Sunday, January 7, 2024

Hacker có thể đăng nhập tài khoản Google không cần mật khẩu

T ội phạm mạng có thể truy cập tài khoản Google của người dùng thông qua lỗ hổng cookie mà không cần biết mật khẩu.

Công ty bảo mật CloudSEK vừa công bố nghiên cứu về một dạng phần mềm độc hại sử dụng cookie để truy cập trái phép dữ liệu riêng tư của người dùng. Các nhóm hacker đang liên tục đào sâu phương pháp này trong khi Google chưa đưa ra biện pháp khắc phục triệt để. Cách thức tấn công bắt đầu được một hacker hé lộ hồi tháng 10/2023 trên Telegram. Trong đó, người này chỉ ra cách xâm nhập tài khoản Google thông qua lỗ hổng cookie. Các trang web và trình duyệt thường dùng cookie nhằm ghi nhớ hành vi của người dùng, từ đó cải thiện trải nghiệm Internet.

Có nhiều loại cookie khác nhau, trong đó cookie xác thực của Google hỗ trợ người dùng truy cập tài khoản mà không phải đăng nhập liên tục. Hacker đã tìm ra lỗ hổng trong cơ chế này để loại bỏ quy trình xác thực hai yếu tố, cho phép chúng có thể vào các tài khoản Google của người dùng mà không cần biết mật khẩu.

 



Một số ứng dụng của Google trên điện thoại. Ảnh: Khương Nha© Được VnExpress cung cấp

Sau khi đảo ngược các đoạn mã và phân tích, chuyên gia của CloudSEK đánh giá đây là hình thức khai thác tinh vi. Để làm được điều này, tin tặc không chỉ đào sâu về bảo mật mà còn hiểu rõ về cơ chế xác thực của Google.

"Đáng báo động, việc khai thác lỗ hổng họat động hiệu quả ngay khi người dùng vừa đặt lại mật khẩu. Nạn nhân có thể bị theo dõi trong thời gian dài, ít bị phát hiện", CloudSEK nhấn mạnh về độ nghiêm trọng của lỗ hổng. Theo các chuyên gia, hình thức tấn công mới cho thấy tin tặc ngày càng tinh vi, có xu hướng ẩn mình, tìm kiếm những phương pháp mang tính hiệu quả lâu dài, khó bị phát hiện hơn. "Điều này là hồi chuông cảnh báo về việc cần thiết phải giám sát các lỗ hổng kỹ thuật liên tục. Các công ty cũng phải xác định lại vai trò của chuyên gia phân tích rủi ro để chuẩn bị cho những mô hình tấn công mới của tin tặc", Pavan Karthick M, nhà nghiên cứu của CloudSEK Pavan Karthick, nói.

Google Chrome hiện chiếm khoảng 60% thị phần trình duyệt Internet. Theo Independent, công ty đang trong quá trình ngăn chặn cookie của bên thứ ba. Với lỗ hổng mới, Google cho biết đang tăng cường biện pháp kỹ thuật để có thể phát hiện tài khoản bị đăng nhập trái phép bằng lỗ hổng bảo mật trên.

"Người dùng nên liên tục thực hiện các hướng dẫn để xóa phần mềm độc hại được cảnh báo trên máy tính. Chúng tôi khuyến cáo nên bật chế độ trình duyệt web an toàn nâng cao khi dùng Chrome để hạn chế tối đa việc tải về và truy cập phải phần mềm độc hại", Google nói.

Theo CloudSEK, trong lúc chờ giải pháp đầy đủ từ Google, người dùng nên đăng xuất tất cả tài khoản, hồ sơ hiện có trên trình duyệt nếu nghi ngờ bị tấn công. Sau đó đổi mật khẩu và đăng nhập lại. Việc này không đảm bảo an toàn tuyệt đối trước hình thức tấn công mới nhưng cũng tạo ra rào cản đáng kể với tin tặc khi muốn đăng nhập trái phép tài khoản người dùng.

