An ninh mạng: Lỗ hổng chết người có thể nằm ngay trong email cá nhân

Điều này rất quan trọng vì các quan chức cấp cao không sống trong những môi trường hoàn toàn tách biệt. Cuộc sống công việc, đời tư, danh bạ, lịch trình và các phương thức khôi phục tài khoản của họ thường chồng chéo lên nhau, tạo ra kẽ hở cho những kẻ tấn công. Một hộp thư cá nhân có thể chứa chi tiết các chuyến đi, danh sách liên lạc, thông báo pháp lý, hồ sơ tài chính, hay các đường link để đặt lại mật khẩu. Ngay cả khi không có tập tin mật nào được lưu ở đó, kẻ tấn công vẫn có thể thu được một thứ quý giá: thông tin bối cảnh. Trong các chiến dịch tấn công mạng, thông tin bối cảnh chính là sức mạnh. Nó giúp tội phạm thực hiện lừa đảo, giúp gián điệp vẽ ra các mối quan hệ, và giúp những kẻ lừa đảo tạo ra các tin nhắn trông thật đến mức có thể đánh lừa cả những người cảnh giác nhất.

Bằng chứng trên diện rộng là không thể bỏ qua. Trung tâm Khiếu nại Tội phạm Internet của FBI cho biết người Mỹ đã báo cáo thiệt hại hơn 12,5 tỷ USD vì tội phạm mạng trong năm 2023, một con số kỷ lục. Nhiều vụ trong số đó không bắt đầu bằng phần mềm độc hại tinh vi. Chúng bắt đầu bằng lừa đảo (phishing), xâm nhập tài khoản, đánh cắp danh tính và mạo danh. Báo cáo Điều tra Vi phạm Dữ liệu của Verizon trong nhiều năm liền cũng liên tục chỉ ra rằng yếu tố con người đóng vai trò trong hầu hết các vụ xâm nhập, dù là qua thông tin đăng nhập bị đánh cắp, lừa đảo hay chỉ là lỗi đơn giản. Google và Mandiant cũng đã dành nhiều năm cảnh báo rằng việc chiếm đoạt tài khoản thường bắt đầu từ thói quen xác thực yếu kém, chứ không phải từ mã độc cao siêu.

Thực trạng này không chỉ diễn ra ở Hoa Kỳ. Tại Anh, Trung tâm An ninh mạng Quốc gia đã nhiều lần kêu gọi các quan chức và cả người dân bình thường phải bảo mật tài khoản email cá nhân, vì chúng có thể trở thành bàn đạp để xâm nhập vào các hệ thống lớn hơn. Ở Đức và Pháp, các cơ quan an ninh mạng cũng đưa ra lời khuyên tương tự sau khi các chiến dịch có liên quan đến các nhóm do nhà nước hậu thuẫn sử dụng tài khoản liên lạc cá nhân và tài khoản đám mây để lập hồ sơ về mục tiêu. Ngay cả khi mục tiêu không phải là xâm nhập trực tiếp, những kẻ tấn công vẫn có thể thu thập đủ thông tin từ một tài khoản cá nhân để tạo ra một chiến dịch gây áp lực, một vụ tống tiền, hay một chiến dịch mạo danh đầy thuyết phục.

Tại sao các tài khoản cá nhân lại dễ bị tấn công đến vậy? Một phần câu trả lời nằm ở tâm lý. Mọi người thường cẩn thận hơn ở nơi làm việc vì họ biết mình đang bị theo dõi, được đào tạo và kiểm tra. Ở nhà, họ hành động nhanh hơn. Họ nhấp vào các liên kết trên điện thoại, sử dụng mật khẩu cũ, bỏ qua các cảnh báo bảo mật và xem các nền tảng quen thuộc là an toàn. Cùng một người sẽ không bao giờ mở một tệp lạ trên máy tính xách tay của chính phủ, nhưng lại có thể vô tư chấp thuận một yêu cầu đăng nhập trong lúc đang nấu bữa tối. Khoảnh khắc lơ là đó chính là thứ mà những kẻ tấn công lợi dụng.

Một lý do khác là về cấu trúc. Cuộc sống số hiện đại được xây dựng trên sự kết nối. Một tài khoản email cá nhân có thể là địa chỉ để khôi phục tài khoản ngân hàng, nhắn tin, mua sắm, lưu trữ đám mây và mạng xã hội. Một số điện thoại có thể mở khóa các mã xác thực hai yếu tố. Lịch của gia đình có thể tiết lộ kế hoạch đi lại. Danh bạ có thể xác định trợ lý, người thân, bác sĩ, luật sư và đồng nghiệp. Đối với một quan chức cấp cao, mạng lưới đó càng trở nên hữu ích hơn đối với kẻ tấn công. Nó có thể tiết lộ ai là mục tiêu tiếp theo và nên dựng lên câu chuyện gì.

