|
CHUYÊN ĐỀ NHỮNG CẠM BẪY TRÊN NET |
|
Những trang Web ma |
|
Lướt qua các Website bán hàng trực tuyến, vào mục
máy ảnh kỹ thuật số, quá nhiều đề nghị hấp dẫn hiện
ra trước mắt bạn. Một chiếc máy ảnh số “4 chấm” mua
ở đây giá có thể rẻ hơn ở Việt Nam 40%. Chấm được
chiếc máy ăn ý, bạn bỏ nó vào giỏ hàng và thực hiện
các thao tác thanh toán. Trong vòng 10 phút, mọi
giao dịch đã được thực hiện. Việc duy nhất còn lại
phải làm là... ngồi chờ hàng gửi về. |
|
 |
|
SẬP BẪY |
|
Một tháng, hai tháng trôi qua, món hàng vẫn biệt vô
âm tín. Sau khi kiểm tra, đối chiếu với Webmaster
của nơi bán hàng, bạn ngạc nhiên khi biết rằng không
có giao dịch nào được thực hiện. Điều gì đã xảy ra
với bạn và những cuộc giao dịch đó? Một bàn tay vô
hình nào đã cướp mất món hàng hay tiền của bạn khi
nó đang trôi trên xa lộ ảo? |
|
Theo các chuyên gia an ninh mạng, có thể, bạn đã
giao dịch với một trang Web ma. “Sao lại thế được,
khi Website này rất có uy tín?” - bạn bực dọc thốt
lên. Thật ra, Website này hoàn toàn vô tội. Lỗi duy
nhất là nó quá nổi tiếng nên trở thành mục tiêu hấp
dẫn của những tên trùm lừa đảo. |
|
Nguy hiểm hơn là tất cả thông tin tài chính của bạn
đã bị mất và nếu không phát hiện sớm, thiệt hại của
bạn sẽ nghiêm trọng hơn. |
Trường hợp trên là điển hình của một vụ lừa đảo bằng
trang Web ma. Gọi như vậy, bởi nó giống như Bạch cốt
tinh đội lốt người để làm trò yêu mị.
Thật ra, tình huống trên chỉ là một trong vô vàn trò
lừa đảo sử dụng các Website. Không chỉ nhắm đến các
Website thương mại điện tử, một số tên tội phạm Net
khác còn tạo những đường link giả khi chat để lấy
các thông tin cá nhân như hộp thư điện tử, mật khẩu. |
|
David Stark, chuyên gia nghiên cứu của TNS, cho
biết: “Người tiêu dùng hiện đang rất lo sợ về các
mối nguy hiểm trực tuyến đe dọa khi mùa mua sắm cao
điểm cuối năm đang đến gần. Các nhà phân phối qua
mạng cần phải tạo được niềm tin cho khách hàng rằng
các thông tin cá nhân của họ luôn được an toàn”. |
|
Theo cuộc điều tra do các nhà đồng bảo trợ của tổ
chức TRUSTe đưa ra cho biết: 58% trong số 1.000
người Mỹ tham gia cuộc nghiên cứu nghĩ rằng có lẽ họ
cần phải giảm thiểu mức độ mua sắm trên mạng vì nỗi
lo sợ bị cướp đoạt tiền bạc và thông tin online. Tỷ
lệ này đã tăng thêm 9% so với năm trước. 8% số người
cho biết họ sẽ không giao dịch qua mạng nữa, tăng
hơn 2% so với năm 2003. |
|
BUÔNG CÂU |
|
Với những công cụ sẵn có, kẻ xấu rất dễ dàng lập một
Website giả mạo với giao diện na ná hay thậm chí
giống hệt Website bạn định vào. Đây chỉ là một công
đoạn để hoàn thành một vụ lừa đảo. Công đoạn quan
trọng nhất là dụ cho được những nạn nhân sập bẫy. |
|
Nếu bình thường, bạn mở trình duyệt Web, nhập địa
chỉ Website hay mở bằng Favorite thì sẽ không có
chuyện gì xảy ra. Một ngày đẹp trời với những tên
lừa đảo, cũng là một ngày đen đủi cho bạn, khi bạn
nhận được thư điện tử từ Webmaster của Website bán
hàng trực tuyến thông báo Website của họ đã có những
thay đổi nhỏ. Họ yêu cầu bạn kích vào đường link bên
dưới để biết những thay đổi đó. Nếu kích vào, bạn sẽ
thấy một giao diện khá quen thuộc. Tất nhiên, đây là
một Website giả mạo. Nếu bạn thực hiện một giao dịch
nào đó, các thông tin tài chính của bạn như thẻ tín