Khương Nha (theo Independent, CloudSEK)

Wednesday, January 3, 2024

Nhận diện tội phạm mạng sử dụng công nghệ trí tuệ nhân tạo để giả mạo hình ảnh, giọng nói (Deepfake) để lừa đảo chiếm đoạt tài sản

Lợi dụng công nghệ trí tuệ nhân tạo (AI) giả mạo hình ảnh, giọng nói (Deepfake) để lừa đảo chiếm đoạt tài sản.

Thời gian qua, tình hình tội phạm và vi phạm pháp luật liên quan đến lừa đảo chiếm đoạt tài sản trên không gian mạng có chiều hướng gia tăng và diễn biến phức tạp.

Các thủ đoạn phổ biến tội phạm sử dụng để lừa đảo trên không gian mạng trong thời gian qua

Thứ nhất, giả mạo các trang thông tin điện tử cơ quan, doanh nghiệp (bảo hiểm xã hội, ngân hàng,…) đánh cắp, chiếm đoạt thông tin dữ liệu cá nhân của người đăng nhập sau đó thực hiện hành vi chiếm đoạt tài sản.

Thứ hai, thông qua hoạt động của các sàn đầu tư chứng khoán quốc tế, giao dịch vàng, ngoại hối, giao dịch tiền ảo, dự án bất động sản,… hoặc hoạt động kinh doanh đa cấp trái phép qua mạng để quảng cáo, lôi kéo số lượng lớn người tham gia đầu tư, kinh doanh nhằm mục đích lừa đảo chiếm đoạt số tiền của người tham gia.

Thứ ba, đăng tin tuyển cộng tác viên bán hàng online trên các trang mạng xã hội (Zalo, Facebook, Tiktok,…), nhận việc làm tại nhà, không mất thời gian di chuyển, bỏ tiền tạm ứng hoặc thanh toán trước đơn hàng khoảng vài trăm nghìn để đặt hàng, sau đó nhận tiền công kèm theo lãi đơn hàng và tiền thưởng. Tuy nhiên, sau khi thanh toán đơn hàng và đặt hàng, nạn nhân bị chiếm đoạt số tiền tạm ứng hoặc thanh toán đơn hàng.



Thứ tư, sử dụng thủ đoạn chiếm quyền điều khiển tài khoản mạng xã hội. Sau đó, nhắn tin lừa đảo đến danh sách bạn bè của người bị hại thực hiện hành vi chiếm đoạt tài sản.

Thứ năm, giả danh cơ quan Công an, Viện kiểm sát, Tòa án gọi điện qua giao thức VoIP để hăm dọa bị hại có liên quan đến các vụ án đang điều tra, yêu cầu bị hại chuyển tiền đến các tài khoản do các đối tượng chỉ định hoặc yêu cầu cung cấp mã OTP để xác thực chuyển tiền để kiểm tra, xác minh sau đó chiếm đoạt.

Thứ sáu, thông qua hoạt động thương mại điện tử để rao bán hàng giả, hàng nhái để chiếm đoạt tiền của người tham gia giao dịch.

Thứ bảy, sử dụng các thông tin trên thẻ căn cước công dân (CCCD) để lừa đảo, các đối tượng sử dụng nhiều thủ đoạn khác nhau để thu thập hình ảnh CCCD của người dân. Sau đó, sử dụng thông tin trên CCCD để đăng ký mã số thuế ảo hoặc để vay tiền các tổ chức tín dụng trên mạng xã hội với lãi suất rất cao hoặc sử dụng thông tin để thực hiện hành vi lừa đảo chiếm đoạt tài sản.

Thứ tám, thủ đoạn cố ý chuyển nhầm tiền vào tài khoản ngân hàng để lừa đảo. Các đối tượng cố ý chuyển nhầm một khoản tiền vào tài khoản của bị hại, rồi giả danh là người thu hồi nợ, yêu cầu người nhận trả lại số tiền kia như một khoản vay với lãi suất rất cao.

