Bộ Công an chỉ ra lỗ hổng an ninh của các thiết bị thông minh

Trong Dự thảo Hồ sơ đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân, Bộ Công an đã báo cáo Đánh giá thực trạng quan hệ xã hội liên quan bảo vệ dữ liệu cá nhân trong Dự thảo Hồ sơ đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân (DLCN).

Trong bản đánh giá, Bộ Công an đã chỉ ra lỗ hổng an ninh của các thiết bị thông minh. Cụ thể như sau:

Thông qua các Website: Với thủ đoạn này, các đối tượng sẽ tạo lập hoặc lợi dụng các website có nội dung hấp dẫn thu hút người dùng, khi người dùng truy cập sẽ âm thầm cài cắm mã độc vào máy tính và các thiết bị thông minh mà người dùng không hề hay biết để thu thập thông tin. Ví dụ như: Đính kèm các mã độc vào các trang game online, các trang web có nội dung đồi trụy… hoặc đối tượng tạo ra các trang đăng nhập thông tin giả mạo (facebook, email, bank). Những trang này sẽ được gửi qua email đến nạn nhân và chúng có giao diện giống hệt với trang đăng nhập của các nhà cung cấp dịch vụ. Nếu nạn nhân mất cảnh giác và thực hiện đăng nhập thông tin trên trang web đó, thông tin sẽ được gửi đến hacker thay vì là các nhà cung cấp dịch vụ như họ nghĩ.

Thông qua phần mềm miễn phí: Với một số phần mềm được cung cấp miễn phí trên mạng internet, đặc biệt là đối với những phầm mềm không rõ nguồn gốc, phần mềm bẻ khóa, các đối tượng sẽ lợi dụng để cài cắm các mã độc đính kèm, khi người dùng tải về máy và tiến hành cài đặt thì vô tình cài đặt mã độc lên chính thiết bị của mình. Và các mã độc này sẽ tiến hành âm thầm thu thập dữ liệu cá nhân người dùng. Ví dụ: các chương trình crack, patch phần mềm; một số phần mềm diệt virus giả mạo như AntivirusGold, Antivirus PC 2009, AntiSpyware Shield Pro, DoctorTrojan...

Thông qua hòm thư điện tử: Các mẫu virus mới thường giả mạo địa chỉ email của cán bộ, đồng nghiệp trong cơ quan để gửi file cho cán bộ khác bằng tiếng Việt với nội dung như liên quan tiền lương, xin ý kiến, chương trình công tác… Kẻ địch thường tìm hiểu kỹ tên tuổi, chức vụ của người trong cơ quan trước khi tiến hành phát tán mã độc qua email.

Tấn công thông qua vật trung gian: Đây là các mã độc được viết riêng, có chủ định, không bị các chương trình diệt vi rút phát hiện. Các mã độc này sử dụng USB, CD, DCD làm vật trung gian. Đặc biệt các đối tượng có thể cài cắm các mã độc này vào cả những USB, CD, DCD mới, được bán trôi nổi trên thị trường. Khi các thiết bị lưu trữ này đã nhiễm mã độc cắm vào máy tính, chúng tiến hành thu gom dữ liệu do các đối tượng quy định (file tài liệu, file ảnh…), dữ liệu được nén và mã hóa trong các thư mục mà bình thường không phát hiện được. Khi có điều kiện kết nối Internet sẽ gửi ra máy chủ đặt ở nước ngoài.

Tấn công qua các thiết bị thông minh: Đây là một thủ đoạn mới, các đối tượng thường nhắm vào các thiết bị thông minh có kết nối internet như: Router wifi, camera an ninh, điện thoại thông minh… Bằng việc tiến hành rà quét nhằm phát hiện và lợi dụng các lỗ hổng an ninh phổ biến trên các thiết bị này như: Sử dụng tài khoản và mật khẩu mặc định của nhà sản xuất, không cập nhật các bản vá lỗi thường xuyên… Từ đó, cài cắm mã độc nhằm theo dõi, thu thập dữ liệu, đe dọa hoặc tống tiền người dùng. Ngoài ra các đối tượng còn sử dụng nhiều thiết bị nghe lén thông minh để thu thập thông tin.

Ngoài những thủ đoạn phổ biến kể trên, việc thực hiện tấn công dữ liệu cá nhân còn bắt nguồn gián tiếp bởi chính người dùng. Nhận thức của một bộ phận người dân về nguy cơ mất an ninh, an ninh mạng còn hạn chế, thói quen giao tiếp trên môi trường mạng thiếu cẩn trọng. Nhu cầu trao đổi thông tin qua USB, thư điện tử ngày càng nhiều nhưng chưa có các biện pháp cụ thể và toàn diện để đảm bảo an ninh, an ninh mạng. Các cơ quan, tổ chức chưa có đủ nhân lực, vật lực để thực hiện công tác đảm bảo an ninh, an ninh mạng; chưa kiểm soát hết khả năng mất an ninh, an ninh mạng do các phần mềm, thiết bị phần cứng nhập ngoại.