FPT IS đề xuất giải pháp chủ động phòng chống lừa đảo không gian mạng
Khác với đa số hình thức tấn công vốn khai thác yếu tố kỹ thuật là chính, tội phạm lừa đảo trên không gian mạng chủ yếu khai thác điểm yếu tâm lý cố hữu của người dùng, và tận dụng số lượng lớn người dùng để hoạt động. Với bài toán trên, chuyên gia FPT IS đề xuất mô hình đào tạo thông qua phishing chủ động với đặc điểm liên tục – cá nhân hóa – thiết thực giúp người dùng tăng cường nhận thức, qua đó hạn chế tối đa việc bị lừa đảo.
Vì sao lừa đảo trực tuyến thành công?
Vừa qua, FPT IS đã tham dự sự kiện Hội thảo Phòng chống lừa đảo không gian mạng do Hiệp hội An ninh mạng quốc gia tổ chức, dưới sự chỉ đạo của Bộ Công an. Sự kiện hướng tới mục tiêu đồng hành cùng tổ chức, doanh nghiệp trao đổi, cập nhật kiến thức và công nghệ mới nhất trong lĩnh vực an ninh mạng, qua đó giúp tăng cường bảo mật cho tổ chức, doanh nghiệp.
Khai mạc hội thảo, Thượng tướng Lương Tam Quang, Thứ trưởng Bộ Công an cho biết, thực tiễn lừa đảo trên không gian mạng thời gian qua diễn biến rất phức tạp, gây thiệt hại nghiêm trọng cho tổ chức, cá nhân, tác động tiêu cực đến phát triển.
Theo Thượng tướng, hoạt động lợi dụng không gian mạng tiến hành phạm tội, nổi bật là lừa đảo trực tuyến gia tăng cả về phạm vi, quy mô với thủ đoạn tinh vi, là thách thức với mọi quốc gia. Thống kê trên thế giới cho thấy năm 2023, hoạt động lừa đảo trên mạng đã gây thiệt hại là 1.026 tỷ USD, tương đương 1,05% GDP toàn cầu. Tại Việt Nam, cổng cảnh báo an toàn thông tin ghi nhận gần 16.000 phản án lừa đảo trực tuyến; trong đó 91% liên quan lĩnh vực tài chính.
Chia sẻ tại phiên chuyên đề với tham luận “Nâng cao nhận thức chống lừa đảo thông qua phương thức phishing chủ động”, TS. Nguyễn Thanh Bình – Chuyên gia tư vấn An ninh mạng toàn cầu, FPT IS đánh giá: “Hai nguyên nhân căn bản khiến lừa đảo trên không gian mạng thành công dựa trên việc khai thác điểm yếu tâm lý cố hữu của con người, tận dụng số lượng lớn nạn nhân tiềm năng”.
Chuyên gia FPT IS đề xuất mô hình đào tạo thông qua phishing chủ động cho tổ chức, doanh nghiệp.
Hiện có 3 nhóm lừa đảo chính là giả mạo thương hiệu, chiếm đoạt tài khoản và các hình thức kết hợp khác. Theo Cẩm nang nhận diện và phòng chống lừa đảo trực tuyến (Cục An toàn thông tin, Bộ thông tin & Truyền thông), có 24 hình thức lừa đảo đang diễn ra trên không gian mạng Việt Nam: Lừa đảo “combo du lịch giá rẻ”; Lừa đảo cuộc gọi video Deepfake, Deepvoice; Lừa đảo “khóa SIM” vì chưa chuẩn hóa thuê bao…
Trong đó phishing (Tấn công giả mạo) là phương thức tấn công mạng phổ biến. Theo báo cáo Cost of a Data Breach Report, 2023 của IBM, thiệt hại trung bình của một vụ xâm phạm dữ liệu do có phishing – phương thức xâm nhập ban đầu là 4,76 triệu USD, chỉ kém phương thức xâm nhập qua đối tượng nằm bên trong tổ chức (4,90 triệu USD/vụ). Đồng thời, phishing là phương thức số một giúp hacker đặt chân vào tổ chức, chiếm 16% số vụ. Việc tạo điểm xâm nhập ban đầu là bước quan trọng để hacker tiếp tục tấn công sâu vào hệ thống.
Phishing chủ động tối đa hoá hiệu quả phòng chống lừa đảo không gian mạng.
Với bài toán nâng cao nhận thức, việc thông tin và tuyên truyền được đánh giá là giải pháp căn cơ, hiệu quả, lâu dài. Tuy nhiên các hình thức này gặp phải một hạn chế lớn, đó là phụ thuộc vào sự chủ động của người dùng trong việc nghe, xem, đọc, tiếp thu, và phải cạnh tranh với rất nhiều nguồn thông tin hấp dẫn khác.
