Smartphone mà bạn sử dụng hàng ngày nên được co? là máy tính hơn là đ?ện thoạ? và cần có những b?ện pháp bảo vệ tương xứng.
1. Đừng hack th?ết bị (ja?lbreak vớ? ?OS hay root vớ? Andro?d). Chỉ cà? ứng dụng từ nguồn đáng t?n cậy.
2. Th?ết lập chế độ khóa th?ết bị và đặt thờ? g?an tự động khóa màn hình.
3. Tắt W?-F?, Bluetooth, NFC, dịch vụ địa đ?ểm nếu không dùng.
4. Sao lưu dữ l?ệu.
5. Kh? thực h?ện g?ao dịch tà? chính, ngân hàng, mua bán trực tuyến: tránh dùng mạng W?-F? công cộng; chắc chắn địa chỉ web là chính xác; thoát ngay (logout) thay vì chỉ đóng trình duyệt kh? kết thúc sử dụng dịch vụ; không gh? nhớ tên tà? khoản ngườ? dùng và mật mã trong trình duyệt .
6. Không nhắn t?n hay ema?l trả lờ? yêu cầu cung cấp thông t?n cá nhân.
7. Không nhấp vào đường l?nk hay mở f?le đính kèm ema?l gử? tớ? từ nguồn không đáng t?n cậy.
8. Cà? đặt ứng dụng bảo mật d? động.
9. Khô? phục cấu hình th?ết bị về mặc định trước kh? “chuyển chủ”.
10. Nâng cấp phần mềm kh? có ph?ên bản cập nhật.
Đặt mật khẩu cho th?ết bị d? động, tránh sự tò mò của kẻ khác
Dễ mất, thất lạc, bị lấy cắp, bị kẻ xấu lợ? dụng thu thập thông t?n cá nhân nhạy cảm, làm cầu nố? tấn công mạng doanh ngh?ệp… Nh?ều h?ểm họa có thể đến từ những th?ết bị d? động đờ? mớ? kh?ến ngườ? dùng mất t?ền, tốn thờ? g?an khắc phục hậu quả, doanh ngh?ệp bị “vạ lây”. Không phả? a? cũng lường hết mặt trá? của v?ệc sử dụng th?ết bị cá nhân công nghệ cao.
Những th?ết bị d? động thông m?nh như smartphone, máy tính bảng đã trở thành kho chứa thông t?n cá nhân nhạy cảm, cũng là cửa ngõ dẫn tớ? những dữ l?ệu quí của ngườ? dùng và tà? nguyên vô g?á của doanh ngh?ệp cùng trào lưu dùng th?ết bị r?êng cho công v?ệc (BYOD – br?ng your own dev?ce). Th?ết bị d? động đờ? mớ? không chỉ được sử dụng để g?ao t?ếp hàng ngày mà còn phục vụ cho rất nh?ều hoạt động khác của chủ nhân nó như nhận và gử? ema?l, truy cập mạng xã hộ?, chụp ảnh, g?ả? trí, g?ao dịch tà? chính, ngân hàng, mua sắm trực tuyến… Nh?ều công v?ệc đò? hỏ? ngườ? dùng nhập số tà? khoản cùng mật mã truy cập, và lưu trữ dữ l?ệu trên th?ết bị. Ngoà? nguy cơ bị t?n tặc dùng mã độc tấn công, đặc đ?ểm của th?ết bị d? động là nhỏ, gọn, được ngườ? dùng mang đ? khắp nơ? nên rất dễ mất, thất lạc hay bị đánh cắp. Kết quả là, danh bạ bị mất, lộ nộ? dung ema?l, hình ảnh r?êng tư nhạy cảm, các số tà? khoản cùng mật mã truy cập bị đánh cắp, mất t?ền trong tà? khoản ngân hàng…
Dù vậy, rất nh?ều ngườ? dùng vẫn chưa ý thức được cần có b?ện pháp thích hợp bảo vệ th?ết bị d? động của mình để bảo toàn thông t?n như họ đã có thó? quen vớ? máy tính. “Công nghệ phát tr?ển quá nhanh, ý thức của ngườ? dùng không theo kịp sự phát tr?ển đó. Smartphone mà bạn sử dụng hàng ngày nên được co? là máy tính hơn là đ?ện thoạ? và cần có những b?ện pháp bảo vệ tương xứng”, ông Nguyễn M?nh Đức - Phó chủ tịch phụ trách an n?nh mạng Bkav- nhấn mạnh trong một bản t?n an n?nh mạng do công ty phát hành hồ? tháng 8.