dụng, số PIN đã bị lọt vào tay kẻ xấu. Việc còn lại,
khá đơn giản, với chúng là sử dụng tài khoản của bạn
để mua sắm, rút tiền... |
|
Với các chuyên gia an ninh mạng, thủ thuật trên được
gọi là “phishing”. Đối tượng bị giả mạo thường là
các Website tài chính, thương mại điện tử, các nhân
viên trong các doanh nghiêp. Theo tài liệu từ
Vietnam Style, khách hàng của CitiBank ở Việt Nam đã
từng nhận đựơc những thư giả mạo kiểu đó. Bọn chúng
tạo một địa chỉ mail giả mạo như
xyz@citibank.com
để gửi đến khách hàng những thông báo như: Ngân hàng
vừa tạo một hệ thống an ninh mới để giúp khách hàng
đối phó với những kẻ lừa đảo. Ngoài nội dung trên,
bức thư có kèm một đường link. Khách hàng sẽ mở và
truy cập vào tài khoản của mình như cách thông
thường, thế là “sập bẫy”. |
|
Ngoài CitiBank, một số ngân hàng khác như Ngân hàng
Quốc tế Châu Á, Ngân hàng DBS Hongkong, Ngân hàng
Hoàng gia Thụy Điển cũng lọt vào vòng ngắm của bọn
lừa đảo. Các kiểu tấn công này dựa vào Webmail, tin
nhắn trực tuyến IM và khi chia sẻ tập tin ở mạng
ngang hàng (P2P) để phát tán các địa chỉ URL giả mạo
và các chương trình nguy hiểm. |
|
Đôi khi nạn nhân nhận được thông báo tài khoản của
họ đã bị đóng. Để mở lại, cần phải kích vào đường
link dưới đây. Trường hợp này đã xảy ra với một
thành viên của eBay trong năm 2003. |
|
Sự đa dạng của lừa đảo không chỉ dừng ở đó, nó còn
đánh vào tâm lý ham lợi hoặc lòng trắc ẩn của người
ta. Một ngày nào đó, có thể bạn sẽ nhận được một
e-mail thông báo là bạn vừa trúng số độc đắc tại một
Website nào đó, số tiền bạn trúng thưởng lên đến
hàng triệu đôla. Nhưng vấn đề là để nhận được phần
thưởng này, bạn cần phải chuyển một số tiền làm lệ
phí vào tài khoản ABC nào đó. Nếu dại dột tin vào
điều đó, bạn sẽ là nạn nhân của phising. Nội dung
lừa đảo kiểu này thường gặp ở các dạng như: trúng số
độc đắc, bạn vừa được thừa kế một gia tài khổng lồ
và cần trả chi phí cho luật sư ... hoặc
đánh vào tâm lý thương
người như: “con gái chúng tôi bị ung thư rất nặng,
bạn có thể giúp chúng tôi 5 USD...” |
|
Thông thường, phương thức phising truyền thống yêu
cầu người dùng phải truy cập vào một Website nào đó
(có giao diện gần như tương tự với các trang giao
dịch trực tuyến mà bạn quen) rồi nhập thông tin về
tài khoản vào form đã được chỉ định sẵn. Loại hình
“phising” mới nhất là chèn thẳng các đoạn mã độc hại
ăn cắp thông tin vào máy tính nạn nhân khi người đó
mở e-mail. |
|
Ở Trung Quốc, tháng 12-2004, lần đầu tiên trong hoạt
động ngân hàng của nước này, khách hàng đã bị tấn
công phising với số tiền thiệt hại tổng cộng là
2.400 USD. Hiện hai ngân hàng được xác định bị tấn
công phising (lừa đảo trực tuyến) là Ngân hàng Trung
Quốc (BOC) và Ngân hàng Thương mại Công nghiệp Trung
Quốc (ICBC). Theo các quan chức của BOC, trong vài
ngày qua, ngân hàng đã nhận được phản ánh của khách
hàng rằng số tiền trong tài khoản bị mất đi trong
khi không thực hiện bất cứ một hoạt động giao dịch
nào. Theo xác nhận của BOC, đây là lần đầu tiên hệ
thống ngân hàng TQ bị tấn công phising. BOC và các
ngân hàng lớn khác đã phải xây dựng tường lửa và
cảnh báo khách hàng về nguy cơ lừa đảo trực tuyến. |
|
Ước tính trong năm 2004, tổng số thiệt hại do các
Web ma gây ra trên toàn cầu lên tới 214 triệu USD.
