Một trong những cách tấn công phổ biến để làm mọi người bị hack được gọi là lừa đảo phishing hay spearphishing.
Về cơ bản, những kẻ tấn công sẽ tạo ra một email trông giống như những gì bạn thường click vào, ví dụ một hóa đơn hoặc một email yêu cầu bạn thay đổi mật khẩu. Những người không nghi ngờ gì sẽ click vào đường link trong email phishing đó, và sẽ được dẫn tới một trang web với thiết kế trông như hợp lệ.
Nạn nhân hoàn toàn có thể gõ vào tên người dùng và mật khẩu, vô tình trao các thông tin đó cho những kẻ tấn công. Và đó chính là cách tài khoản trực tuyến của bạn bị hack.
Spearphishing là một vấn đề lớn với doanh nghiệp. Cho dù bạn có thể đảm bảo các máy tính của mình an toàn nhất có thể, nhưng chỉ cần một nhân viên, người có quyền truy cập vào các dữ liệu nhạy cảm, bị một email phishing đánh lừa cũng có thể gây ra một vụ rò rỉ thông tin tồi tệ.
Với một công ty có đến 85.000 nhân viên như Google, rủi ro đó còn có thể tăng lên nhiều lần. Tuy nhiên, họ dường như đã tìm ra cách giải quyết vấn đề này. Tất cả là nhờ vào một phụ kiện có giá 20 USD được gọi là khóa bảo mật mà Google yêu cầu các nhân viên của mình sử dụng.
Công ty cho biết, kể từ khi sử dụng các khóa bảo mật này để đăng nhập, không một ai trong số 85.000 nhân viên của Google bị dính phải lừa đảo phishing đối với các tài khoản dành cho công việc.
“Chúng tôi không có báo cáo hoặc xác nhận nào về tài khoản bị chiếm đoạt kể từ khi triển khai các khóa bảo mật tại Google.” Google cho biết với trang Business Insider.
Theo Brian Krebs, phóng viên chuyên về bảo mật, người đầu tiên phát hiện ra thành công của Google trong việc chống lại các nỗ lực lừa đảo phishing, cho biết, công ty bắt đầu yêu cầu các nhân viên của mình sử dụng chiếc chìa khóa bảo mật vật lý từ đầu năm 2017.
Hẳn công ty của bạn cũng đã yêu cầu bạn phải bật chế độ xác thực hai lớp, nghĩa là mỗi khi bạn đăng nhập vào bằng tên người dùng và mật khẩu của mình, bạn sẽ phải điền thêm một code thứ hai, thường là một tin nhắn văn bản được gửi cho bạn hoặc thông qua một ứng dụng.
Các loại YubiKey với nhiều loại cổng kết nối khác nhau.
Theo Krebs, Google đưa cách làm này tiến xa hơn khi yêu cầu toàn bộ nhân viên của mình phải sử dụng các khóa bảo mật vật lý. Thay vì gửi một tin nhắn văn bản sau khi bạn nhập vào mật khẩu, bạn chỉ cần cắm khóa bảo mật vào cổng USB trên máy tính của bạn và ấn nút.
Đây đúng là một thành công lớn với một công ty khổng lồ như vậy. Google có rất nhiều dữ liệu người dùng nhạy cảm, vì vậy việc biết rằng nhân viên của họ không thể bị lừa đảo phishing là một điều rất đáng khích lệ.
Bạn cũng có thể sử dụng khóa bảo mật này với tài khoản Gmail của riêng bạn. Các phiên bản YubiKey tương thích với cổng USB, USB-C và các thiết bị di động đều đang được Yubico cung cấp.
Vào tháng Mười tới đây, Google ra mắt một chương trình bảo vệ cao cấp, liên quan đến các khóa bảo mật cho những người có rủi ro cao nhất bị lừa đảo phishing, bao gồm các phóng viên, các lãnh đạo doanh nghiệp, và các nhà hoạt động. Google cũng làm việc với các nhóm trong ngành như liên minh FIDO Alliance, để phát triển công nghệ khóa bảo mật được gọi là U2F.
Một nghiên cứu năm 2016 của Google cho thấy, việc xác thực hai lớp qua các tin nhắn văn bản và ứng dụng, có tỷ lệ lỗi vào khoảng 3%, trong khi U2F hay cách tiếp cận qua khóa bảo mật có tỷ lệ lỗi 0%.
