“Cơn sốt ảo” Pokemon GO và những “nguy cơ thật “
Mới chỉ xuất hiện gần nửa tháng ở Việt Nam nhưng trò chơi Pokemon GO đã thu hút đông đảo người chơi. Trong “cơn sốt” về trò chơi này, nhiều chuyên gia an ninh mạng đã cảnh tỉnh về những nguy cơ có thật.
So với các game truyền thống thường buộc người chơi ngồi một chỗ, Pokemon GO hướng người chơi đến sự vận động. Tại những nơi công cộng, trong các công sở, trên đường phố… chúng ta đều có thể bắt gặp những người đang say sưa chơi Pokemon GO.
Tai nạn rình rập
Do quá mải mê bắt thú ảo, nhiều người đã gặp tai nạn trong khi di chuyển. Đặc biệt, với điều kiện an toàn giao thông ở Việt Nam, việc quá chăm chú vào màn hình điện thoại, dừng đỗ xe bất thường khi đang đi trên đường, có thể gây tai nạn, ách tắc giao thông, thậm chí dẫn đến việc bị cướp giật điện thoại đối với người chơi. Ham mê săn Pokemon, người chơi còn có thể bị dụ dỗ vào những chỗ vắng người tạo điều kiện cho các đối tượng xấu có hành vi nguy hiểm đối với người chơi.
Bên cạnh những rủi ro, tai nạn do quá ham mê chơi game gây ra cho trực tiếp người chơi, vấn đề về an toàn mạng và bảo mật thông tin cá nhân xoay quanh game này đang là điều thu hút sự quan tâm của dư luận.
Vừa lái xe vừa cầm điện thoại, mắt không rời màn hình, hoặc dừng đỗ xe đột ngột trên đường… là hình ảnh thường gặp sau khi trò Pokemon GO xuất hiện tại Việt Nam.
Theo Phó Chủ tịch phụ trách an ninh mạng của Tập đoàn Công nghệ Bkav Ngô Tuấn Anh: “Mới chỉ được phát hành tại Việt Nam từ ngày 6/8, nhưng Pokemon GO nhanh chóng trở thành một cơn sốt. Chính điều này có thể sẽ khiến người chơi gặp phải những rủi ro về an ninh mạng như cài đặt nhầm các ứng dụng giả mạo. Đồng thời có nguy cơ đối mặt với khả năng bị mã độc tấn công hệ thống mạng thông tin”.
Hiện nay, các chuyên gia công nghệ của Tập đoàn Công nghệ Bkav đã phân tích một số ứng dụng Pokemon GO giả mạo. Kết quả là đã tìm thấy mã độc có khả năng kiểm soát hoàn toàn thiết bị Android của người dùng.
Cảnh giác khi thông tin bị rò rỉ
Video đang HOT
Ông Ngô Tuấn Anh chia sẻ thêm, để chơi game Pokemon GO, người chơi cần bật tính năng định vị (GPS) và camera. Như vậy, về mặt kỹ thuật, từ tập hợp các vị trí và hình ảnh xung quanh những vị trí đó, nhà sản xuất game có thể dựng lại thông tin bản đồ, địa hình thực tế chính xác từ những người chơi. Dữ liệu thu được nếu bị dùng vào mục đích xấu sẽ biến Pokemon GO trở thành một phần mềm gián điệp nguy hiểm. Hoặc nếu người dùng chơi Pokemon GO tại những địa điểm quan trọng và nhạy cảm không được phép quay phim, chụp ảnh, các thông tin này có thể vô tình bị lộ. Đây chính là lý do nhiều quốc gia e ngại vấn đề an ninh khi những thông tin này bị sử dụng với mục đích xấu.
Pokemon GO là game thực tế ảo mới được xây dựng dựa trên bộ truyện tranh nổi tiếng cùng tên do Nintendo và hãng Niantic Labs sáng tạo. Ứng dụng game được cài đặt và chơi bằng điện thoại di động thông minh có kết nối mạng internet. Trong game, người chơi đóng vai là huấn luyện đi bắt những con thú ảo Pokemon. Là trò chơi ảo nhưng gắn liền với định vị ngoài đời thực khiến Pokemon GO lập nhiều kỷ lục trên các kho ứng dụng từ khi ra mắt đến nay.
