ về những gì bạn đang bảo vệ và những người bạn đang bảo vệ nó. “Phụ thuộc vào mô hình mối đe dọa của bạn” là điều mà các chuyên gia bên InfoSec nói khi được hỏi về việc Signal là ứng dụng nhắn tin tốt nhất hay Tor là trình duyệt an toàn nhất. Câu trả lời cho bất kỳ câu hỏi nào về bảo mật "tốt nhất", về cơ bản là: "tuỳ vào tình huống".

Không có kế hoạch bảo mật nào giống với bất kỳ kế hoạch nào khác. Loại biện pháp bảo vệ nào bạn thực hiện đều phụ thuộc vào việc ai có thể cố gắng truy cập vào tài khoản của bạn hoặc đọc tin nhắn của bạn. Tin xấu là không có cách nào là hoàn hảo tuyệt đối nhưng tin tốt là hầu hết mọi người đều có các mô hình mối đe dọa mà họ có thể không phải lo lắng khi mỗi lần tham gia vào không gian mạng.

Vì vậy, trước khi làm bất cứ điều gì khác, bạn nên xem xét mô hình mối đe dọa của mình. Về cơ bản, bạn đang cố gắng bảo vệ điều gì và bạn đang cố gắng bảo vệ nó khỏi ai?

Theo như Tổ chức Biên giới Điện tử (Electronic Frontier Foundation) khuyên bạn nên tự hỏi mình năm câu hỏi sau khi lập mô hình mối đe dọa:

  • Bạn muốn bảo vệ điều gì?
  • Bạn muốn bảo vệ nó khỏi ai?
  • Khả năng bạn sẽ cần bảo vệ nó như thế nào?
  • Hậu quả tồi tệ như thế nào nếu bạn thất bại?
  • Bạn sẵn sàng trải qua bao nhiêu khó khăn để cố gắng ngăn chặn những điều đó?

Mối đe dọa của bạn có phải là người yêu cũ muốn truy cập tài khoản Facebook của bạn không? Sau đó, đảm bảo rằng họ không biết mật khẩu của bạn là một nơi tốt để bắt đầu. Không chia sẻ mật khẩu quan trọng với mọi người, bất kể họ là ai; nếu chúng ta đang nói về Netflix, hãy đảm bảo rằng bạn không bao giờ sử dụng lại mật khẩu đó ở nơi khác. Bạn có đang cố gắng ngăn những kẻ cơ hội lấy thông tin cá nhân của bạn - chẳng hạn như sinh nhật — lần lượt có thể được sử dụng để tìm các chi tiết khác. Luôn nắm bắt loại nội dung mà bạn đăng trên mạng xã hội sẽ là một ý kiến tuyệt vời. Và sử dụng bước xác thực hai yếu tố (two-factor authentication) sẽ đi được một chặng đường dài để ngăn chặn những tên tội phạm nghiêm trọng hơn.

Đánh giá quá mức mối đe dọa của bạn cũng có thể là một vấn đề: nếu bạn bắt đầu sử dụng hệ điều hành tùy chỉnh, máy ảo hoặc bất kỳ thứ gì liên quan đến kỹ thuật nào khác khi nó thực sự không cần thiết (hoặc bạn không biết cách sử dụng), có thể bạn đang lãng phí thời gian của mình và có thể tự đặt mình vào nguy cơ bị hack. Tốt nhất, ngay cả những tác vụ đơn giản nhất cũng có thể mất nhiều thời gian hơn; trong trường hợp xấu nhất, bạn có thể đang tự ru ngủ mình vào cảm giác an toàn sai lầm bằng các dịch vụ và phần cứng mà bạn không cần, đồng thời bỏ qua những gì thực sự quan trọng đối với bạn và các mối đe dọa thực tế mà bạn có thể phải đối mặt.

Luôn giữ ứng dụng trong trạng thái mới nhất

huong-dan-de-khong-bi-hack-03.png

Có lẽ điều cơ bản và quan trọng nhất bạn có thể làm để bảo vệ mình là cập nhật phần mềm bạn sử dụng lên phiên bản mới nhất. Điều đó có nghĩa là sử dụng phiên bản cập nhật của bất kỳ hệ điều hành nào bạn đang sử dụng và cập nhật tất cả các ứng dụng và phần mềm của bạn. Nó cũng có nghĩa là cập nhật firmware trên router, các thiết bị được kết nối và bất kỳ tiện ích nào khác mà bạn sử dụng có thể kết nối với internet.