Thủ đoạn mới, tội phạm trên không gian mạng giả mạo hình ảnh, giọng nói (Deepfake) để chiếm đoạt tài sản

Tội phạm mạng sử dụng công nghệ trí tuệ nhân tạo giả mạo hình ảnh, giọng nói (Deepfake) bắt chước hành vi của con người để thu thập thông tin trái phép (Deepfake với khả năng học hỏi dữ liệu khuôn mặt, hình ảnh và cả giọng nói của con người, nó sẽ khiến khuôn mặt của một người A được gắn lên cơ thể của người B rất giống thật, đến mức rất khó để nhận biết nếu chỉ đơn giản là nhìn lướt qua). Sau khi xác định mục tiêu, tội phạm mạng sử dụng trí tuệ nhân tạo để so sánh ảnh người dùng trên các nền tảng khác nhau, từ đó xác định tất cả thông tin mạng xã hội của nạn nhân. Tiếp đến, tội phạm mạng tạo hình ảnh, âm thanh và thậm chí video giả mạo để khiến nạn nhân tin rằng mình đang tương tác với người mà mình tin tưởng để lừa đảo chiếm đoạt tài sản.

Sau đây là các dấu hiệu để nhận diện tội phạm mạng sử dụng Deepfake để lừa đảo chiếm đoạt tài sản:

- Dấu hiệu thứ nhất, khẩu hình miệng không đồng bộ với lời nói;

- Dấu hiệu thứ hai, hiện lên các đồ vật kỹ thuật số trong hình ảnh;

- Dấu hiệu thứ ba, nhân vật nói liên tục, không chớp mắt;

- Dấu hiệu thứ tư, video có những sự nhấp nháy lạ thường;

- Dấu hiệu thứ năm, âm thanh và/hoặc video chất lượng thấp;

- Dấu hiệu thứ sáu, thay đổi tông màu da liên tục;

- Dấu hiệu thứ bảy, chuyển động giật cục, như một đoạn video lỗi;

- Dấu hiệu thứ tám, ánh sáng bị thay đổi liên tục từ khung hình này sang khung hình tiếp theo;

Khuyến nghị người dùng mạng xã hội lưu ý một số vấn đề như sau:

Một là, hạn chế quyền truy cập vào giọng nói, hình ảnh. Những kẻ lừa đảo cần các bản ghi âm, hình ảnh hoặc cảnh quay của nạn nhân để tạo ra những sản phẩm giả. Để ngăn chặn việc dữ liệu hình ảnh, âm thanh của bạn bị sao chép, hãy hạn chế sự hiện diện của bạn trên mạng xã hội hoặc đặt tài khoản của bạn ở chế độ riêng tư, chỉ chấp nhận yêu cầu từ những người bạn tin tưởng.

Hai là, đặt mật khẩu mạnh (trên 8 ký tự, có chữ HOA, chữ thường, ký tự đặc biệt) cho các tài khoản mạng xã hội, xác thực mật khẩu 02 lớp, mỗi tài khoản mạng xã hội sử dụng mật khẩu khác nhau không sử dụng chung 01 mật khẩu, lưu ý nên thường xuyên thay đổi mật khẩu.

Ba là, không truy cập bất kỳ đường link lạ nào. Khi được người thân gửi cho một đường link với những cấu trúc lạ, đừng vội vàng nhấp vào đường link/nút đó. Hãy tìm cách xác minh lại với người đã gửi tin nhắn cho bạn.

Bốn là, luôn xác minh thông tin. Nếu nhận được một đoạn tin nhắn thoại đặc biệt là các tin nhắn hướng đến mục đích vay tiền hoặc mượn tài sản cá nhân của bạn. Dù cho giọng nói nghe rất quen thuộc và cực kỳ giống thật, tốt nhất bạn vẫn nên gọi lại bằng số điện thoại mà bạn biết là chính xác để xác minh rằng đồng nghiệp, người thân đó của bạn đã thực sự gửi yêu cầu bằng tin nhắn thoại (Không sử dụng tài khoản mạng xã hội như Zalo, Messenger,... để xác minh thông tin vì độ tin cậy không cao).