Nhiều chuyên gia công nghệ nhận định Pokemon GO không phải là trò chơi giải trí đơn thuần. Đây chính là “công cụ cấp cao” mà công ty Niantic phát triển để thu thập các thông tin trên bề mặt trái đất. Với việc đòi hỏi hầu hết các quyền bao gồm: truy cập vào camera, microphone, con quay hồi chuyển, GPS, thiết bị cắm (bao gồm USB)… khi cài đặt, cũng như cách chơi theo dạng tương tác thực tế cho phép camera thu nhận mọi hình ảnh ngoài đời thực, hầu như mọi dữ liệu đều bị lưu lại, chủ yếu là hình ảnh và âm thanh. Với những điểm đặc biệt như vậy, ông Nguyễn Chí Thành, Chánh Văn phòng Hiệp hội An toàn thông tin Việt Nam cho rằng việc chơi Pokemon GO sẽ thật sự hữu ích đối với ứng dụng bản đồ của Google. Tuy nhiên, thực tế cho thấy trò chơi này có thể ảnh hưởng đến an ninh quốc gia khi người chơi đi vào khu vực cấm. Vì vậy một số nước như Iran đã cấm trò chơi này; Trung Quốc do hạn chế sử dụng Internet nên trò chơi này khó triển khai.
Thêm vào đó, để chơi Pokemon GO, người dùng phải truy cập vào tài khoản Gmail của mình và liên tục kết nối với hệ thống máy chủ. Tức là ứng dụng này có tính năng thu thập thông tin, dữ liệu. Theo ông Nguyễn Chí Thành, điều này có thể dẫn đến nguy cơ cao bị tấn công vào tài khoản, dẫn đến bị lộ, lọt thông tin cá nhân. Do vậy, người chơi cũng cần cân nhắc khi quyết định có chơi game Pokemon GO hay không?
Đối với lo ngại ứng dụng Pokemon GO bị cài mã độc, Bkav khẳng định: qua kiểm tra, các phiên bản chính thức game Pokemon GO trên App Store và Google Play không có mã độc. Hiện nay, Pokemon GO đã có bản chính thức tại Việt Nam. Do đó, nguy cơ các đối tượng xấu ra các ứng dụng nhái Pokemon Go để lừa, dụ người dùng sử dụng nhằm phát tán mã độc đã giảm bớt, song khả năng nhiễm mã độc vẫn còn. Vì vậy, người dùng cần cẩn trọng khi cài phần mềm, chỉ cài từ kho chính thống Google Play hoặc App Store, không nên tải các phiên bản từ nguồn bất kỳ trên mạng.
Theo Tin Tức
Khách hàng cần làm gì để bảo mật tài khoản ngân hàng?
Tự bảo mật số tài khoản, tên đăng nhập, mật khẩu là trách nhiệm của khách hàng, nhưng hệ thống của ngân hàng cũng cần có các biện pháp bảo mật bổ sung để giảm thiểu rủi ro trong trường hợp khách hàng bị lộ dữ liệu cá nhân.
Khách hàng cần làm gì để bảo mật tài khoản ngân hàng?
Về trường hợp khách hàng H.T.N.Hương của Vietcombank bị mất trộm 500 triệu đồng trong tài khoản Internet Banking mới đây, khi chưa có kết luận cuối cùng của cơ quan điều tra, sẽ rất khó để xác định nguyên nhân dẫn đến việc tài khoản bị kẻ gian xâm nhập và chuyển t.iền đi. Tuy nhiên, chúng ta có thể so sánh với các hệ thống ngân hàng khác trên thế giới để phần nào nhận định các khả năng.
Các ngân hàng trên thế giới vẫn dùng SMS OTP
So với các hệ thống ngân hàng khác trên thế giới, có thể thấy quy trình bảo mật theo các bước của dịch vụ VCB-iB@nking khá bài bản và tương đương, bao gồm quá trình đăng nhập bằng mật khẩu trên web kèm theo mã xác thực, yêu cầu mã OTP khi giao dịch trực tuyến (qua SMS hoặc ứng dụng Smart OTP trên điện thoại).
Các ngân hàng quốc tế trên thế giới đều phải tuân t.hủ t.iêu chuẩn PCI DSS (Payment Card Industry Data Security Standard), trong đó có quy định các hình thức xác thực giao dịch bằng mật khẩu dùng một lần OTP (One Time Password).
Chia sẻ với VietNamNet, chuyên gia bảo mật Nguyễn Phố Sơn (hiện đang làm việc cho tập đoàn Microsoft tại Mỹ) cho biết hiện các ngân hàng trên thế giới vẫn đang sử dụng hình thức xác thực OTP bằng tin nhắn SMS, ứng dụng OTP trên điện thoại tương tự như Vietcombank. Thậm chí các ngân hàng của Đức còn dùng hình thức xác thực TAN, một dạng mã OTP được in sẵn trên giấy, mỗi lần sử dụng một mã.
Một số ý kiến nhận định xung quanh vụ việc tài khoản Vietcombank của chị Hương cho rằng có nguy cơ nạn nhân bị trộm mã xác thực OTP thông qua SMS bằng cách khai thác lỗ hổng SS7 (Signaling System #7) của các mạng viễn thông. Nhưng để thực hiện được, thủ phạm cần có trình độ bảo mật rất cao để xâm nhâp vào hệ thống mạng viễn thông của nhà mạng di động, từ đó chặn bắt nội dung tin nhắn SMS OTP gửi về điện thoại của nạn nhân để thực hiện giao dịch chuyển khoản.
