Hệ thống của hàng loạt DN, ngân hàng bị tấn công, làm sao để ngăn chặn?

Số lượng sự cố bảo mật đã ở mức cao kỷ lục trong suốt năm 2022, với các mối đe dọa hàng đầu bao gồm vi phạm dữ liệu và mã hóa ransomware, gây ra gian lận tài chính và thiệt hại do thanh toán tiền chuộc.

Các con số đang tăng lên đối với các cuộc tấn công phần mềm độc hại đã biết. Một báo cáo gần đây của Cơ quan quản lý CNTT có trụ sở tại Vương quốc Anh đã xác định 112 sự cố bảo mật bị tiết lộ công khai vào tháng 8 năm 2022 trên khắp Hoa Kỳ, Vương quốc Anh, Châu Âu, Nam Mỹ và các nơi khác. Những vi phạm bảo mật này đã dẫn đến 97.456.345 hồ sơ bị xâm phạm. Các cuộc tấn công phần mềm độc hại đã biết trong năm 2022 đang tiêu tốn của các công ty hàng triệu USD. Trong nửa đầu năm 2022, có tổng cộng 236,1 triệu cuộc tấn công ransomware trên toàn thế giới. Tin tặc thường tận dụng các chiến dịch lừa đảo thông minh để có được quyền truy cập vào thông tin đăng nhập của nhân viên để bắt đầu các cuộc tấn công này.

Công ty an ninh mạng Kaspersky cũng công bố số liệu cho thấy, trong nửa đầu năm 2022, 1,6 triệu cuộc tấn công giả mạo liên quan đến tài chính đã được phát hiện và ngăn chặn ở Đông Nam Á.

Trong đó, số lượng tấn công lừa đảo liên quan đến hệ thống thanh toán là 840.254 vụ, theo sau là các cửa hàng thương mại điện tử với 621.640 vụ và ngân hàng trực tuyến với 142.354 vụ.

Tại Việt Nam, Kaspersky đã phát hiện và ngăn chặn 56.392 cuộc tấn công giả mạo nhắm đến ngân hàng.

Tấn công phi kỹ thuật

Hiện tại có nhiều cuộc tấn công khác nhau, nhưng phi kỹ thuật (social engineering) là cách đứng đầu danh sách các mối đe dọa ngày càng tăng của mọi giám đốc an ninh mạng (CSO). Các vụ tấn công này có thể bao gồm mọi thứ, từ tin nhắn giả mạo từ ngân hàng có liên kết spam, tin nhắn trực tiếp từ mạng xã hội FB đáng ngờ từ bạn bè cho đến những kẻ xấu lừa đảo thông tin đăng nhập của nhân viên để giành quyền truy cập vào hệ thống của doanh nghiệp.

Việc rình mò và lừa gạt những nhân viên không nghi ngờ đã trở thành một trong những cách dễ dàng nhất để tin tặc truy cập vào hệ thống doanh nghiệp. Tìm một nhân viên không nghi ngờ, giành quyền truy cập vào thông tin đăng nhập của nhân viên đó và đánh cắp chìa khóa của hệ thống. Như thường nói, việc sử dụng chìa khóa cửa trước sẽ dễ dàng vào hơn là đột nhập bằng cửa sau.

Nói chung, chúng ta cần áp dụng một cách hiện đại và an toàn hơn để xác minh danh tính của một cá nhân và vượt qua các cách cũ là sử dụng nhiều tên người dùng, mật khẩu và trả lời các câu hỏi bảo mật. Ngay cả xác thực nhiều yếu tố (MFA) cũng không còn sai lầm nữa.

Nhiều tên tuổi lớn cũng bị hack

Tháng 10 vừa qua, ngân hàng VPBank gửi tin nhắn SMS đến các khách hàng cảnh báo hành vi lừa đảo. Ngân hàng cho hay có hiện tượng giả mạo tin nhắn gửi từ VPBank để lừa đảo và yêu cầu người dùng không nhấn vào đường link trong tin nhắn.

Cũng trong tháng 8, trong một nhóm người dùng MoMo phát đi cảnh báo cho thấy tên tuổi ví điện tử này bị mạo danh với hình thức tương tự.

Kẻ xấu giả tên thương hiệu MoMo ở phần người gửi, sau đó nhắn tin SMS cho người dùng với nội dung tài khoản bị khoá, yêu cầu người dùng truy cập vào đường link để xác thực.

Bất kỳ tổ chức nào cũng có nguy cơ bị vi phạm dữ liệu hoặc xâm nhập bảo mật. Đây là những gì đã xảy ra với Uber vào mùa hè vừa qua. Một hacker đã lừa lấy được thông tin đăng nhập của một nhân viên Uber và có quyền truy cập vào mạng nội bộ Uber, hệ thống Slack của công ty, quản trị viên Google Workspace, tài khoản AWS của Uber, bảng điều khiển tài chính…

Một ví dụ nổi bật khác xảy ra trước đó vào năm 2022 khi công ty bảo mật Group-IB phát hiện ra rằng nhân viên của Twilio, MailChimp và Klavioyo là nạn nhân vô tình của một chiến dịch lừa đảo lớn. Cuộc tấn công này đã xâm nhập gần 9.400 tài khoản của hơn 130 tổ chức. Nhiều nhân viên trong số này có trụ sở tại Mỹ và đã sử dụng dịch vụ Quản lý quyền truy cập và nhận dạng phổ biến của Okta.

