Năm 2023, người Việt mất tới 16 tỷ USD vì những vụ lừa đảo qua mạng, con số này chiếm tới 1/3 toàn cầu, khoảng 53 tỷ USD. Microsoft từng nhận định Việt Nam thuộc “vùng trũng” an ninh mạng, với tỷ lệ nhiễm mã độc tống tiền (ransomware) cao nhất châu Á.

Ngay trong đầu năm 2024, liên tục công ty lớn ở Việt Nam như VNDirect, PVOIL bị tấn công cho thấy rủi ro trên môi trường số luôn hiện hữu trong khi kiến thức an ninh mạng của người Việt còn thiếu hụt. 

Chia sẻ trong chương trình Into The Cyberverse của VinCSS, ông Ngô Minh Hiếu (Hiếu PC), chuyên gia tại Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), cho biết kiểu tấn công an ninh mạng có ảnh hưởng lớn nhất hiện nay là ransomware (tấn công tống tiền). Kiểu tấn công thứ hai sẽ tiếp tục diễn ra trong nhiều năm là phishing (tấn công lừa đảo). Kiểu tấn công thứ ba gọi là scam (lừa đảo) đang diễn ra trên khắp toàn cầu từ rất nhiều trung tâm lừa đảo trên khắp thế giới, phần lớn ở Đông Nam Á.

Chúng có những người được gọi là nô lệ mạng (cyber slavers), tấn công người dân ở nhiều quốc gia khác nhau, kể cả Việt Nam. Đó là lý do Việt Nam và rất nhiều quốc gia trên thế giới hiện nay, mỗi ngày đều có rất nhiều nạn nhân bị lừa tiền. 

Ông Hiếu cho biết, ngày nay có rất nhiều hacker sử dụng nền tảng Phishing-as-a-Service (lừa đảo dưới dạng dịch vụ). Các nền tảng này rất dễ sử dụng. Rất nhiều hacker mới vào nghề, không chuyên về công nghệ họ vẫn có thể sử dụng chúng. Các nền tảng này cung cấp nhiều công cụ khác nhau để nhắm vào những người dùng khác nhau trên các nền tảng như Facebook, Instagram, Google, Microsoft, thậm chí cả TikTok.

“Những hacker này chẳng cần kỹ năng gì mấy, không cần hiểu sâu về hack, chỉ cần nhấn chọn, thế là xong. Ví dụ tôi muốn mạo danh Facebook bằng đăng nhập truyền thống, tôi chỉ vào nền tảng đó ấn chọn Facebook, nhấn phím lựa chọn kiểu hack là sẽ có một liên kết hướng đến một trang đăng nhập giả mạo. Sau đó chỉ cần sao chép liên kết và gửi liên kết này đi qua tin nhắn văn bản, email thậm chí thao túng người dùng truy cập vào liên kết đó. Nếu nạn nhân nhấp vào liên kết và tiến hành đăng nhập như bình thường, nó sẽ chuyển hướng người dùng và hacker nhìn thấy hết mật khẩu của nạn nhân”, ông Hiếu cho biết.

Một trong những giải pháp tốt nhất để bảo vệ khỏi các vụ tấn công mạng hiện tại, theo ông Hiếu là không sử dụng mật khẩu. Khi không có mật khẩu, người dùng sẽ không phải nhớ chúng và hacker cũng không thể câu thông tin nữa. Tất cả những gì người dùng cần là một cái khóa bảo mật hoặc một passkey (xác thực không cần mật khẩu), tức xác minh bằng sinh trắc học, dấu vân tay hoặc thậm chí là mống mắt. Xác thực không mật khẩu cũng sẽ là công nghệ của tương lai, đầu tư một chút nhưng mang lại nhiều lợi ích về lâu dài. 

“Một số người sử dụng 1 mật khẩu cho tất cả các ứng dụng. Khi bị mất, hacker có thể dễ dàng lấy luôn mật khẩu trong tài khoản ngân hàng. Nếu sử dụng nhiều mật khẩu cho nhiều tài khoản, đặc biệt trong các tổ chức, sẽ rất khó nhớ và phải sử dụng thêm trình quản lý mật khẩu. Nhưng đôi khi mật khẩu của trình này cũng có thể bị hack. 

Cách đây vài năm, một công ty an  ninh mạng rất lớn ở Mỹ bị tấn công. Nguyên nhân do một cựu nhân viên thực tập có một tài khoản với mật khẩu rất đơn giản. Khi họ không còn làm việc tại công ty nhưng vẫn để lại tài khoản và hacker thông qua đó thâm nhập vào quyền truy cập hệ thống, truy cập vào tài khoản quản trị, tìm cơ sở dữ liệu nội bộ, đánh cắp mã nguồn, đánh cắp cơ sở dữ liệu. Danh tiếng của công ty tanh bành vì lý do “công ty an ninh mạng mà bị hack”, thiệt hại lên tới hàng triệu USD và thậm chí còn nhiều hơn thế”, ông Hiếu nêu ví dụ.   

Chuyên gia Hiếu PC cũng cho biết, trên toàn cầu hiện nay, nhiều công ty trên thế giới quan tâm đến bảo mật và quyền riêng tư của khách hàng. Rất nhiều nền tảng mạng xã hội, thậm chí cả Email hiện đang tích hợp xác thực mạnh không mật khẩu như một tùy chọn bảo bảo mật, cách thiết lập rất dễ dàng chỉ với vào click. Ở các công ty toàn cầu, các công ty công nghệ lớn như Google, Microsoft, Samsung, Apple... đang áp dụng phương pháp xác thực không mật khẩu một cách hiệu quả và khuyến khích người dùng sử dụng phương thức xác thực này.

“Cách tốt nhất là phải ứng dụng xác thực mạnh không mật khẩu từ các vị trí cấp cao, những người có đặc quyền cao truy cập dữ liệu nội bộ. Đó cũng là cách tốt nhất họ bảo vệ công ty mình, hoặc thậm chí dữ liệu của chính phủ, và sau đó đi từ từ đến các nhân viên cấp thấp hơn, như vậy sẽ tối ưu được chi phí. Để làm được điều này cần thay đổi nhận thức của tất cả mọi người. Khi mọi người bắt đầu sử dụng xác thực không mật khẩu nhiều hơn thì chi phí của nó sẽ ngày càng rẻ hơn và trở thành sản phẩm phổ biến cho mọi người. Ngay bây giờ, những người dùng Facebook, Google đều có thể kích hoạt passkey miễn phí dễ dàng”, Hiếu PC nói.