Hiểm họa tấn công mạng từ chiếc điện thoại di động

Điện thoại di động đang tạo ra một "sân chơi thuận lợi" cho tội phạm mạng, từ lừa đảo đến trộm cắp dữ liệu, từ việc tống tiền đơn giản đến làm gián điệp công nghiệp hoặc giữa các quốc gia. Nguyên nhân chủ yếu là do sự bất cẩn của người dùng.

Theo nhật báo Le Monde của Pháp, ngay cả Bộ trưởng Ngoại giao Pháp cũng không tránh khỏi sự bất cẩn này. Ngày 25/11/2024, trong cuộc họp G7 tại Italy, ông Jean-Noël Barrot nhận được một tin nhắn trên ứng dụng mã hóa Signal. Tin nhắn từ tài khoản có tên "Signal" trông có vẻ đáng tin cậy. Tuy nhiên, khi nhấp vào liên kết, ông nhận ra đó là thư rác, dẫn đến một trang web đáng ngờ. Nhận thấy sai lầm, ông lập tức ngắt kết nối, xóa tin nhắn và thông báo cho đội ngũ an ninh. Rất may là sau khi kiểm tra, Cơ quan An ninh Hệ thống Thông tin Quốc gia (Anssi) xác nhận không phát hiện lỗ hổng hay xâm nhập nào trong điện thoại của Bộ trưởng, theo thông báo của Bộ ngoại giao Pháp. Tuy nhiên, sự việc này cho thấy ngay cả một cựu Bộ trưởng phụ trách lĩnh vực số, người am hiểu về an ninh mạng, cũng có thể trở thành nạn nhân của các cuộc tấn công mạng, như hàng triệu người khác trên thế giới.

Các hình thức tấn công mạng ngày càng tinh vi và đa dạng, bao gồm lừa đảo qua tin nhắn SMS (smishing); lừa đảo qua cuộc gọi điện thoại (vishing); lừa đảo qua mã QR (quishing); đánh cắp số điện thoại (SIM swapping); phần mềm tống tiền (ransomware), phần mềm độc hại, hoặc phần mềm hoạt động gián điệp… Những hình thức này nhằm mục đích đánh cắp tiền bạc, dữ liệu cá nhân hoặc thực hiện hoạt động gián điệp, biến điện thoại di động thành mục tiêu tấn công ưu tiên của tội phạm mạng.

Sự quan tâm của các tin tặc (hacker) đối với điện thoại thông minh là điều dễ hiểu. Ai cũng sở hữu ít nhất một chiếc bên mình, và thiết bị này đã trở thành phần không thể thiếu trong cuộc sống hàng ngày, không chỉ để gọi điện, gửi tin nhắn và email, hay truy cập Internet. Nó còn đóng vai trò như chìa khóa cho nhiều ứng dụng khác: Xác thực trên mạng hoặc phần mềm, vào tòa nhà, thanh toán, quét mã vạch, mở xe hơi... Hậu quả là, "khi không còn truy cập được vào điện thoại thông minh do, ví dụ, một virus, nạn nhân có xu hướng trả tiền cho hacker để khôi phục quyền sử dụng", như lời giải thích của Guillaume Tissier, Giám đốc điều hành của Forum InCyber, diễn đàn quốc tế tổ chức hàng năm về an ninh mạng tại Lille.

Với số lượng mục tiêu tiềm năng khổng lồ trên toàn cầu, các tin tặc, hoạt động với mục đích lợi nhuận tương tự như các doanh nghiệp thực sự, đã có thể công nghiệp hóa hoạt động của họ. Trong hàng triệu tin nhắn lừa đảo được gửi đi, chỉ cần một vài cú nhấp chuột không may là họ có thể kiếm được tiền. Công ty an ninh mạng LookOut, trong báo cáo quý gần nhất của họ, đã nhấn mạnh: "Những cuộc tấn công này thường có chi phí thấp và lợi nhuận cao, và đó là lý do tại sao chúng trở thành mắt xích chính trong chuỗi tội phạm mạng hiện đại".

Hiểm họa từ các ứng dụng tưởng chừng vô hại

Các tội phạm mạng lợi dụng hai điểm yếu chính là người dùng và thiết bị. Để khai thác người dùng, họ dựa vào sự thiếu hiểu biết về rủi ro, sự thiếu cảnh giác và đôi khi là sự cả tin. Mục tiêu thường là đánh cắp thông tin ngân hàng bằng cách giả mạo thành các tổ chức tin cậy như ngân hàng, cơ quan an sinh xã hội hoặc dịch vụ giao hàng. Để tấn công thiết bị, chúng cài đặt mã độc vào điện thoại di động nhằm thu thập dữ liệu cá nhân quý giá, như mật khẩu, để sử dụng hoặc bán cho các tội phạm mạng khác.

