Lừa đảo trên mạng qua góc nhìn của kỹ sư an ninh mạng Google
(Một phiên bản bài này đã gửi đăng VNExpress)
Tôi về Sài Gòn được vài bữa, mua một “sim” mới toanh, vừa dùng đã nhận được hàng chục tin nhắn giả mạo thương hiệu của một ngân hàng lớn.
Để tối ưu, bọn tội phạm còn cất công phân loại khách hàng của từng ngân hàng để tin nhắn giả mạo thêm phần thuyết phục. Làm được như vậy đòi hỏi phải có đầu tư trang thiết bị và con người.
Đại diện một cơ quan hữu trách cho biết mỗi năm người Việt mất hơn 1.000 tỷ đồng vì lừa đảo trên mạng. Tôi đoán thiệt hại thực tế cao hơn nhiều và sẽ còn tăng, vì người Việt càng lúc càng có nhiều tài sản trên mạng. Nạn nhân đa phần là người già, tiền mất đi là mồ hôi nước mắt họ dành dụm cả đời. Đây là “nỗi đau công nghệ” kéo dài đã lâu nhưng vẫn chưa có “anh hùng mạng” nào đứng ra giải quyết.
Mỗi khi có tin về lừa đảo, tôi lại thấy ý kiến cho rằng chỉ người thiếu hiểu biết mới bị lừa. Tôi cũng từng nghĩ vậy, cho đến khi chính tôi, một kỹ sư an ninh mạng gần 20 năm, cũng bị lừa.
Đồng nghiệp gửi cho tôi một đường dẫn, khi nhấp vào phải “đăng nhập”. Tôi đã cẩn thận kiểm tra địa chỉ máy chủ rồi mới nhập mật khẩu. Khi nhấn Enter, máy chủ báo “mật khẩu sai”. Tôi nghĩ chắc mình gõ nhầm, chuyện này vẫn thường xảy ra, nên nhập lại lần nữa. Enter lần hai, tôi nhận ra mình đã bị lừa.
Chuyện gì đã xảy ra? Tôi nhập mật khẩu hai lần. Lần đầu tôi nhập vào trang web chính chủ, kỳ thực lúc đó tôi đã đăng nhập thành công, nhưng đồng nghiệp đã gửi cho tôi một đường dẫn đặc biệt: ngay sau khi tôi đăng nhập thành công, “nó” sẽ chuyển tôi đến một trang web giả mạo. Trang giả mạo này hiện lên thông báo lỗi giả rằng tôi đã nhập sai mật khẩu khiến tôi cắm cúi nhập lại mà không kiểm tra địa chỉ máy chủ nữa.
Bạn tôi hỏi có xấu hổ khi là chuyên gia mà vẫn bị lừa? Tôi thấy không có gì đáng xấu hổ cả. Tôi bị lừa không phải vì thiếu kiến thức mà vì một giây lơ đãng. Ai mà không có những lúc như vậy. Với đà phát triển của công nghệ làm giả khuôn mặt và giọng nói (deep fake), rồi đây kẻ ác sẽ có vô số cách để đưa cả những người cẩn thận nhất vào tròng.
Nếu chỉ có vài người bị lừa, có thể nói đây là lỗi cá nhân, nhưng nếu hàng ngàn người bị thì đó là lỗi hệ thống. Chỉ khi nào thừa nhận ai cũng có thể bị lừa và không còn đổ lỗi cho nạn nhân, chúng ta mới có thể tìm kiếm giải pháp tốt.
Có muôn hình vạn trạng kiểu lừa trên mạng. Phổ biến nhất là email, nhắn tin đánh cắp mật khẩu tài khoản ngân hàng hoặc yêu cầu chuyển tiền giúp người thân gặp nạn. Giải pháp tốt phải giúp giảm thiểu ít nhất 90% thiệt hại, tức 9 trong 10 nạn nhân sẽ không bị mất tiền, ngay cả khi nạn nhân chủ động chuyển tiền hay cung cấp thông tin cho kẻ xấu.
Tại sao 90% mà không phải 100%? Vì chừng nào con người còn tin con người thì không thể nào chống 100% lừa đảo được. 90% đã là một tiêu chuẩn rất cao và rất khó thực hiện.