Nhiều cuộc tấn công mạng phổ biến thường lợi dụng các lỗ hổng trong phần mềm lỗi thời như trình duyệt web cũ, trình đọc PDF hoặc các công cụ xử lý văn bản. Bằng cách cập nhật mọi thứ, bạn có ít khả năng trở thành nạn nhân của phần mềm độc hại hơn, bởi vì các nhà sản xuất và nhà phát triển phần mềm có trách nhiệm nhanh chóng vá các sản phẩm của họ sau khi các bản hack mới được phát hiện.

Mật khẩu

huong-dan-de-khong-bi-hack-04.png

Tất cả chúng ta đều có quá nhiều mật khẩu để ghi nhớ, đó là lý do tại sao một số người chỉ sử dụng đi sử dụng lại những mật khẩu giống nhau. Việc sử dụng lại mật khẩu là không tốt vì nếu chẳng hạn, nếu một tin tặc giành được quyền kiểm soát mật khẩu của tài khoản Netflix hoặc Spotify của bạn, thì họ có thể sử dụng mật khẩu đó để truy cập vào tài khoản mạng xã hội hoặc tài khoản ngân hàng để rút tiền thẻ tín dụng của bạn. Mặc dù bộ não của chúng ta không thực sự tệ trong việc ghi nhớ mật khẩu, nhưng hầu như không thể nhớ được hàng tá mật khẩu mạnh và duy nhất.

Tin tốt là giải pháp cho những vấn đề này đã có sẵn: trình quản lý mật khẩu. Đây là những ứng dụng hoặc tiện ích mở rộng trình duyệt theo dõi mật khẩu cho bạn, tự động giúp bạn tạo mật khẩu tốt và đơn giản hóa cuộc sống trực tuyến của bạn.

Tuy nhiên, tốt hơn hết là một mật khẩu tốt. Quên chữ in hoa, ký hiệu và số. Cách dễ nhất để tạo mật khẩu chính an toàn là tạo một cụm mật khẩu: một số từ ngẫu nhiên nhưng có thể phát âm được — và do đó dễ ghi nhớ — hơn. Ví dụ: đừng có lấy mật khẩu này để sử dụng (dung_co_lay_mat_khau_nay_de_su_dung).

Sau khi có được điều đó, bạn có thể sử dụng mật khẩu duy nhất được tạo bằng nhiều ký tự cho mọi thứ khác, miễn là bạn tạo chúng bằng trình quản lý mật khẩu và không bao giờ sử dụng lại chúng. Mật khẩu chính tốt hơn là một cụm mật khẩu vì nó dễ ghi nhớ hơn và các mật khẩu khác không cần phải ghi nhớ vì phần mềm quản lý sẽ ghi nhớ chúng.

Theo trực giác, bạn có thể nghĩ rằng việc lưu trữ mật khẩu của mình trên máy tính hoặc bằng trình quản lý mật khẩu của bên thứ ba là không khôn ngoan. Điều gì sẽ xảy ra nếu một hacker xâm nhập? Chắc chắn tốt hơn hết là tôi nên ghi nhớ tất cả chúng trong đầu? Nguy cơ kẻ gian sử dụng lại mật khẩu đã bị đánh cắp từ một nơi khác lớn hơn nhiều so với một số hacker tinh vi nhắm mục tiêu độc lập vào cơ sở dữ liệu mật khẩu của bạn. Ví dụ, nếu bạn sử dụng cùng một mật khẩu trên các trang web khác nhau và mật khẩu đó đã bị đánh cắp trong hệ thống Yahoo! hack (bao gồm 3 tỷ người), nó có thể dễ dàng được sử dụng lại trên Gmail, Uber, Facebook và các trang web khác của bạn. Một số trình quản lý mật khẩu lưu trữ mật khẩu của bạn được mã hóa trên đám mây, vì vậy ngay cả khi công ty bị tấn công, mật khẩu của bạn vẫn an toàn. Ví dụ, trình quản lý mật khẩu LastPass đã bị tấn công ít nhất hai lần, nhưng không có mật khẩu thực sự nào bị đánh cắp vì công ty đã lưu trữ chúng một cách an toàn. LastPass vẫn là một trình quản lý mật khẩu được đề xuất bất chấp những sự cố đó. Một lần nữa, tất cả là về hiểu mô hình mối đe dọa của riêng bạn.

