Việc đánh cắp dữ liệu cá nhân hoặc dữ liệu nhạy cảm là một trong những mối đe dọa lớn nhất đối với hoạt động kinh doanh trực tuyến.Nguy cơ đánh cắp dữ liệu hoặc xuất dữ liệu trái phép này đến từ nhiều loại vectơ tấn công. Những việc này bao gồm hành vi trộm cắp vật lý thiết bị, tấn công nội bộ vào mạng lưới công ty cũng như lừa đảo, phần mềm độc hại hoặc các script của bên thứ ba. Nguy cơ đối với những người dùng trang web thường xuyên bị kẻ tấn công đánh cắp dữ liệu cá nhân và dữ liệu nhạy cảm của họ mà họ không hề hay biết sẽ tăng lên mỗi ngày.
Có một số cách mà kẻ tấn công có thể lén lút lấy dữ liệu từ những người truy cập trang web không rõ. Những việc này bao gồm các cuộc tấn công cơ bản như lừa đảo, dụ dỗ nạn nhân bằng các email được tạo thủ công để nhấp vào các liên kết lừa đảo chuyển hướng người dùng đến các trang web độc hại. Các cuộc tấn công phức tạp hơn bao gồm sử dụng các script trên các trang web để bí mật lấy cắp thông tin đăng nhập, thông tin tài chính và thậm chí cả dữ liệu y tế của người dùng.
Thông thường, các trang web triển khai các tập lệnh của bên thứ ba cho các mục đích quảng cáo hoặc phân tích. Trong các nghiên cứu gần đây, các nhà nghiên cứu đã phát hiện ra rằng các script của bên thứ ba đang chiếm quyền điều khiển các trang web thường xuyên hơn. Với tư cách là dùng, bạn thường khó nhận ra hành vi lừa đảo.
Có năm lĩnh vực mà các script mã độc hại của bên thứ ba cố gắng nâng cao đặc quyền:
- Lạm dụng trình duyệt quản lý đăng nhập và tự động điền
- Đánh cắp dữ liệu xã hội
- Đánh cắp mô hình đối tượng tài liệu (DOM)
- Đánh cắp dữ liệu trong môi trường đám mây
- Đánh cắp dữ liệu của cảm biến điện thoại di động.
Lạm dụng trình duyệt quản lý đăng nhập và tự động điền
Nhiều người dùng internet lưu trữ thông tin đăng nhập hoặc thông tin cá nhân khác của họ trong trình quản lý đăng nhập của trình duyệt và các công cụ tự động điền. Những biểu mẫu đăng nhập này điền vào các trang web mà không cần nhập. Trong hầu hết các trường hợp, điều này có thể tăng cường bảo mật cho người dùng vì họ không cần nhập thông tin đăng nhập.
Nhiều script của bên thứ ba sử dụng những điều này bằng cách thêm các biểu mẫu đăng nhập ẩn trên các trang web. Người dùng không nhìn ra các hình thức độc hại này. Thay vào đó, trình quản lý đăng nhập của trình duyệt điền chúng bằng thông tin đăng nhập người dùng đã lưu trữ và gửi chúng cho bên thứ ba. Cuộc tấn công này cũng gây ra với các địa chỉ email hoặc số điện thoại mà trình duyệt thường lưu trữ với tính năng tự động điền. Đôi khi, nó thậm chí còn gây ra đối với thẻ tín dụng và số an sinh xã hội.
Đánh cắp dữ liệu xã hội
Để giúp người dùng dễ dàng hơn, nhiều nhà điều hành trang web cung cấp xác thực liên kết thông qua các nhà cung cấp đăng nhập phương tiện truyền thông xã hội. Ưu điểm là người dùng không phải nhớ mật khẩu; họ có thể sử dụng thông tin đăng nhập đơn giản vào hồ sơ mạng xã hội của họ. Mối đe dọa là khi người dùng chấp thuận tích hợp đăng nhập xã hội cho trang web của ‘bên thứ nhất’ với các script của bên thứ ba được nhúng. Sau đó, những kẻ tấn công có thể có được quyền truy cập và có thể truy vấn giao diện lập trình ứng dụng (API) của nhà cung cấp phương tiện truyền thông xã hội. Điều này cho phép họ đánh cắp thông tin người dùng một cách bí mật từ hồ sơ mạng xã hội đó. Đây có thể là thông tin tài khoản người dùng hoặc ID tài khoản cũng như địa chỉ email và thông tin địa chỉ cá nhân.
