Khoa học - Công nghệ

Một số dấu hiệu để nhận ra một website an toàn

1450
August 8, 2019August 13, 2019
Một số dấu hiệu để nhận ra một website an toàn

Một số dấu hiệu để nhận ra một website an toàn 

URL bắt đầu với https:// : tối thiểu, địa chỉ URL trên thanh địa chỉ của trình duyệt phải được bắt đầu bởi cụm https:// và có một biểu tượng ổ khóa trên thanh địa chỉ (Lưu ý rằng ổ khóa phải xuất hiện ở thanh địa chỉ trình duyệt chứ không phải trong nội dung của website).  

Thanh địa chỉ trình duyệt chuyển sang màu xanh lá cây có hiển thị tên công ty quản lý website: Khi truy cập vào các website được trang bị chứng chỉ số Extended Validation (EV). Đây là mức xác thực chặt chẽ nhất, đảm bảo công ty hiển thị trên thanh địa chỉ chính là công ty đang sở hữu và vận hành website. Dấu hiệu này là dấu hiệu dễ nhận ra nhất. (hình 17.2) 

Luôn luôn kiểm tra địa chỉ URL trên trình duyệt: Thoạt nhìn vào địa chỉ trên trình duyệt, chúng ta cứ ngỡ đó chính là website cần tìm. Nhưng trong trường hợp này (hình 17.3), website bên phải là một ví dụ điển hình cho việc đánh lừa người dùng bằng cách thêm vào một đoạn ký tự phía sau. Những website như thế này hoàn toàn có thể đánh lừa các hãng nhà cung cấp chứng thực số (CA – Certificate Authority) để mua một chứng chỉ số SSL giá rẻ, có mức xác minh tên miền, vốn xử lý quy trình xác thực rất đơn giản và hoàn toàn tự động. 

Để ý cụm từ https:// và biểu tượng ổ khóa trên thanh địa chỉ có bị đánh dấu chéo và hiện màu đỏ không: khi truy cập vào một website sử dụng chứng chỉ số SSL đã hết hạn, chứng chỉ số tự cấp phát hoặc được cấp phát bởi một hãng không đáng tin cậy, trình duyệt sẽ hiển thị một cảnh báo bảo mật. Khi đó thanh địa chỉ trình duyệt sẽ chuyển sang màu đỏ, và cụm từ https:// và biểu tượng ổ khóa sẽ bị đánh dấu chéo đỏ. Trong trường hợp này, dữ liệu trao đổi tại website vẫn sẽ được mã hóa, tuy nhiên bạn sẽ không thể biết liệu công ty hiển thị trên chứng chỉ số SSL có phải thật sự là công ty sở hữu và vận hành website đó hay không 

Những kiểu lừa đảo qua mạng phổ biến ở Việt Nam 

Lừa đảo qua mạng (thuật ngữ phổ biến trong tiếng Anh là Social Engineering) là tên gọi của một hình thức tấn công người dùng thông qua Internet. Khác với các hình thức tấn công bằng mã độc, các vụ tấn công “social engineering” sẽ không tập trung vào khai thác điểm yếu của phần cứng hay phần mềm. Thay vào đó, chúng sẽ tập trung khai thác tâm lý của nạn nhân. 

Do người dùng thường xuyên sử dụng cùng một tên tài khoản và mật khẩu trên nhiều dịch vụ trực tuyến khác nhau, việc để lộ tên tài khoản và mật khẩu trên một dịch vụ có thể khiến bạn mất quyền kiểm soát đối với tất cả các tài khoản số của mình, ví dụ như tài khoản ngân hàng trực tuyến, tài khoản Facebook, Yahoo, Gmail, Apple ID hoặc Dropbox. Việc để lộ số thẻ tín dụng hoặc tài khoản ngân hàng trực tuyến sẽ gây thiệt hại tài chính trực tiếp, trong khi để lộ các tài khoản dịch vụ cá nhân có thể gây ra nhiều tổn hại khó lường trước. Sau đây là một số kỹ thuật lừa đảo qua mạng điển hình ở Việt Nam 

Giả danh làm quản trị của game, dịch vụ, ngân hàng, … 

Là dạng lừa đảo phổ biến nhất trên các dịch vụ trực tuyến và game online. Kẻ xấu sẽ tạo các tài khoản/địa chỉ email lừa đảo có những từ khóa dễ lừa người dùng như “admin”, “mod”, “quantri” hoặc tên của công ty cung cấp dịch vụ. Chúng sẽ gửi cho khách hàng các thông báo có tựa đề dạng như cảnh báo hay liên quan đến viêc̣gửi séc hoăc̣phiếu gửi tiền lừa đảo, từ đó khách hàng sẽ nhập vào username, mật khẩu theo yêu cầu của website. Một số câu thông báo thường được các website lừa đảo dùng là:

“Có người đã hack vào tài khoản của bạn”, “Theo quy trình kiểm tra định kỳ, chúng tôi cần bạn xác nhận lại thông tin cá nhân trên hệ thống. Xin vui lòng nhập vào username và mật khẩu để tiếp tục”, “Gần đây cơ hệ thống của chúng tôi gặp sự cố và có một số thông tin tài khoản của bạn bị sai lệch. Xin vui lòng nhập vào username và mật khẩu để tiếp tục”, “Bạn đã được hệ thống chúng tôi lựa chọn ngẫu nhiên cho giải thưởng trị giá 100.000.000VND. Xin vui lòng nhập vào username và mật khẩu, thông tin thẻ tín dụng để chúng tôi chuyển tiền cho bạn”

Tạo các trang web giả thương hiệu

Với hình thức lừa đảo này, kẻ xấu sẽ tạo ra trang web giả dạng làm một dịch vụ mà bạn đang sử dụng. Mục tiêu của chúng cũng là để lấy cắp thông tin cá nhân (bao gồm cả tài khoản ngân hàng và số thẻ) và lừa bạn nạp tiền qua thẻ điện thoại.