Người dùng ngày càng tin tưởng giao phó nhiều thông tin nhạy cảm cho điện thoại của họ, thực hiện nhiều giao dịch quan trọng thông qua thiết bị này, bởi họ cảm thấy được bảo vệ. Điện thoại thường ở trong túi quần, áo, hoặc túi xách của họ, ít khi được chia sẻ, và công nghệ của nó có vẻ an toàn. Theo một khảo sát của nhà cung cấp phần mềm an ninh mạng Bitdefender, công bố vào tháng 4/2024, hơn một nửa số người tham gia (55,5%) cho biết họ sử dụng giải pháp bảo mật chuyên dụng trên điện thoại di động.

Tuy nhiên, liệu các giải pháp này có thực sự hiệu quả? Bitdefender chỉ ra rằng nhiều nhà sản xuất điện thoại Android cài đặt sẵn phần mềm bảo mật, nhưng các giải pháp này thường hết hạn sau thời gian dùng thử. Hơn nữa, nhiều người dùng trì hoãn việc mua bản quyền, quên gia hạn hoặc từ chối thực hiện, dẫn đến việc thiếu sự bảo vệ thích hợp. Đặc biệt, 38% người tham gia khảo sát tin tưởng vào nhà sản xuất điện thoại để quản lý vấn đề bảo mật.

Mối đe dọa đến từ chính thiết bị di động ngày càng trở nên nghiêm trọng. Các lỗ hổng kỹ thuật có thể bị khai thác bởi tội phạm mạng, như trường hợp vào tháng 10/2024, nhà sản xuất chip Mỹ, Qualcomm, thừa nhận một lỗi trên một số thành phần của họ được trang bị trên điện thoại Android, cho phép kẻ tấn công chiếm quyền kiểm soát bộ nhớ của thiết bị. Ngoài ra, phần mềm độc hại (malware) do người dùng tự tải về cũng là nguồn gốc của nhiều cuộc tấn công. Những phần mềm này "vẫn là mối đe dọa cấp bách nhất đối với người dùng hàng ngày", theo báo cáo năm 2024 của Orange Cyberdefense, chi nhánh chuyên về an ninh mạng của nhà cung cấp dịch vụ viễn thông Orange của Pháp.

Phần mềm gián điệp (spyware) của Israel, Pegasus, có khả năng cài đặt trên điện thoại mà không cần người dùng thực hiện bất kỳ thao tác nào (được gọi là tấn công "zero-click"). Tuy nhiên, hầu hết các phần mềm gián điệp khác thường xâm nhập thông qua các ''kho hàng ứng dụng'' chính thức (Google Play Store của hệ điều hành Android, Apple store của hệ điều hành IOS) nơi người dùng thường cảm thấy an toàn. Một ứng dụng thời tiết hoặc trò chơi vô hại có thể đã bị hacker phát triển hoặc xâm nhập để cài đặt phần mềm độc hại vào điện thoại mà chủ sở hữu không hay biết.

Thách thức của các thiết bị kết nối

Người dùng cũng có thể vô tình biến chiếc điện thoại của mình thành công cụ gián điệp. Một ứng dụng tưởng chừng vô hại có thể được lập trình để bắt đầu ghi âm khi nghe thấy một từ khóa cụ thể, hoặc bắt đầu ghi âm khi điện thoại được chuyển sang chế độ máy bay (Có thể do người dùng thực hiện hoặc do ứng dụng tự động kích hoạt), hoặc bắt đầu ghi âm khi không có mạng GSM (2G/3G/4G) hoặc khi không có kết nối Wi-Fi. Sau khi ghi âm, các đoạn âm thanh này có thể được lưu trữ tạm thời trên thiết bị và được truyền tải đến kẻ tấn công khi có kết nối mạng an toàn, hoặc khi điện thoại được kết nối lại với mạng di động hoặc Wi-Fi. Những hoạt động này thường diễn ra mà người dùng không hay biết, gây ra mối đe dọa nghiêm trọng đối với quyền riêng tư và bảo mật thông tin cá nhân.

Mối đe dọa này không chỉ giới hạn đối với quân đội hay các cơ quan tình báo. Trong báo cáo thường niên năm 2024, Cơ quan An ninh Hệ thống Thông tin Quốc gia Pháp (ANSSI) nhấn mạnh rằng, mặc dù trước đây các giải pháp gián điệp thường được các quốc gia với khả năng tấn công tiên tiến phát triển, nhưng hiện nay thị trường giám sát tư nhân đang phát triển mạnh. ''Một số công ty cung cấp các mã độc tinh vi cho các tổ chức công, doanh nghiệp và cá nhân có ý đồ xấu''.