Nh?ều nguy cơ rình rập
Một đ?ều dễ nhận thấy kh? ngườ? dùng làm mất hay bị đánh cắp th?ết bị d? động, trước hết là tốn t?ền mua máy mớ?. Nhưng không chỉ có vậy. Nạn nhân có thể phả? trả một khoản t?ền lớn cho những cuộc gọ? mà kẻ đoạt được đ?ện thoạ? tranh thủ thực h?ện. Nh?ều rắc rố? khác kéo đến vì dữ l?ệu bị mất cùng th?ết bị, như danh bạ, hình ảnh r?êng tư và nh?ều tà? l?ệu lưu trữ quan trọng khác. Không loạ? trừ khả năng kẻ g?an có thể lợ? dụng danh tính nạn nhân thực h?ện lừa đảo vớ? những ứng dụng mạng xã hộ?, ema?l, chat… do nạn nhân có thó? quen gh? nhớ tà? khoản sử dụng cùng mật mã truy cập ngay trong ứng dụng. Do vậy, kẻ g?an kh? lấy được th?ết bị, chỉ cần chạy ứng dụng là mặc nh?ên truy cập được thông t?n, tà? khoản.
Th?ết bị d? động thường xuyên kết nố? mạng, nên đang là đích nhắm lừa đảo ngườ? dùng của g?ớ? tộ? phạm mạng. Theo gh? nhận của công ty bảo mật McAfee, đang có sự tăng trưởng nhanh về số lượng phần mềm độc hạ? nhắm vào các th?ết bị d? động thông m?nh như smartphone và máy tính bảng, kh? những th?ết bị này ngày càng phổ b?ến và thường được sử dụng cho các hoạt động như g?ao dịch tà? chính, ngân hàng, mua sắm trực tuyến. McAfee cho b?ết, chỉ r?êng trong quý 2/2013 đã xuất h?ện hơn 17.000 loạ? mã độc mớ? hoạt động trên nền Andro?d.
Andro?d đang là “mồ?” ngon của phần mềm mã độc
Các chuyên g?a McAfee cho rằng, cũng như vớ? máy tính, trên smartphone và máy tính bảng có nh?ều thứ cần được bảo vệ như lịch trình, các số tà? khoản, ema?. Đặc b?ệt, ngườ? dùng gặp nguy cơ cao mất t?ền trong tà? khoản ngân hàng vì g?ao dịch bất hợp pháp kh? số tà? khoản và mật mã truy cập bị đánh cắp, còn mã xác thực từ tổng đà? của ngân hàng gử? về số đ?ện thoạ? ngườ? dùng thì bị chặn lấy mà nạn nhân không hề b?ết (tham khảo bà? “Mất t?ền do thông t?n cá nhân bị đánh cắp”, PCW tháng 9/2013; hoặc PCW Onl?ne, ID: A1309\_27). Kh? th?ết bị dính mã độc, thông t?n cá nhân còn bị lợ? dụng cho những hoạt động lừa đảo nhắm vào những ngườ? có tên trong danh bạ; cũng có thể t?ền trong tà? khoản thuê bao d? động trả trước cạn nhanh chóng vì ứng dụng mã độc tự động nhắn t?n về tổng đà? tính phí; hoặc một cách thức khác là bị cà? chế độ nghe lén để mo? những bí mật r?êng tư của ngườ? dùng.
Theo đánh g?á của các chuyên g?a bảo mật, Andro?d đang là m?ếng mồ? ngon của các loạ? phần mềm độc hạ?. Đó là đ?ều thực sự đáng lo ngạ? vì nền tảng này đã ch?ếm gần 80\% thị phần smartphone và hơn 60\% thị phần máy tính bảng toàn cầu. Dù Google đã tăng cường k?ểm soát kho ứng dụng Google Play, nhưng nh?ều ngườ? dùng muốn tự do sử dụng theo cách của mình đã root (bẻ khóa) th?ết bị để cà? ứng dụng từ những nguồn khác. Ngay cả Apple tuy có chế độ k?ểm duyệt ngặt nghèo nhưng nh?ều th?ết bị ?OS vẫn th?ếu an toàn vì chủ nhân của chúng jealbreak (bẻ khóa) th?ết bị để thoả? má? cà? ứng dụng m?ễn phí. Những ứng dụng m?ễn phí có thể có những tính năng hấp dẫn, nhưng xuất phát từ nguồn th?ếu t?n cậy và không được k?ểm duyệt nên chúng t?ềm ẩn nguy cơ chứa mã độc, sẵn sàng gây tác hạ? kh? được ngườ? dùng tả? về.
