Hệ sinh thái Tín nhiệm mạng: Tăng cường "hệ miễn dịch" trên không gian mạng

Vấn nạn lừa đảo trực tuyến trở thành phương thức phạm tội hàng đầu

Theo Tập đoàn IB, một công ty an ninh mạng chuyên săn tìm những mối đe dọa toàn cầu, hoạt động gian lận chiếm tới 73% tổng số các cuộc tấn công trực tuyến: 56% là lừa đảo và 17% là tấn công vào sự kém hiểu biết của người khác (trộm cắp thông tin về thẻ ngân hàng).

Tại hội nghị trực tuyến về rủi ro kỹ thuật số 2021, Tập đoàn IB cho biết năm 2020, số vụ vi phạm liên quan đến gian lận và lừa đảo do Tập đoàn IB phát hiện ở khu vực châu Á - Thái Bình Dương tăng cao kỷ lục lên đến 88% so với cùng kỳ năm ngoái. Ví dụ, vào năm 2020, một âm mưu với các tài khoản thương hiệu giả mạo trên phương tiện truyền thông xã hội (điển hình trong lĩnh vực tài chính) đã có liên quan đến trung bình trên 500 tài khoản giả trên một ngân hàng. Cùng lúc đó, các công ty bảo hiểm trên toàn thế giới cũng bị lừa đảo. Mỗi công ty bảo hiểm có trung bình hơn 100 trang web lừa đảo được tạo ra vào năm ngoái.

Năm 2020, âm mưu gian lận nhiều giai đoạn qua hình thức lạm dụng thương hiệu của các công ty chủ yếu nhắm vào lĩnh vực bán lẻ và dịch vụ trực tuyến. Người dùng nhận được một liên kết từ bạn bè, thông qua phương tiện truyền thông xã hội hoặc trong các ứng dụng nhắn tin mời tham gia rút thăm trúng thưởng, khuyến mại hoặc làm khảo sát. Trung bình, người dùng thực hiện 40.000 lượt truy cập vào các trang web lừa đảo mỗi ngày. Các cuộc tấn công này đã nhằm vào khách hàng của gần 100 thương hiệu trên toàn cầu. Những kẻ tấn công gây nguy hại cố gắng đánh cắp dữ liệu cá nhân và dữ liệu thẻ ngân hàng.

Vào đầu năm 2021, hơn 12.500 cuộc kẻ tấn công nhằm kiếm tiền qua tài nguyên dịch vụ giao hàng giả mạo. Có tổng cộng 10.000 trang web nằm trong âm mưu lừa đảo. Quy mô của hình thức gian lận này vô cùng lớn và âm mưu gian lận chỉ có không ngừng mở rộng.

Tại Việt Nam, thống kê trong tháng 5/2021, hệ thống kỹ thuật của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) đã ghi nhận 79,215 trang giả mạo để lừa đảo người dùng, khoảng 3150 người dùng liên hệ với NCSC khi gặp phải các vấn đề (cung cấp thông tin cá nhân trên các website, không biết website là thật hay giả mạo,...) trong quá trình làm việc, mua sắm, tìm kiếm các thông tin trên Internet.

Nhận biết thông tin lừa đảo, mạo danh trên không gian mạng

Trong quá trình làm việc, mua sắm, tìm kiếm các thông tin trên Internet, không ít người dùng hoang mang trước tình trạng lừa đảo, giả mạo cơ quan, tổ chức diễn ra ngày càng nhiều với thủ đoạn tinh vi. Trước tình trạng trên, mới đây NCSC đã ra mắt hệ sinh thái Tín nhiệm mạng tại địa chỉ tinnhiemmang.vn. 

Hệ thống cung cấp các chứng nhận tín nhiệm giúp người dùng nhận biết nhanh, chính xác các tổ chức, website, hệ thống và thiết bị tin cậy, nhằm ngăn ngừa các cuộc tấn công lừa đảo, tạo dựng niềm tin số cho người dùng dùng khi sử dụng dịch vụ trên không gian mạng. Thông qua đó, người dùng có thể tra cứu dễ dàng các thông tin chính thống của cơ quan, tổ chức khi nghi ngờ giả mạo.

Hệ sinh thái tín nhiệm mạng được NCSC và Hiệp hội an toàn thông tin (ATTT) Việt Nam (VNISA) cùng cộng đồng các doanh nghiệp (DN) ATTT và các cơ quan, tổ chức, DN Việt Nam chung tay phát triển.

Trên giao diện của hệ thống, người dùng có thể truy cập danh bạ tín nhiệm với 4 hạng mục chứng nhận. Thứ nhất, tổ chức tín nhiệm là chứng nhận tín nhiệm đối với các thông tin đã được xác thực bởi NCSC của một tổ chức bao gồm địa chỉ website, địa chỉ tổ chức, tên chủ quản, số điện thoại, địa chỉ fanpage,...

Thứ hai, website tín nhiệm là chứng nhận tín nhiệm trên các website uy tín và tuân thủ một số tiêu chuẩn về ATTT, nhằm giúp người sử dụng Internet nhận biết nhanh, chính xác các trang web tin cậy, tạo niềm tin số cho người dùng trên không gian mạng.