Tuy nhiên, theo tường trình của chị Hương, điện thoại của chị không hề nhận được tin nhắn thông báo mã OTP nào trong đêm bị xâm nhập tài khoản, nhưng vẫn nhận được các tin nhắn SMS thông báo giao dịch hoàn tất.
Không dễ để lấy trộm mã OTP qua tin nhắn
Xét từ động cơ của thủ phạm trộm t.iền chị Hương, việc thực hiện giao dịch chuyển t.iền v.ào ban đêm nhằm chủ đích tránh việc chị Hương đọc được các tin nhắn thông báo giao dịch. Điều này cho thấy thủ phạm không thể ngăn chặn hệ thống gửi các tin nhắn thông báo này, cũng như không thể ngăn các tin nhắn báo mã OTP gửi tới máy chị Hương.
Do máy chị Hương không hề nhận được SMS báo mã OTP, nên giả thuyết thủ phạm khai thác lỗi SS7 để có mã OTP thực hiện giao dịch chuyển khoản cũng chưa thực sự thuyết phục.
Một khả năng khác là lỗi tiềm ẩn có sẵn trong ứng dụng OTP. Đây là một dạng phần mềm mã hóa cài trên điện thoại của khách hàng, khi cài đặt lần đầu cũng phải đăng ký và xác thực danh tính chủ tài khoản qua tin nhắn. Khi thực hiện giao dịch trực tuyến, hệ thống sẽ đưa ra một chuỗi mã kiểm tra OTP, khách hàng sẽ nhập chuỗi mã đó vào ứng dụng OTP trên điện thoại. Ứng dụng trên điện thoại sẽ giải mã chuỗi mã này và trả lại một mã OTP tương ứng duy nhất để có thể thực hiện giao dịch thành công.
Cơ sở để ứng dụng OTP hoạt động là với mỗi mã kiểm tra OTP của hệ thống, ứng dụng sẽ trả lại một mã duy nhất, và ứng dụng OTP của khách hàng này không thể giải mã cho giao dịch của khách hàng khác. Nhưng nếu cơ chế mã hóa của ứng dụng OTP không đủ mạnh và bị bẻ khóa" thì chuyện lấy được mã OTP là hoàn toàn có thể.
Một khả năng khác nữa, là tài khoản của chị Hương đã bị thủ phạm kích hoạt ứng dụng Smart OTP và cài lên một điện thoại khác mà chị Hương không hề biết. Nhưng để thực hiện được, thủ phạm vẫn cần biết mã kích hoạt gồm 4 chữ số được gửi qua tin nhắn SMS tới số điện thoại của chị Hương.
Khách hàng cần bảo mật tài khoản như thế nào?
Tương tự như với các tài khoản khác trên Internet, người dùng cần kiểm tra kỹ đường link và tên miền của website trước khi nhập thông tin tài khoản và mật khẩu đăng nhập. Việc hacker giả mạo các trang web đăng nhập vào hệ thống ngân hàng hay Gmail, Facebook... để lừa nạn nhân đăng nhập đã trở nên rất phổ biến, được biết đến với thuật ngữ phishing.
Người dùng cũng cần thường xuyên cập nhật các phần mềm diệt virus mới nhất trên máy tính và điện thoại di động của mình. Khi máy tính/điện thoại bị nhiễm virus, các phần mềm nghe lén (keylogger) có thể ghi lại mọi thao tác bấm phím của nạn nhân, bao gồm cả tên đăng nhập, mật khẩu, website đăng nhập... Khi có các dữ liệu này, hacker có thể dễ dàng chiếm tài khoản của nạn nhân.
Bảo mật tin nhắn cá nhân trên smartphone cũng là điều hiện ít được người dùng Internet banking lưu ý. Với chuỗi số xác thực 4 chữ số, thậm chí nếu điện thoại có khóa màn hình nhưng để chế độ thông báo có xem trước (preview nortification) vẫn có thể khiến người khác xem được trong lúc chủ máy rời xa điện thoại.
Ngoài ra, việc nâng cao ý thức bảo mật luôn là điều cần thiết. Khi nhận được tin nhắn lạ từ ngân hàng gửi tới điện thoại, người dùng cần cảnh giác và kiểm tra ngay tài khoản của mình chứ không nên bỏ qua.
Theo Vietnamnet
Chuyên gia An ninh mạng: VCB chưa minh định thông tin vụ mất t.iền khách hàng Các chuyên gia về bảo mật cho rằng Ngân hàng Ngoại thương Việt Nam (VCB) chưa minh định thông tin liên quan đến việc khách hàng bị mất t.iền oan, và đằng sau vụ việc này có quá nhiều điều khó hiểu, và khó mà nói là VCB không liên đới trách nhiệm. Một phòng giao dịch của Ngân hàng Vietcombank. Ông Võ...