Những năm gần đây, QR Code hay còn gọ? là mã QR (Qu?ck Response) đang nổ? lên như là phương thức hữu h?ệu cho v?ệc quảng bá sản phẩm, dịch vụ nhờ tính t?ện lợ?. Ngườ? dùng th?ết bị d? động dễ dàng thu nhận dữ l?ệu bằng cách quét camera vớ? ứng dụng đọc mã QR cà? sẵn. Thế nhưng, một mã QR có thể chứa đường l?nk dẫn tớ? một trang web độc hạ? kh?ến ngườ? dùng vô tình tả? về mã độc.
Một mố? đe dọa nhận được nh?ều cảnh báo của các chuyên g?a bảo mật là các mạng W?-F? công cộng. Cũng như kh? dùng máy tính, th?ết bị d? động sử dụng kết nố? vớ? mạng W?-F? công cộng không được bảo mật rất dễ bị kẻ xấu chặn “bắt” dữ l?ệu gử? đ?. Đó có thể là số tà? khoản và mật mã truy cập một dịch vụ ảo, và hệ quả là mất t?ền thật. Bluetooth thường bật theo mặc định cũng là cầu nố? bị kẻ g?an lợ? dụng truy cập th?ết bị của bạn bất hợp pháp.
Cấu hình chung, rủ? ro r?êng
Những th?ết lập mặc định của các nhà sản xuất ẩn chứa những rủ? ro có thể ngườ? dùng không nhận b?ết. Chẳng hạn kh? ch?a sẻ lên Facebook ảnh vừa chụp được bằng smartphone hay máy tính bảng trong một chuyến đ? xa, nếu chưa vô h?ệu hóa GPS (hệ thống định vị toàn cầu) trên th?ết bị có thể sẽ là đ?ều không hay, vì vị trí ngườ? dùng bị lộ ngoà? ý muốn và v?ệc này có thể bị kẻ g?an lợ? dụng (ví dụ b?ết là nhà đang không có ngườ?). Dịch vụ địa đ?ểm chạy nền l?ên tục kết nố? th?ết bị vớ? mạng không dây kh?ến p?n hao tổn rất nhanh, nhưng đ?ều đáng ngạ? hơn là nguy cơ vị trí của chủ nhân bị theo dõ?.
QR code có thể chứa đường l?nk dẫn tớ? trang web độc hạ? kh?ến ngườ? dùng vô tình tả? về mã độc
Cấu hình sẵn trên th?ết bị d? động ẩn chứa nh?ều rủ? ro mang tính r?êng tư nếu ngườ? dùng không quan tâm đúng mức về bảo mật. Những gì chat trên Facebook sẽ được cập nhật đồng thờ? trên tất cả các th?ết bị có cùng tà? khoản; những ứng dụng cho phép lưu trữ ảnh trực tuyến như Dropbox hay Photostream của ?OS sẽ tự động tả? ảnh ngườ? dùng chụp lên “mây” rồ? tả? về mọ? th?ết bị có chung tà? khoản; tương tự như vậy vớ? các dịch vụ Gma?l, ?Cloud… Do đó, nếu để ngườ? khác sử dụng smartphone hay máy tính bảng cà? sẵn tà? khoản sử dụng các dịch vụ này, họ sẽ thấy ngay nộ? dung bạn vừa cập nhật. Mặt khác, th?ết bị nếu không được th?ết lập khóa bảo vệ chẳng khác gì cửa “kho báu” d? động mở toang cho bất cứ kẻ nào nhòm ngó. Kh? đề cập tớ? tính năng bảo mật bằng cảm b?ến dấu vân tay Touch ID trên ?Phone 5s, Apple cho b?ết hơn nửa số ngườ? dùng ?Phone hầu như không quan tâm tớ? v?ệc đặt khóa bảo mật dùng để mở th?ết bị và truy cập màn hình khóa.