Tham khảo Business Insider
Về cơ bản, những kẻ tấn công sẽ tạo ra một email trông giống như những gì bạn thường click vào, ví dụ một hóa đơn hoặc một email yêu cầu bạn thay đổi mật khẩu. Những người không nghi ngờ gì sẽ click vào đường link trong email phishing đó, và sẽ được dẫn tới một trang web với thiết kế trông như hợp lệ.
Nạn nhân hoàn toàn có thể gõ vào tên người dùng và mật khẩu, vô tình trao các thông tin đó cho những kẻ tấn công. Và đó chính là cách tài khoản trực tuyến của bạn bị hack.
Spearphishing là một vấn đề lớn với doanh nghiệp. Cho dù bạn có thể đảm bảo các máy tính của mình an toàn nhất có thể, nhưng chỉ cần một nhân viên, người có quyền truy cập vào các dữ liệu nhạy cảm, bị một email phishing đánh lừa cũng có thể gây ra một vụ rò rỉ thông tin tồi tệ.
Với một công ty có đến 85.000 nhân viên như Google, rủi ro đó còn có thể tăng lên nhiều lần. Tuy nhiên, họ dường như đã tìm ra cách giải quyết vấn đề này. Tất cả là nhờ vào một phụ kiện có giá 20 USD được gọi là khóa bảo mật mà Google yêu cầu các nhân viên của mình sử dụng.
Công ty cho biết, kể từ khi sử dụng các khóa bảo mật này để đăng nhập, không một ai trong số 85.000 nhân viên của Google bị dính phải lừa đảo phishing đối với các tài khoản dành cho công việc.
“Chúng tôi không có báo cáo hoặc xác nhận nào về tài khoản bị chiếm đoạt kể từ khi triển khai các khóa bảo mật tại Google.” Google cho biết với trang Business Insider.
Theo Brian Krebs, phóng viên chuyên về bảo mật, người đầu tiên phát hiện ra thành công của Google trong việc chống lại các nỗ lực lừa đảo phishing, cho biết, công ty bắt đầu yêu cầu các nhân viên của mình sử dụng chiếc chìa khóa bảo mật vật lý từ đầu năm 2017.
Hẳn công ty của bạn cũng đã yêu cầu bạn phải bật chế độ xác thực hai lớp, nghĩa là mỗi khi bạn đăng nhập vào bằng tên người dùng và mật khẩu của mình, bạn sẽ phải điền thêm một code thứ hai, thường là một tin nhắn văn bản được gửi cho bạn hoặc thông qua một ứng dụng.
Các loại YubiKey với nhiều loại cổng kết nối khác nhau.
Theo Krebs, Google đưa cách làm này tiến xa hơn khi yêu cầu toàn bộ nhân viên của mình phải sử dụng các khóa bảo mật vật lý. Thay vì gửi một tin nhắn văn bản sau khi bạn nhập vào mật khẩu, bạn chỉ cần cắm khóa bảo mật vào cổng USB trên máy tính của bạn và ấn nút.
Đây đúng là một thành công lớn với một công ty khổng lồ như vậy. Google có rất nhiều dữ liệu người dùng nhạy cảm, vì vậy việc biết rằng nhân viên của họ không thể bị lừa đảo phishing là một điều rất đáng khích lệ.
Bạn cũng có thể sử dụng khóa bảo mật này với tài khoản Gmail của riêng bạn. Các phiên bản YubiKey tương thích với cổng USB, USB-C và các thiết bị di động đều đang được Yubico cung cấp.
Vào tháng Mười tới đây, Google ra mắt một chương trình bảo vệ cao cấp, liên quan đến các khóa bảo mật cho những người có rủi ro cao nhất bị lừa đảo phishing, bao gồm các phóng viên, các lãnh đạo doanh nghiệp, và các nhà hoạt động. Google cũng làm việc với các nhóm trong ngành như liên minh FIDO Alliance, để phát triển công nghệ khóa bảo mật được gọi là U2F.
Một nghiên cứu năm 2016 của Google cho thấy, việc xác thực hai lớp qua các tin nhắn văn bản và ứng dụng, có tỷ lệ lỗi vào khoảng 3%, trong khi U2F hay cách tiếp cận qua khóa bảo mật có tỷ lệ lỗi 0%.
Tham khảo Business Insider
Giải ngố về USB Type-C – cổng kết nối “tất-cả-trong-một” trên các thiết bị