Năm là, không chuyển tiền khi chưa xác minh thông tin. Nếu nhận được một cuộc gọi chuyển tiền hoặc video call với nội dung chuyển tiền, dù là người thân thiết, bạn vẫn hãy xem kỹ số điện thoại, email hoặc tài khoản có trùng hợp với người đang thực hiện yêu cầu hay không. Thông thường các đối tượng sẽ yêu cầu chuyển tiền sang một tài khoản bên thứ ba hoặc sang một tài khoản có tên gần tương tự.

Sáu là, không cài đặt bất kỳ phần mềm lạ nào xuống điện thoại khi người không quen biết hướng dẫn cài đặt.

Bảy là, cảnh giác với các cuộc điện thoại từ số máy lạ, nhất là các số máy có đầu số nước ngoài; tuyệt đối không cung cấp số điện thoại cá nhân, thông tin cá nhân cho bất kỳ tổ chức, cá nhân nào khi chưa biết họ là ai và sử dụng vào mục đích gì.

Để không vướng vào bẫy lừa đảo chiếm đoạt tài sản trên không gian mạng, mọi người hãy cẩn trọng khi sử dụng mạng internet, đặc biệt là các nền tảng mạng xã hội, nơi mà chúng ta luôn thoải mái chia sẻ rất nhiều thông tin cá nhân, đây là điều kiện các đối tượng xấu dễ dàng lợi dụng để thực hiện hành vi lừa đảo. Khi có dấu hiệu bị lừa đảo chiếm đoạt tài sản trên không gian mạng hãy liên hệ với Cơ quan Công an, hoặc báo cáo trực tiếp trên ứng dụng VNeID  để được hướng dẫn, xử lý kịp thời./.




Theo Báo Vĩnh Long

Thursday, December 21, 2023

Ông Hoàng Nam Tiến: Tại nhiều DN, giờ không phải lúc 'Có thưởng Tết không?', mà là lúc trả lời câu hỏi 'Chúng ta có tồn tại hay không?'

"Giai đoạn này các CEO cần chuyển từ quản lý, quản trị doanh nghiệp sang 'chỉ huy doanh nghiệp', tức chuyển doanh nghiệp sang tình trạng thời chiến. Hãy nói thẳng với tất cả nhân sự chúng ta rằng khó khăn các bạn đều biết, hiện nay không phải lúc lên đòi hỏi tôi 'Sao chưa tăng lương', hay 'Chị ơi, anh ơi, sắp đến Tết rồi, có thưởng hay không?'. Bây giờ là lúc trả lời câu hỏi 'Chúng ta có tồn tại hay không?'", ông Hoàng Nam Tiến chia sẻ.

"Không một giai đoạn nào khó khăn và thử thách trí tuệ và năng lực con người như chiến tranh. Tình huống hiện tại khó khăn không khác gì một cuộc chiến khi sức mua của thị trường giảm, và có lẽ năm 2024 cũng không quá khả quan cho chúng ta", ông Hoàng Nam Tiến – Phó Chủ tịch Hội đồng trường Trường Đại học FPT chia sẻ với hơn 500 doanh nghiệp vừa và nhỏ trong một sự kiện gần đây.

Từ kinh nghiệm 33 năm sinh tồn và phát triển của FPT, ông Tiến cho rằng giai đoạn này các CEO cần chuyển từ quản lý, quản trị doanh nghiệp, sang "chỉ huy doanh nghiệp", tức chuyển doanh nghiệp sang tình trạng thời chiến.

"Hãy nói thẳng với tất cả nhân sự chúng ta rằng khó khăn các bạn đều biết, hiện nay không phải lúc lên đòi hỏi tôi 'Sao chưa tăng lương', hay 'Chị ơi, anh ơi, sắp đến Tết rồi, có thưởng hay không?'. Bây giờ là lúc trả lời câu hỏi 'Chúng ta có tồn tại hay không?'"