Bài toán này khó vì nhiều nguyên nhân. Ban đầu tôi nghĩ giải pháp khá đơn giản, chỉ cần sử dụng một công nghệ xác thực chống lừa đảo như WebAuthn là được. Đây chính là cách mà nhiều hãng công nghệ lớn sử dụng để bảo vệ nhân viên và khách hàng của họ. Sự thật là từ khi Google triển khai WebAuthn, không còn nhân viên bị lừa mất tài khoản nữa.
Để xác thực nhân viên, WebAuthn là giải pháp hoàn hảo, nhưng để xác thực khách hàng thì công nghệ này còn nhiều khiếm khuyết, ảnh hưởng xấu đến trải nghiệm. Một giải pháp tốt phải cân bằng được giữa an toàn và dễ dùng, tức là vừa phải bảo vệ được khách hàng mà không làm họ khó chịu.
Các ngân hàng có thể xây dựng giải pháp tự động phát hiện đường dẫn lừa đảo trong tin nhắn, nhưng cái khó là làm sao cân bằng giữa bảo vệ người dùng và đảm bảo riêng tư. Nội dung tin nhắn và thói quen truy cập Internet là những thông tin nhạy cảm, không thể tùy tiện tiết lộ cho bên thứ ba.
Bài toán còn khó vì kẻ xấu quá đông, nhiều thủ đoạn và có tổ chức – hàng chục tin nhắn rác trong “sim” tôi mới mua là một ví dụ. Thực tế, không quá khó để lừa tiền người khác, cái khó là làm sao rút tiền mà không bị bắt. Tội phạm nghiệp dư thường để lộ tung tích khi rút tiền, nhưng những nhóm tội phạm trong và ngoài nước đang nhắm vào người Việt đã cất công xây dựng mạng lưới rửa tiền bao gồm hàng ngàn tài khoản.
Ngay khi lừa được, chúng sẽ liên tục chuyển tiền qua nhiều tài khoản ở các ngân hàng khác nhau, trước khi rút ra để mua các đồng tiền mã hóa như USDT ở các sàn giao dịch quốc tế. Theo quy định của pháp luật, các ngân hàng không thể chia sẻ thông tin và cũng không thể yêu cầu ngân hàng khác giữ lại tiền, do đó rất khó để ngăn chặn và truy vết dòng tiền một khi nó ra khỏi ngân hàng của nạn nhân.
Những năm gần đây, Việt Nam liên tục tăng hạng trên các bảng xếp hạng an ninh mạng của thế giới. Có ý kiến còn cho rằng, Việt Nam đủ khả năng trở thành cường quốc an ninh mạng. Việt Nam cũng đã có công ty an ninh mạng hàng đầu thế giới, mặc dù chỉ là tự phong.
Tôi không rõ tiêu chí của các danh hiệu trên là gì, nhưng nếu người dân liên tục bị lừa mất nghìn tỷ thì có lẽ danh hiệu cũng không mấy ý nghĩa. Với đà phát triển như hiện tại, lừa đảo mạng sẽ không chỉ là vấn đề của các ngân hàng, mà đang trên đường trở thành vấn đề của quốc gia, cản trở sự phát triển của Internet và cả ngành công nghiệp số Việt Nam. Nếu không thấy an toàn trên mạng, người ta sẽ không dám sử dụng nữa.
Bài toán này, tôi biết nhiều nơi cũng đang đau đáu tìm lời giải, nhưng thú thật không chắc sẽ có lời giải trọn vẹn. Dẫu sao, đây là một thử thách nhiều ý nghĩa, đáng để giới kỹ sư và nhà chức trách đầu tư suy ngẫm. Không cường quốc nào mà không thể tự bảo vệ người dân của mình.
Dương Ngọc Thái
Kỹ sư Dương Ngọc Thái hiện là trưởng nhóm bảo mật và mã hóa ứng dụng tại Google, với nhiệm vụ giúp người dùng an toàn hơn khi sử dụng Gmail, Search, Android, YouTube và các sản phẩm khác của Google.
Tin, bài liên quan:
Facebook hướng dẫn cách giữ an toàn trực tuyến
5 bí quyết giúp phụ huynh đồng hành cùng con trên mạng
Trắc nghiệm về lừa đảo trực tuyến qua email
Những chiêu lừa tiền trên mạng thời Covid