Vì vậy, hãy sử dụng một trong nhiều trình quản lý mật khẩu hiện có, chẳng hạn như 1Password, LastPass, Bitwarden hoặc Keeper. không có lý do gì để không làm điều đó. Nó sẽ giúp bạn có cuộc sống tốt hơn và dễ dàng hơn trong không gian mạng.

Xác thực hai yếu tố

huong-dan-de-khong-bi-hack-05.png

Có mật khẩu mạnh và độc đáo là bước đầu tiên tuyệt vời, nhưng ngay cả những mật khẩu đó cũng có thể bị đánh cắp. Vì vậy, đối với các tài khoản quan trọng nhất của bạn (ví dụ email, tài khoản Facebook, Twitter, tài khoản ngân hàng của bạn), bạn nên thêm một lớp bảo vệ bổ sung được gọi là xác thực hai yếu tố (còn gọi là F2A). Ngày nay, rất nhiều dịch vụ cung cấp xác thực hai yếu tố, vì vậy bạn nên bật tính năng này đối với nhiều tài khoản nhất có thể. Xem tất cả các dịch vụ cung cấp 2FA tại trang web https://2fa.directory/.

Bằng cách bật tính năng xác thực hai yếu tố, bạn sẽ cần thứ gì đó không chỉ là mật khẩu của mình để đăng nhập vào các tài khoản đó. Thông thường, đó là mã số được gửi đến điện thoại di động của bạn qua tin nhắn văn bản hoặc có thể là mã được tạo bởi một ứng dụng chuyên biệt hoặc mã thông báo vật lý như khóa USB (đôi khi được gọi là khóa bảo mật U2F hoặc YubiKey, được đặt tên theo thương hiệu phổ biến nhất).

Xác thực hai yếu tố dựa trên SMS có thể xem là cuộc đánh cược và tin tặc có thể tận dụng các lỗ hổng trong cơ sở hạ tầng viễn thông để sử dụng thứ được gọi là IMSI-catcher, còn được gọi là Stingray, để quét sạch thông tin liên lạc điện thoại di động của bạn, bao gồm văn bản xác minh của bạn. Do đó, bạn chỉ cần lưu ý rằng mặc dù tất cả các hình thức xác thực hai yếu tố đều tốt hơn là không có gì, nhưng bạn nên sử dụng ứng dụng xác thực hoặc tốt hơn là dùng khóa vật lý nếu có thể.

Nếu trang web cho phép, bạn nên sử dụng một tùy chọn 2FA khác không dựa trên SMS, chẳng hạn như ứng dụng xác thực hai yếu tố trên smartphone của bạn (ví dụ: Google Authenticator, DUO Mobile hoặc Authy) hoặc mã thông báo vật lý. Nếu tùy chọn đó khả dụng với bạn, bạn nên sử dụng tùy chọn đó.

Không cung cấp mã OTP

huong-dan-de-khong-bi-hack-06.png

Vào một ngày đẹp trời, bạn nhận được tin nhắn từ chính số điện thoại của ngân hàng mà bạn đang gửi tiền với nội dung đại loại như: tài khoản ngân hàng của bạn hiện tại đang bị khoá, vui lòng đăng nhập vào trang web abc.xyz để có thể mở khoá tài khoản ngân hàng. Nếu bạn là người hay lo sợ việc số tiền trong tài khoản bị mất, bạn sẽ ngay lập tức vào website giả mạo đó và điền tất cả thông tin nhạy cảm (bao gồm cả mật khẩu). Nhưng điều đó chưa là gì, nếu như bạn thực hiện một hành động ngu ngốc hơn, đó là cung cấp mã otp cho kẻ lạ để xác nhận giao dịch lạ. Và thế là bạn vừa bị tin tặc lấy tất cả số tiền mà bạn dành dụm bấy lâu.

Trên đây là mẩu chuyện (có thật) về việc cung cấp mã otp cho kẻ lạ để chúng có thể sử dụng cơ hội đó để lấy hết tất cả số tiền trong tài khoản ngân hàng của bạn. Chúng ta không thể loại trừ việc số điên thoại của ngân hàng đó đã bị hack và điều tốt nhất có thể làm là "không cung cấp mã otp" cho bất cứ ai, trừ việc bạn chắc chắn người đó đủ tin cậy để giúp bạn thực hiện giao dịch chuyển tiền.

Next Post Previous Post
No Comment
Add Comment
comment url