"Chúng ta không tồn tại qua Tết này thì đừng nói lương thưởng, ngay cả chỗ làm của các anh chị ngày hôm nay chưa chắc đã còn. Bất kỳ doanh nghiệp lớn hay nhỏ giờ đều cần siết chặt đội ngũ, đoàn kết lại, tiết kiệm tất cả các khoản chi phí, làm sao giữ được tiền mặt trong tay, làm sao giữ được từng khách hàng cũ… để duy trì hoạt động của mình", ông Tiến nói.

Theo ông Tiến, "thương trường là chiến trường", các doanh nghiệp vừa và nhỏ cần học tập kinh nghiệm từ những binh pháp thế giới và từ chính lịch sử dân tộc để tồn tại và phát triển.

Giữ vững trận địa, đếm từng khách hàng quen


Trong binh pháp đều chia sẻ trong đánh trận việc cốt tử là "giữ vững trận địa". Trong kinh doanh, khi cả thị trường đều khó khăn, việc dốc thêm tiền vào các chiến dịch quảng cáo, sale... để mở rộng thị phần thường không đạt hiệu quả như kỳ vọng. Nguồn lực đó nên được đầu tư cho việc giữ vững từng khách hàng quen, thậm chí là phải ĐẾM từng khách hàng quen, phục vụ họ thật tốt để tạo ra nguồn lực ổn định duy trì doanh nghiệp. "Tìm kiếm một khách hàng mới phải bỏ ra 10 lần so với việc duy trì khách hàng cũ", ông Tiến cho biết.

Để giữ được khách hàng cũ, theo ông, việc quan trọng là phải luôn "ngồi vào vị trí khách hàng" và "đặt mình vào vị trí đối thủ", tức là luôn suy nghĩ và cấu trúc hoạt động kinh doanh theo hướng mang lại lợi ích cho khách hàng. Vì thế, không thể bán thứ mình có mà phải bán cái khách hàng cần, hơn nữa trong tình huống này, còn phải bán với mức giá mà họ có thể mua được. 

Điều này sẽ tạo ra một thế trận vững chắc, khiến khách hàng hiểu và gắn bó với mình hơn. Trong binh pháp Tôn tử , đó chính là câu "Biết mình biết ta, trăm trận không thua".

Quân quý ở tinh thuệ, không quý ở số đông

Trong hoàn cảnh khó khăn, thị trường suy giảm, tình huống cắt giảm nhân sự là không thể tránh khỏi. Theo ông Tiến, trong tình huống bị cắt giảm, các doanh nghiệp vừa và nhỏ nên giữ lại đội ngũ tinh nhuệ, những người cống hiến và xông pha cho công ty. Điều này đã được nhiều vị tướng trên thế giới và cả Việt Nam rút ra trong quá trình chiến đấu: "Quân quý ở tinh nhuệ, không quý ở số đông. Lấy đoản binh để thắng trường trận", ông Tiến trích lại văn thư của Trần Hưng Đạo.


Mặt khác, càng trong giai đoạn khó khăn, càng phải coi trọng việc bồi dưỡng nhân tài - những nhân sự quan trọng của công ty. Hơn nữa, không đào tạo những kiến thức cao siêu mà phải tìm kiếm những khóa học, kiến thức thật thực tế, áp dụng ngay vào quá trình quản lý doanh nghiệp và phát triển kinh doanh. Các cá nhân này sẽ hiểu rõ vì sao công ty vẫn giữ mình, vẫn đầu tư phát triển cho mình, từ đó vì công ty và sự nghiệp của cá nhân mà xông pha chiến đấu.

Lúc này, họ sẽ không còn là người đi làm thuê mà là đồng đội, đồng chí của lãnh đạo. Điều này cũng sẽ tạo ra sức bật cho doanh nghiệp sau này, khi khó khăn qua đi và đội ngũ cốt lõi đã được "huấn luyện" qua gian khó sẽ có được năng lực mạnh mẽ, sẵn sàng chinh phục thị trường.