Con số này do nhóm nghiên cứu Towergroup đưa ra.
Trước đó, hồi tháng 9-2004, cuộc điều tra do
TRUSTean thực hiện đưa ra mức độ thiệt hại vào
khoảng 500 triệu USD. Sở dĩ có khoảng cách khá lớn
giữa cách đánh giá thiệt hại là đánh giá quá mức về
mức độ ảnh hưởng của phishing gây ra cho các nạn
nhân, làm người ta ngại mua sắm, giao dịch trực
tuyến. |
|
Bọn lừa đảo kiểu này không chỉ núp bóng, mạo danh
các Website uy tín mà còn có thể mở những Website
riêng, bán hàng rẻ hơn bình thường để câu khách, và
sau đó là biến mất. Fran Maier, giám đốc điều hành
của TRUSTean, kết luận: “Phần mềm gián điệp, ăn cắp
thông tin cá nhân, ăn cắp thẻ tín dụng, cấy Spam là
4 lý do chính ngăn trở người tiêu dùng đi đến với
phương thức tài chính hiện đại nhất của thời đại
thông tin”. |
|
ĐỂ TRÁNH BẪY |
|
Theo Ủy ban Thương mại
Liên bang Mỹ, để tránh mắc bẫy, không nên điền thông
tin tài chính vào những đường link từ e-mail, chỉ
nên khai báo trên Website chính thức của nhà cung
cấp dịch vụ thanh toán. Nếu bạn được hỏi về thông
tin tài khoản, trước hết, bạn phải liên lạc với
Webmaster bằng email hay điện thoại khi nhận được
những thông báo khác thường trước khi trả lời. Khi
click vào các link trong e-mail, cần để ý các đường
link có dẫn đúng Website bạn cần hay không? Vì có
thể tên link là đúng (VD:
www.vietcombank.com.vn)
nhưng khi click vào có thể ra
www.vietcombanks.com
(coi trên dòng
address hay status của trình duyệt). |
|
Sau khi điền thông tin, bạn nên kiểm tra lại tài
khoản tín dụng để xem bảng cân đối. Bạn cũng nên
thường xuyên cập nhật các chương trình chống virus
và cài đặt phần mềm bức tường lửa. Một số thư
phishing có kèm thêm phần mềm gián điệp. Bạn cũng
không nên gửi thông tin tài khoản qua e-mail hay
chat. Khi mua hàng qua mạng, chỉ nên giao dịch ở các
Website có uy tín. Bạn phải luôn đối chiếu thật kỹ
hóa đơn thanh toán cuối tháng của Ngân hàng sau khi
giao dịch. |
|
Nên nhớ rằng, các URL về
an ninh thường có dấu hiệu cái khóa trên thanh tình
trạng (status bar) hoặc URL bắt đầu bằng https (một
dạng giao thức hỗ trợ truyền tải dữ liệu qua
Internet được bảo mật ). Việc bị dính các chương
trình Spyware khi duyệt Web là khó tránh khỏi, do đó
bạn phải luôn thủ sẵn các chương trình dò tìm để
tiêu diệt các phần mềm vô phép này, (như XoftSpy của
www.paretologic.com). |
|
MẠC THỦY |
|
|