Cũng đã có những cuộc tấn công khác vào đầu năm nay, liên quan đến các công ty Cisco, NVIDIA, Samsung, T-Mobile, Vodafone và có thể là các tổ chức đáng chú ý khác.

Và hãy lưu ý rằng ngay cả các nền tảng được thiết kế để bảo vệ bạn và nhân viên của bạn cũng đang bị tấn công. Vào tháng 8, công ty quản lý mật khẩu LastPass thông báo rằng hệ thống của họ đã bị xâm phạm.

Các CSO và quản trị viên hệ thống cho rằng MFA (xác thực đa yếu tố) hoặc 2FA (xác thực 2 yếu tố) là những giải pháp lý tưởng. Nhưng giờ đây, ngay cả những quy trình đó cũng đang bị tấn công và những kẻ xấu đang truy cập trái phép vào dữ liệu và thông tin của người dùng.

Đưa ra luật mới

Với việc mọi người trở thành nạn nhân của các cuộc tấn công lừa đảo/gian lận đã được các nhà lập pháp ở cả Anh và Mỹ lưu ý. Ở Anh có một đề xuất yêu cầu các ngân hàng và các tổ chức tài chính khác bồi hoàn cho các nạn nhân của gian lận trực tuyến.

Cơ quan quản lý hệ thống thanh toán đã công bố vào tháng 9 rằng họ muốn ngành công nghiệp thanh toán thay đổi cách quản lý các trò gian lận của APP (Thanh toán đẩy được ủy quyền). Các biện pháp được đề xuất yêu cầu các ngân hàng bồi hoàn số tiền bị đánh cắp hơn 100 bảng Anh cho các nạn nhân gian lận.

Các ngân hàng có trụ sở tại Vương quốc Anh sẽ có nghĩa vụ bồi thường cho khách hàng, ngay cả khi đó là một cuộc tấn công lừa đảo có thể xảy ra do sự thiếu hiểu biết của khách hàng ngân hàng. Ngân hàng sẽ vẫn có nghĩa vụ giúp hoàn trả số tiền bị mất.

Tại Mỹ, một thượng nghị sĩ bang Massachusetts cũng đang thúc đẩy luật tương tự sau phân tích về các khách hàng đã báo cáo tiền bị đánh cắp.

Các tổ chức tài chính phải chú ý nghiêm ngặt đến các âm mưu gian lận để bảo vệ khách hàng của họ tốt hơn. Bằng cách bảo vệ khách hàng của họ, ngân hàng cũng sẽ bảo vệ lợi nhuận của họ. Các vấn đề về an ninh mạng không chỉ là câu chuyện về bảo mật hay thương hiệu; chúng cũng đang trở thành một vấn đề trừng phạt tài chính.

Làm sao để có thể ngăn chặn?

Giám đốc an ninh mạng phải tăng gấp đôi việc ngăn chặn các nỗ lực lừa đảo trong và xung quanh các hệ thống nội bộ. Đó là một trong những hành động quan trọng nhất cần giải quyết. Không chỉ khách hàng của bạn bị tấn công và thông tin của họ bị lộ, mà giờ đây, ngay cả các công ty quản lý thông tin đăng nhập và kiểm soát truy cập (Duo, OKTA, LastPass) cũng bị xâm nhập, làm trầm trọng thêm vấn đề.

Khóa cửa trước vẫn là cách tốt nhất để chống lại những mối đe dọa này. Thực hiện một cách tiếp cận nhiều tầng để xem xét lại danh tính của nhân viên, đối tác và khách hàng của bạn là một cách tốt để bắt đầu. Nếu bạn chưa cân nhắc làm như vậy, đã đến lúc bắt đầu xem xét thế hệ tiếp theo của các sản phẩm quản lý danh tính và kiểm soát truy cập đang được đưa vào thị trường.

Các hệ thống cải tiến này có thể thiết lập tốt hơn danh tính của không chỉ thiết bị đăng nhập mà còn cả danh tính của cá nhân sử dụng thiết bị. Ngoài ra, danh tính cần phải là một vấn đề liên tục, không chỉ vào đầu ngày, ca làm việc hay phiên trực tuyến. Các hệ thống dựa trên AI mới hơn có thể thực hiện điều này mà không tạo ra các cửa sổ bật lên gây phiền nhiễu về xác thực lại liên tục, bằng cách kết hợp nhiều loại tín hiệu hành vi và có thể là sinh trắc học trong thời gian thực.

Zero Trust đã trở thành một cụm từ được sử dụng quá nhiều trong ngành, nhưng đã đến lúc bắt đầu triển khai các giải pháp cho phép bạn với tư cách là CSO thực sự tin tưởng ai đang truy cập vào mạng và dữ liệu của bạn.