Thứ ba, thiết bị tín nhiệm là chứng nhận tín nhiệm trên các thiết bị, nhằm giúp người dùng nhận diện được mức độ an toàn thông tin của thiết bị, so sánh và đưa ra quyết định sáng suốt khi tiêu dùng.

Thứ tư, hệ thống tín nhiệm là chứng nhận tín nhiệm cho hệ thống của tổ chức, thể hiện sự cam kết của tổ chức đối với vấn đề an ninh mạng, giúp người dùng thấy được năng lực của tổ chức trong việc bảo đảm các dịch vụ cung cấp trên môi trường mạng, đảm bảo ATTT.

Theo đại diện NCSC, các chứng nhận được quản lý thông qua hệ thống https://tinnhiemmang.vn phải thực hiện cơ chế 3 lớp về mặt kỹ thuật: (i) Xác định các tổ chức, DN ATTT đủ năng lực; (ii) VNISA sẽ xác nhận tiêu chuẩn ATTT của các tổ chức, DN này qua việc kiểm tra, đánh giá chặt chẽ về ATTT; (iii) NCSC là đơn vị rà soát và cấp nhãn tín nhiệm.

Để cấp nhãn tín nhiệm, NCSC sẽ đánh giá dựa trên các thông tin về tổ chức, các tiêu chí về ATTT đối với từng loại tín nhiệm. Khi đạt các tiêu chí này thì NCSC sẽ cấp chứng nhận tín nhiệm. Trong đó, mỗi loại tín nhiệm sẽ có các tiêu chí khác nhau. 

Ví dụ, một số tiêu chí điển hình cho dịch vụ website tín nhiệm: Website chỉ thu thập thông tin cá nhân sau khi có sự đồng ý của khách hàng; Website có chính sách và biện pháp kỹ thuật để bảo vệ thông tin thu thập; Website có chính sách bảo vệ thông tin cá nhân người dùng; Không có bất kỳ liên kết độc hại, mã độc gây hại cho người dùng khi cập vào Website; Không phát hiện các thông tin các địa chỉ IP của Website thuộc các mạng máy tính ma (Botnet) hoặc có kết nối bất thường đến các máy chủ điều khiển độc hại (C&C Server)...

Về cơ bản các tiêu chí đều liên quan đến việc đảm bảo ATTT cho người dùng cuối, giúp người sử dụng xác thực được các thông tin, giúp đơn vị tạo niềm tin cho người sử dụng trên không gian số. Thông tin chi tiết các tiêu chí có thể tham khảo tại https://tinnhiemmang.vn/.

Tạo dựng niềm tin số trên không gian mạng

Hệ sinh thái Tín nhiệm mạng được coi là giải pháp nhằm hạn chế, đẩy lùi vấn nạn lừa đảo trên không gian mạng, giảm thiểu quy mô cũng như mức thiệt hại của các cuộc tấn công lừa đảo nhằm vào người dùng Việt Nam. Mục tiêu lớn nhất của hệ sinh thái là bảo vệ người dân trên môi trường mạng, thúc đẩy không gian mạng Việt Nam phát triển an toàn, lành mạnh.

Theo đại diện NCSC, tín nhiệm mạng hướng tới giải quyết các bài toán về ATTT, chứng nhận tín nhiệm không chỉ thể hiện các thông tin của một tổ chức mà còn thể hiện sự cam kết về ATTT của các tổ chức này, các tiêu chí về ATTT đều được đánh giá bởi đội ngũ nhân sự kỹ thuật chuyên sâu. Hệ sinh thái sẽ hạn chế các rủi ro về phishing, tổng đài ma,... giúp người dùng cuối có được lựa chọn đúng đắn giữa các nhà cung cấp dịch vụ trong thời đại số.

Cụ thể, hệ sinh thái tín nhiệm mạng giúp người dùng có thể xác định đâu là thông tin chính thống và dễ dàng tìm kiếm thông tin của các tổ chức (địa chỉ website, số điện thoại,...). Người dùng cuối cũng có thể so sánh được mức độ bảo đảm ATTT của các thiết bị và lựa chọn, tin dùng các sản phẩm đạt chuẩn ATTT. Đồng thời tránh được các rủi ro về mất ATTT như website giả mạo, thiết bị không đảm bảo an toàn, hệ thống không đảm bảo an toàn đầy đủ, ví dụ như nhận biết được website và số điện thoại giả mạo Công ty Điện lực thuộc Tập đoàn EVN hay các trang web giả mạo ngân hàng để lấy cắp thông tin và tài sản khách hàng.

Hiện tại, một số cơ quan, tổ chức nhà nước và DN đã bắt đầu tìm đến sự hỗ trợ của hệ sinh thái Tín nhiệm mạng để bảo vệ người dùng và nâng cao trách nhiệm xác thực tổ chức của mình, ví dụ như Tập đoàn EVN, công ty CP chứng khoán VPS và các cổng thông tin điện tử của các tỉnh đăng ký website tín nhiệm. Tính đến ngày 12/6 đã có 279 tổ chức, 107 website đã được kiểm duyệt và đạt chứng nhận./.