Đánh cắp DOM
DOM của trang web là một cấu trúc dạng cây xác định cách sắp xếp nội dung của một trang web. Nội dung động dành riêng cho phiên người dùng có thể được sắp xếp trong DOM. Cấp cao nhất của cây DOM có thể chứa thông tin nhạy cảm hoặc thông tin cá nhân, như tên, địa chỉ và các dữ liệu khác tùy thuộc vào trang web. Trên trang web ngân hàng, nó cũng có thể chứa nhiều thông tin bí mật hơn như số thẻ tín dụng hoặc thông tin tài khoản. Nếu kẻ tấn công triển khai script của bên thứ ba ở cấp cao nhất, nó thường có thể duyệt qua cây DOM đầy đủ và lấy sạch tất cả dữ liệu bí mật. Bằng cách sử dụng các tập lệnh, những kẻ tấn công thậm chí có thể thay đổi các sự kiện trên một trang web để theo dõi những gì người dùng đang làm. Các tập lệnh cũng có thể bí mật thêm trình xử lý sự kiện, có thể cho phép kẻ tấn công ghi lại chuyển động chuột của người dùng.
Những vi phạm quyền riêng tư này là một mối đe dọa đã được biết đến và nghiên cứu về an ninh mạng đang ngày càng hiểu rõ hơn về các kỹ thuật của những kẻ tấn công để đưa ra các phương pháp ngăn chặn thích hợp. Mặt khác, người dùng có các tùy chọn hạn chế, ngoại trừ trình chặn quảng cáo. Người dùng cũng chỉ nên lưu trữ lượng thông tin cá nhân trực tuyến ít nhất có thể hoặc tắt mã script trong các tùy chọn của trình duyệt. Nhưng đây không phải là những giải pháp lý tưởng. Thay vào đó, các nhà điều hành trang web nên đảm bảo rằng nội dung của họ là sạch. Điều này càng quan trọng hơn khi các ứng dụng web chạy trên đám mây.
Đánh cắp dữ liệu trong đám mây
Đám mây ngày càng trở nên quan trọng và mang lại nhiều lợi thế so với các thiết bị khác. Khi đến các trang web và ứng dụng web, có thể dễ dàng thiết lập mã trên đám mây hơn và công khai mã từ đó. Nhưng các nghiên cứu gần đây đã chỉ ra rằng một trong những mối đe dọa lớn nhất đối với môi trường đám mây là cấu hình sai. Điều này có thể dẫn đến các API không an toàn cho phép các script độc hại lấy thông tin từ các khu vực được bảo vệ. Nó có thể cho phép những kẻ tấn công có quyền truy cập vào bộ nhớ thông tin xác thực và có được thông tin đăng nhập của người dùng hoặc thậm chí quản trị viên cho các môi trường đám mây.
Đánh cắp dữ liệu và cảm biến điện thoại di động
Một số nghiên cứu gần đây đã phát hiện ra rằng các script của bên thứ ba có thể truy cập vào các cảm biến di động (ví dụ: GPS, con quay hồi chuyển và cảm biến chuyển động) và đámh cắp dữ liệu cảm biến. Đặc biệt là trên Android, có những vectơ tấn công chính để lạm dụng các cảm biến di động để lấy dữ liệu bí mật. Các cuộc tấn công này nhắm mục tiêu vào mạng quảng cáo Android, vì vậy nạn nhân không cần tải xuống ứng dụng di động độc hại. Tập lệnh độc hại có thể truy cập các cảm biến di động từ các quảng cáo được nhúng trong ứng dụng.
Các lỗ hổng này cũng có thể xuất hiện trong các ứng dụng kết hợp hoặc trình duyệt di động, mở một cửa sổ với WebView của Android để hiển thị trang web hoặc nội dung trang web bằng ứng dụng hoặc trình duyệt dành cho thiết bị di động. Thông thường, WebView nên được sandbox trong các ứng dụng để không có mã nào có thể chạy trong nền. Tuy nhiên, quảng cáo trên thiết bị di động vẫn có thể thực thi script bí mật để lấy dữ liệu cảm biến di động, ngay cả khi cửa sổ ứng dụng hoặc trình duyệt bị đóng.
Các script của bên thứ ba trên các trang web, ứng dụng hoặc trên đám mây có thể là một mối đe dọa lớn. Khi quá trình chuyển đổi kỹ thuật số tiếp tục và xã hội của chúng ta trở nên kết nối nhiều hơn, điều quan trọng là phải bảo mật nội dung đúng cách và đảm bảo rằng tính bảo mật của dữ liệu nhạy cảm của người dùng luôn được đặt lên hàng đầu.
Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT,An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668.
Vina Aspire – Vững bảo mật, trọn niềm tin