Các nguy cơ này được các doanh nghiệp xem xét nghiêm túc, khi họ phải quản lý an ninh cho các smartphone sử dụng trong công việc của nhân viên và đảm bảo rằng điện thoại cá nhân không gây ảnh hưởng đến hệ thống. Đôi khi, nhân viên có thể sử dụng điện thoại công việc cho mục đích cá nhân và ngược lại. Vì vậy, các giải pháp quản lý nhóm điện thoại (MDM) đã được phát triển để tách biệt giữa sử dụng công việc và cá nhân. Sylvain Plagne, Giám đốc marketing của bộ phận doanh nghiệp tại nhà cung cấp dịch vụ Bouygues Telecom, giải thích: "Ví dụ, danh bạ được phân chia riêng biệt, việc sao chép và dán văn bản giữa hai ứng dụng nhắn tin bị cấm, tải xuống một số ứng dụng bị cấm hoặc cập nhật thiết bị có thể được thực hiện bởi bộ phận CNTT".

Doanh nghiệp đang đối mặt với một thách thức mới: Sự xuất hiện của các thiết bị kết nối khác như camera, máy in, thiết bị gia dụng, máy móc công nghiệp, đồng hồ thông minh, máy tính bảng... được nhân viên hoặc khách tham quan mang vào hoặc lắp đặt tại văn phòng. Những thiết bị này ngày càng trở nên mạnh hơn, tăng khả năng tấn công của chúng. Ví dụ, kẻ tấn công có thể chiếm quyền điều khiển camera giám sát trên dây chuyền sản xuất để đánh cắp thông tin về bí mật công nghiệp của doanh nghiệp.

Biện pháp phòng ngừa rủi ro

Độ tin cậy của các thiết bị trong điện thoại hoặc các thiết bị kết nối trở nên vô cùng quan trọng. "Tùy thuộc vào loại khách hàng, chúng tôi có thể tiến hành kiểm toán bảo mật sâu đến mức kiểm tra bên trong thiết bị để đảm bảo rằng chúng không chứa các yếu tố không mong muốn hoặc nguy hiểm", ông Leroux giải thích. Vào năm 2020, các nhà nghiên cứu từ tập đoàn Tencent của Trung Quốc đã chỉ ra rằng có thể làm nổ pin điện thoại thông qua việc tấn công phần mềm điều khiển sạc nhanh của nó.

Có những giải pháp bảo vệ có sẵn. Ví dụ, "lưu trữ dữ liệu nhạy cảm nhất bằng cách sử dụng khả năng mã hóa của một phần bảo mật trong thiết bị, như thẻ SIM. Nhưng cũng cần giảm quyền truy cập vào những dữ liệu này đối với các hacker, đặc biệt là thông qua các cơ chế xác thực mạnh, nhằm làm nản lòng kẻ tấn công", bà Amaanie Hakim, Giám đốc sáng tạo của nhà sản xuất thẻ chip Idemia của Pháp, giải thích.

Tuy nhiên, thường thì điểm yếu nhất lại chính là người dùng. Ông Thierry Delville, Chủ tịch nhóm làm việc "công nghệ bảo mật và số hóa" của Câu lạc bộ Giám đốc An ninh Doanh nghiệp cho biết: "Các nhà lãnh đạo không phải ai cũng có cùng mức độ nhận thức về rủi ro. Một số người sử dụng hoàn toàn các thiết bị di động được bảo mật và khi ra nước ngoài, họ sử dụng các thiết bị được 'làm sạch', tức là không chứa bất kỳ dữ liệu nhạy cảm nào". Trong khi đó, những người khác lại nghĩ, một cách sai lầm, rằng việc bảo mật máy tính xách tay của họ là đủ''.

Do đó, việc đào tạo người dùng về "vệ sinh số" là cần thiết: Không nhấp vào liên kết nghi ngờ; sử dụng các ứng dụng nhắn tin mã hóa như Signal hoặc Olvid, một ứng dụng của Pháp được triển khai trong các văn phòng chính phủ; thường xuyên cập nhật hệ thống và ứng dụng trên điện thoại để khắc phục các lỗ hổng đã biết; tránh kết nối với Wi-Fi công cộng; đặt thiết bị trong hộp kín trong các cuộc họp quan trọng; một số công ty khuyến nghị không sử dụng bộ sạc điện thoại do khách sạn cung cấp khi đi công tác ở nước ngoài.

Về an ninh mạng, ''cần áp dụng một chiến lược bảo mật cực kỳ thận trọng, gần như nghi ngờ mọi thứ, để đảm bảo an toàn tối đa và tuyệt đối không nên tin tưởng mặc định vào bất kỳ kết nối hoặc người dùng nào, mà luôn luôn phải xác minh và kiểm tra trước khi cho phép truy cập hoặc chia sẻ thông tin'', ông Leroux kết luận. Điều này lại càng quan trọng khi sự phát triển của trí tuệ nhân tạo mang đến những phương thức tấn công mới cho hacker, giúp giả mạo giọng nói hay khuôn mặt và lừa dối, chẳng hạn như việc đánh lừa công nghệ nhận dạng khuôn mặt.