Đây không phải là một mối lo ngại trên lý thuyết. Vụ công bố các email bị đánh cắp từ các nhân vật chính trị cấp cao của Mỹ vào năm 2016 đã cho thấy các tài khoản cá nhân và tài khoản chiến dịch tranh cử có thể trở thành vũ khí chính trị và an ninh quốc gia như thế nào. Trong những năm sau đó, các nhà nghiên cứu và cơ quan tình báo đã ghi nhận nhiều nỗ lực của các nhóm có liên hệ với nước ngoài nhằm vào các quan chức, nhà báo, nhà bất đồng chính kiến và chuyên gia chính sách thông qua các nền tảng cá nhân thay vì các kênh chính thức. Microsoft đã mô tả cách các nhóm tin tặc được nhà nước hậu thuẫn thường bắt đầu bằng việc dò mật khẩu hàng loạt, đánh cắp mã thông báo hoặc lừa đảo nhắm vào người dùng cá nhân, bởi vì cách này rẻ hơn và ít gây chú ý hơn là tấn công trực diện vào một mạng lưới được bảo vệ.

Hậu quả có thể lan rất nhanh. Đầu tiên là thiệt hại trực tiếp cho mục tiêu: tin nhắn bị đánh cắp, danh bạ bị lộ, thông tin cá nhân bị rò rỉ và có thể bị lừa đảo tài chính. Sau đó là thiệt hại cho tổ chức. Đồng nghiệp có thể nhận được các tin nhắn giả mạo trông có vẻ đáng tin. Đội ngũ an ninh có thể phải điều tra xem liệu các hệ thống nội bộ có bị ảnh hưởng gián tiếp hay không. Đối thủ có thể lợi dụng sự cố để làm suy yếu lòng tin của công chúng, cho rằng có sự kém cỏi hoặc xâm nhập sâu hơn ngay cả khi vụ việc chỉ ở mức độ hạn chế. Đối với các nhà lãnh đạo thực thi pháp luật và tình báo, tổn hại về danh tiếng đó cũng mang lại rủi ro riêng. Nó có thể làm suy yếu niềm tin trong nước và gửi đi những tín hiệu ra nước ngoài.

Ngoài ra còn có một vấn đề dân chủ sâu sắc hơn. Người dân thường được cho rằng an ninh mạng quốc gia chủ yếu là vấn đề của các cơ quan tinh nhuệ, các công cụ mật và hàng rào phòng thủ trị giá hàng tỷ đô la. Nhưng các sự cố liên quan đến tài khoản cá nhân cho thấy an toàn mạng của công chúng lại gắn liền với các thói quen kỹ thuật số an toàn thông thường. Nếu các quan chức hàng đầu có thể bị lộ thông tin qua những điểm yếu tương tự như hàng triệu gia đình khác, thì khả năng chống chịu trên không gian mạng không chỉ là vấn đề kỹ thuật. Nó là một vấn đề của cả xã hội. Nó phụ thuộc vào thói quen, lựa chọn thiết kế và liệu các nền tảng có đặt bảo mật mạnh làm mặc định thay vì một tùy chọn bổ sung hay không.

Tin tốt là nhiều biện pháp phòng thủ tốt nhất không hề bí ẩn. Các chuyên gia bảo mật từ lâu đã khuyến nghị mọi người sử dụng trình quản lý mật khẩu, mật khẩu riêng biệt cho từng tài khoản, xác thực đa yếu tố chống lừa đảo và các tài khoản email riêng cho các chức năng quan trọng như khôi phục tài khoản. Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ đã nhấn mạnh giá trị của khóa bảo mật phần cứng đối với những người có nguy cơ cao, bao gồm các quan chức, nhà báo và nhà hoạt động. Apple, Google và Microsoft hiện cung cấp các chương trình bảo vệ tài khoản mạnh hơn, nhưng chúng vẫn yêu cầu người dùng phải đăng ký và tuân thủ.

Các tổ chức cũng cần ngừng xem việc bảo mật thiết bị và tài khoản cá nhân là một vấn đề phụ đáng xấu hổ. Đối với các quan chức cấp cao, nó phải là một phần của việc quản lý rủi ro tiêu chuẩn. Điều đó có nghĩa là phải thường xuyên xem xét bảo mật của các tài khoản cá nhân, hướng dẫn chặt chẽ hơn cho các thành viên trong gia đình, tách bạch rõ ràng giữa nhiệm vụ công và giao tiếp riêng tư, và có quy tắc báo cáo nhanh chóng khi nghi ngờ có sự xâm nhập cá nhân. Những bước này nghe có vẻ xâm phạm riêng tư, nhưng lựa chọn còn lại còn tệ hơn. Những kẻ tấn công đã hiểu rằng ranh giới của mạng lưới chính là cuộc sống con người gắn liền với nó.

Có một bài học ở đây vượt ra ngoài một vụ xâm nhập được báo cáo hay một dòng tít trên báo. Các thất bại an ninh mạng không phải lúc nào cũng đến một cách kịch tính như phim ảnh. Chúng thường lẻn vào qua một ứng dụng quen thuộc, một lần đăng nhập thông thường, hay một tin nhắn riêng tư có vẻ quá bình thường để phải lo sợ. Đó là lý do tại sao các tài khoản cá nhân lại quan trọng đến vậy. Chúng không còn nằm ngoài vành đai bảo mật nữa. Trong nhiều trường hợp, chúng chính là vành đai bảo mật. Và cho đến khi các nhà lãnh đạo, các tổ chức và công chúng chấp nhận điều đó, vụ tấn công tiếp theo sẽ trông không giống một cảnh chiến tranh kỹ thuật số mà giống như cuộc sống đời thường hơn.