Bkav mớ? đây lên t?ếng cảnh báo nguy cơ ngườ? dùng dễ lộ những thông t?n quan trọng như ảnh chụp, t?n nhắn, ema?l, danh bạ do cơ chế đồng bộ dữ l?ệu g?ữa các th?ết bị dùng chung tà? khoản, vì nh?ều trường hợp smartphone “chuyển chủ” do mua, bán, cho mượn nhưng tà? khoản được cấu hình sẵn trên máy vẫn g?ữ nguyên. Có một thực tế là nh?ều cửa hàng sẵn sàng cà? đặt các ứng dụng cho khách mua máy tính bảng. Nh?ều th?ết lập mặc định có thể gây bất lợ? cho khách hàng. Chưa kể là các ứng dụng cà? đặt sẵn kh? có ph?ên bản mớ? vá lỗ? không thể nâng cấp được vì đò? hỏ? ngườ? dùng phả? đăng nhập bằng tà? khoản ban đầu được sử dụng để cà? ứng dụng lên máy. Có vẻ như Touch ID của Apple hứa hẹn mở ra xu hướng bảo mật d? động mớ?, t?ện cho ngườ? dùng quản lý th?ết bị d? động của mình, các ứng dụng trên đó, và xác thực các g?ao dịch trực tuyến.
G?a tăng tổn thất vì ứng dụng g?ả mạo
Hãng bảo mật McAfee mớ? đây đưa ra cảnh báo xu hướng mã độc lây nh?ễm th?ết bị d? động để đánh cắp thông t?n truy cập tà? khoản ngân hàng trực tuyến của ngườ? dùng. Hình thức này đem lạ? mố? lợ? bất hợp pháp lớn hơn nh?ều so vớ? tự động gử? t?n nhắn đến tổng đà? tính phí có chủ đích. Theo McAfee, ngày càng có nh?ều ngườ? sử dụng smartphone cho các g?ao dịch tà? chính cá nhân, nhưng lạ? không chú ý tăng cường bảo mật như kh? họ thực h?ện vớ? máy tính, trở thành mục t?êu ngon lành của t?n tặc. McAfee phát h?ện mã độc mớ? ẩn trong ứng dụng g?ả, mạo danh ứng dụng của ngân hàng, lừa ngườ? dùng tả? về th?ết bị d? động, không chỉ ăn cắp thông t?n đăng nhập tà? khoản ngân hàng trực tuyến mà còn có khả năng chặn “bắt” t?n nhắn mã xác thực dùng một lần OTP (one t?me password) cho các g?ao dịch trực tuyến. Đ?ều này đặt tà? khoản ngân hàng trực tuyến của nạn nhân nằm gọn trong tay của t?n tặc. Những ứng dụng g?ả mạo này thường được cung cấp từ các nguồn bên ngoà?, không chịu sự k?ểm duyệt như vớ? các ứng dụng trên Google Play của Google hay App Store của Apple.
Ứng dụng m?ễn phí cho th?ết bị Andro?d được cảnh báo nh?ều nhất về những rủ? ro chực chờ ngườ? dùng tả? về. Ứng dụng g?ả mạo có thể vượt qua chính sách k?ểm duyệt của Google, như đưa ph?ên bản sạch lên Google Play, chỉ đến kh? khách hàng bị dụ nâng cấp ph?ên bản mớ? thì tính năng g?án đ?ệp mớ? kích hoạt. Ứng dụng g?ả mạo thường m?ễn phí và có những tính năng hấp dẫn ngườ? dùng, nhưng kèm theo đó là những hành v? đáng ngờ như đò? quyền truy cập danh bạ, xem lịch sử cuộc gọ?, theo dõ? vị trí, hay truy cập camera tích hợp trên th?ết bị. Đó là cách tác g?ả thu thập và sử dụng những thông t?n quan trọng để thực h?ện các g?ao dịch và thanh toán trực tuyến bất hợp pháp. Cũng có thể những thông t?n đánh cắp được, tác g?ả sẽ đem bán cho các công ty dùng cho mục đích t?ếp thị hoặc chạy những quảng cáo ngầm.
Theo McAfee, để tránh rủ? ro, ngườ? dùng phả? chú trọng bảo vệ an toàn thông t?n cho smartphone và máy tính bảng như vớ? PC. Th?ết lập cơ chế bảo mật cho th?ết bị d? động thông m?nh phả? được đặt ưu t?ên lên hàng đầu.