Ví dụ, trang web trong hình (hình 17.5) trên mạo danh làm một nhà cung cấp game online lớn tại Việt Nam. Trên trang web này, kẻ gian sẽ yêu cầu bạn đăng nhập bằng tài khoản game online của mình. Hiển nhiên, bước xác thực này hoàn toàn là lừa đảo: với bất kì tên tài khoản và mật khẩu nào mà bạn nghĩ ra, trang web này cũng sẽ xác nhận đăng nhập thành công.

Các câu bình luận lừa đảo nạp thẻ trên Facebook, diễn đàn mạng… 

Hình thức lừa đảo này khá phổ biến trên Facebook và các diễn đàn bắt đầu rộ lên vào khoảng giữa năm 2013. Kẻ xấu sẽ nói về một “lỗi” hệ thống trên máy chủ của các nhà mạng, sau đó khuyến cáo người dùng nạp thẻ vào một dãy số lạ, được gọi là “số server bị hack” nhưng thực chất lại là số điện thoại của kẻ lừa đảo. 

Thông báo “giả” trên trang web 

Hình thức lừa đảo này có từ những ngày đầu của Internet. Trước đây, các trang web xấu sẽ hiển thị các ô thông báo giả dạng làm cửa sổ Windows. Các ô thông báo giả này sẽ tuyên bố rằng Windows của bạn bị nhiễm virus, bị lỗi… Khi bạn click vào các ô thông báo giả này, bạn sẽ được dẫn tới một trang web có chứa phần mềm “quét virus” hoặc “sửa lỗi”. Chính các phần mềm này mới là mã độc có thể làm tê liệt Windows của bạn và đánh cắp các thông tin cá nhân (keylog). 

Giả dạng Facebook 

Một tình trạng tương đối phổ biến trên Facebook tại Việt Nam là ca sĩ, người nổi tiếng sẽ có rất nhiều trang Facebook bị giả, dưới cả 2 hình thức tài khoản Facebook người dùng thông thường và fanpage (trang hâm mộ). Những kẻ giả mạo trang cá nhân/fanpage của người nổi tiếng sẽ sử dụng kênh này để quảng cáo miễn phí. Nguy hiểm hơn, chúng có thể mạo danh người nổi tiếng để thực hiện các hành vi lừa đảo hoặc thậm chí là hẹn gặp ngoài đời thực và tấn công nạn nhân. 

Cách phòng tránh lừa đảo qua mạng 

Kỹ thuật lừa đảo qua mạng (social engineering) là một hình thức tấn công hoàn toàn nhằm vào sơ hở của người dùng. Do đó, bạn sẽ đóng vai trò trung tâm trong việc chống lại các hình thức tấn công này. Một số nguyên tắc căn bản để tránh bị lừa đảo qua mạng là như sau: 

Tuyệt đối không bao giờ gửi tên tài khoản, mật khẩu, số thẻ tín dụng, số tài khoản ngân hàng và các thông tin cá nhân qua email, Skype, Facebook Messenger, tin nhắn hay các dịch vụ chat trong bất kì một trường hợp nào 

Lưu ý tới các địa chỉ web, email chính thức và số điện thoại xác thực của ngân hàng, dịch vụ mà bạn đang sử dụng. Ví dụ, tại trụ sở của ngân hàng mà bạn đang sử dụng, hãy cầm về một tờ rơi có ghi địa chỉ web, số điện thoại và email chính thức của ngân hàng này. 

Để ý tới đường dẫn trong email, trên các diễn đàn, trang web. Các trang web lừa đảo có thể có tên rất giống với trang web xác thực, do đó bạn phải chú ý rất kĩ tới địa chỉ đường dẫn trên các trang web hoặc email từ địa chỉ lạ. Khi bạn di chuột lên phía trên các đường dẫn web (chưa click), Firefox và Chrome cũng sẽ hiển thị địa chỉ thực của đường dẫn ở góc dưới màn hình. Đây là cách xác thực đường dẫn chính xác nhất. 

Nhìn chung, cách xử lý cẩn thận nhất là tuyệt đối không click vào các đường dẫn quan trọng được gửi qua email hoặc qua Skype, Yahoo, nhất là khi nội dung của email và tin nhắn có liên quan tới thông tin tài khoản của bạn. Nếu bạn cần đặt lại mật khẩu cho tài khoản ngân hàng, hãy truy cập vào địa chỉ chính thức của ngân hàng đó và thực hiện các bước xác thực thông thường, thay vì click vào đường dẫn đáng ngờ trong email. 

Luôn cập nhật trình duyệt và ứng dụng chống virus lên bản mới nhất. Các trình duyệt và phần mềm chống virus thường có tính năng “bộ lọc” ngăn người dùng truy cập vào các trang web đã bị xác nhận là web độc hoặc không xác thực.