Trong bối cảnh đó, chuyên gia FPT IS khuyến nghị tổ chức, doanh nghiệp áp dụng phương thức phishing chủ động để đào tạo. Tổ chức, doanh nghiệp làm việc với nhà cung cấp dịch vụ để thiết lập hạ tầng, thiết kế email lừa đảo gửi cho cán bộ nhân viên. Sau đó tập hợp, thống kê, phân tích số lượng nhân viên bị lừa ở các mức độ khác nhau như mở email, bấm vào đường link truy cập trang web giả mạo, điền thông tin vào trang web giả mạo… Từ đó xây dựng bản tin truyền thông cho doanh nghiệp, bản tin hướng dẫn mang tính cá nhân hóa cho những người dùng bị lừa.
Hệ sinh thái các giải pháp bảo mật của FPT IS thu hút sự quan tâm của các khách mời tham gia sự kiện.
Với mục tiêu đồng hành cùng tổ chức, doanh nghiệp, ngân hàng trong bài toán phòng chống lừa đảo an ninh mạng, FPT IS phát triển dịch vụ FPT.EagleEye Phish-Training, giúp nâng cao nhận thức một cách chủ động, thông qua tình huống thực tế và được cá nhân hóa. Giải pháp thiết kế tối giản, thân thiện về mặt kỹ thuật, cho phép tiếp cận một lượng người lớn trong thời gian ngắn, tối ưu quy trình đào tạo cho từng cá nhân.
Với cá nhân, mô hình giúp đào tạo, nâng cao nhận thức qua tình huống thực tế và bản tin cá nhân hóa. Trong khi đó, tổ chức, doanh nghiệp có thể nhìn ra bức tranh toàn cảnh xem bộ phận chức năng (phòng ban), nhóm nhân viên (theo lứa tuổi, giới tính)… nào dễ bị lừa đảo bởi điều gì…, lấy đó làm cơ sở cho các chương trình đào tạo nhận thức tiếp theo.
“Tương lai, phishing chủ động có thể nhân rộng trên quy mô quốc gia, thông qua việc phân vai”, ông Bình chia sẻ tại phần tọa đàm. Theo đó, các tổ chức, doanh nghiệp có thể sử dụng dịch vụ FPT.EagleEye Phish-Training của FPT IS để đào tạo cho cán bộ, nhân viên, khách hàng; Bộ Công an, Bộ Thông tin & Truyền thông xây dựng nền tảng và cung cấp hoạt động đào tạo cho toàn dân để thực hiện vai trò lãnh đạo, quản lý về mặt nhà nước.
Thêm vào đó, ông Bình gợi ý kinh nghiệm một số quốc gia khi xác lập “Tháng an toàn thông tin”, tiến hành chiến dịch thông tin, tuyên truyền trên cả nước về một hoặc một vài vấn đề nổi bật. Hoạt động giúp đẩy mạnh truyền thông, khuyến khích các tổ chức, địa phương, trường học mời chuyên gia đến chia sẻ. Ngoài ra, chuyên gia FPT IS cũng gợi ý đưa đào tạo về an toàn thông tin vào các chương trình cho học sinh phổ thông dưới hình thức phù hợp tùy lứa tuổi. Ông Bình dẫn chứng sự thành công của việc đưa đào tạo về công nghệ, ví dụ STEM, vào nhiều trường từ cấp Tiểu học trở đi.
Tại triển lãm công nghệ, FPT IS giới thiệu hệ sinh thái các giải pháp bảo mật, tạo nên vòng tròn khép kín bảo vệ toàn diện tài sản số của tổ chức, doanh nghiệp và các cá nhân tham gia vào các giao dịch trên môi trường số. Tiêu biểu như bộ giải pháp FPT.EagleEye (gồm nền tảng điều hành an ninh mạng tập trung – FPT.EagleEye mSOC, dịch vụ giám sát an toàn thông tin và phản ứng sự cố – FPT.EagleEye MDR, dịch vụ tư vấn, đánh giá và cấp chứng chỉ PCI DSS, dịch vụ kiểm tra và đánh giá an toàn thông tin – Pentest).
Song song, nhằm tăng cường “lá chắn” trước hình thức lừa đảo, FPT IS cũng triển khai dịch vụ xác thực CCCD gắn chip với giải pháp FPT.IDCheck, đáp ứng yêu cầu Đề án 06. Qua đó, các khâu xác thực CCCD gắn chip được thực hiện chỉ trong vài giây, thông tin nhân thân được tự động nhập một cách đầy đủ, đối chiếu với dữ liệu từ Bộ Công an. Đến nay, FPT.IDCheck được tin chọn sử dụng bởi các ngân hàng, tổ chức tài chính hàng đầu Việt Nam, tiêu biểu như: Sacombank, ACB, VIB, TPBank, WooriBank, JACCS…
“Với kinh nghiệm hơn 25 năm kinh nghiệm trong lĩnh vực An toàn thông tin, FPT IS hiện là đối tác bảo mật của các tổ chức, doanh nghiệp và ngân hàng hàng đầu trong nước và quốc tế. Cùng lợi thế về chuyên gia công nghệ, năng lực phát triển sản phẩm, FPT IS mong muốn đồng hành cùng Việt Nam tháo gỡ triệt để tình trạng lừa đảo, xây dựng môi trường mạng an toàn, giải quyết vấn đề nhức nhối trong xã hội, quốc gia”, chuyên gia FPT IS cam kết.