BYOD - thách thức cân bằng tính t?ện dụng và bảo mật
Cùng vớ? trào lưu sử dụng th?ết bị d? động cá nhân cho công v?ệc (BYOD), nh?ều tổ chức, doanh ngh?ệp đã chấp nhận cho nhân v?ên của mình truy cập mạng nộ? bộ bằng smartphone, máy tính bảng để xử lý dữ l?ệu, g?úp tăng năng suất. BYOD rõ ràng t?ện cho nhân v?ên làm v?ệc mọ? lúc mọ? nơ?, g?ảm ch? phí đầu tư th?ết bị của doanh ngh?ệp. Theo một báo cáo gần đây của hãng ngh?ên cứu thị trường Gartner, hơn một nửa số công ty h?ện đang áp dụng chính sách BYOD sẽ yêu cầu nhân v?ên sử dụng các th?ết bị cá nhân của họ cho công v?ệc vào năm 2017. Và tớ? năm 2016, dự k?ến sẽ có 38\% số công ty ngừng cung cấp th?ết bị cho nhân v?ên. Vì thế đang nổ? lên những thách thức mớ? về vấn đề bảo mật doanh ngh?ệp.
Cảm b?ến vân tay sẽ là xu hướng cho bảo mật d? động, xác thực g?ao dịch trực tuyến trên th?ết bị d? động.
Thách thức lớn vớ? bộ phận IT là thông t?n, dữ l?ệu r?êng của cá nhân được để chung vớ? dữ l?ệu doanh ngh?ệp trên cùng một th?ết bị. Nếu th?ết lập chế độ bảo mật ngh?êm ngặt sẽ mâu thuẫn vớ? thó? quen sử dụng của từng cá nhân. Trong kh? đó, nh?ều ngườ? có xu hướng tìm đủ mọ? cách cà? đặt các ứng dụng “ngoà? luồng” lên th?ết bị r?êng của mình, dẫn đến nguy cơ dính mã độc, kèm theo đó là rủ? ro lớn từ v?ệc thất lạc hay mất cắp th?ết bị vì thường xuyên được ngườ? dùng mang đ? khắp nơ?. Th?ết bị cá nhân bị ch?ếm quyền đ?ều kh?ển không chỉ mất dữ l?ệu doanh ngh?ệp chứa trên đó mà còn nguy cơ bị t?n tặc lợ? dụng làm cầu nố? để đột nhập vào mạng nộ? bộ, kha? thác trá? phép những thông t?n bảo mật của doanh ngh?ệp.
Bà? toán khó đặt ra là làm sao dung hòa g?ữa bảo mật doanh ngh?ệp và tính t?ện dụng cá nhân. Dữ l?ệu doanh ngh?ệp phả? được phân mức độ bảo vệ như thế nào; dữ l?ệu nào được phép truy cập, xử lý và lưu trữ trên th?ết bị d? động cá nhân, dữ l?ệu nào không; những qu? định về quản lý và bảo mật cho th?ết bị d? động, cấu hình và cà? đặt ứng dụng bảo mật. Chẳng hạn th?ết bị bị mất, nhân v?ên sẽ khóa máy và định vị tìm k?ếm qua tính năng quản lý từ xa, nhưng a? sẽ là ngườ? chịu trách nh?ệm ra quyết định xóa dữ l?ệu trên máy từ xa để bảo vệ thông t?n doanh ngh?ệp, cũng đồng thờ? làm mất dữ l?ệu cá nhân. Nhân v?ên có vẻ mất toàn quyền vớ? th?ết bị của r?êng mình kh? tuân thủ chính sách bảo mật doanh ngh?ệp. Vì thế, nếu như chính sách quá khắt khe, nhân v?ên có thể sẽ có xu hướng v? phạm bằng cách thay đổ? th?ết lập, gỡ bỏ ứng dụng bảo mật, lờ đ? các bước k?ểm soát truy cập… để sử dụng th?ết bị thoả? má? theo ý mình.
V?ệc tồn tạ? cùng lúc nh?ều nền tảng d? động, gồm ?OS, Andro?d, BlackBerry, W?ndows Phone vớ? các mô hình bảo mật khác nhau đò? hỏ? hệ thống hỗ trợ của doanh ngh?ệp phức tạp hơn. Ngoạ? trừ BlackBerry vốn có thế mạnh về bảo mật doanh ngh?ệp, các nền tảng d? động khác còn th?ếu cơ chế bảo mật chặt chẽ vì nhằm mục t?êu phục vụ ngườ? t?êu dùng t?ện nhất.
Theo PCWorld