Phần mềm gián điệp: Dấu hiệu nhận biết và giải pháp ngăn chặn

An toàn thông tin - Ngày đăng : 05:55, 26/10/2023

Các dạng phần mềm gián điệp (spyware) và phần mềm theo dõi đang được tin tặc phát triển với các biến thể được thiết kế tinh vi và nguy hiểm hơn. Do đó, việc nhận biết các dấu hiệu và ngăn chặn kịp thời các phần mềm này là vấn đề vô cùng quan trọng.
An toàn thông tin

Phần mềm gián điệp: Dấu hiệu nhận biết và giải pháp ngăn chặn

Tâm An 26/10/2023 05:55

Các dạng phần mềm gián điệp (spyware) và phần mềm theo dõi đang được tin tặc phát triển với các biến thể được thiết kế tinh vi và nguy hiểm hơn. Do đó, việc nhận biết các dấu hiệu và ngăn chặn kịp thời các phần mềm này là vấn đề vô cùng quan trọng.

Phần mềm gián điệp là một loại phần mềm được thiết kế để giám sát hoạt động của một máy tính hoặc thiết bị di động mà người dùng không hề hay biết. Mục đích chính của spyware là thu thập thông tin cá nhân, dữ liệu nhạy cảm hoặc thông tin có giá trị khác của người dùng để sử dụng vào mục đích xấu như tống tiền hoặc lừa đảo...

Spyware thường được cài đặt một cách lén lút trên máy tính hoặc thiết bị di động thông qua các phương tiện như email lừa đảo, trang web độc hại hoặc phần mềm giả mạo. Sau khi cài đặt thành công, phần mềm gián điệp hoạt động ẩn danh và gửi thông tin thu thập được về cho người tạo ra nó hoặc bên thứ ba liên quan.

Đặc biệt, các dạng phần mềm này còn có thể thu thập dữ liệu trên các ứng dụng mạng xã hội như Skype, WhatsApp hoặc Facebook, đồng thời cho phép tin tặc kiểm soát và chiếm quyền điều khiển thiết bị từ xa.

Một biến thể nâng cao của phần mềm gián điệp là phần mềm theo dõi (stalkerware), được sử dụng để theo dõi một cá nhân cụ thể. Với việc phần mềm stalkerware được cài đặt trên thiết bị của mục tiêu, một cá nhân có thể kích hoạt máy ảnh hoặc micrô của nạn nhân, xem chi tiết đăng nhập của họ vào các tài khoản khác nhau, thậm chí chặn các cuộc gọi điện thoại.

Trong vài năm qua, vấn đề gián điệp mạng đã trở nên ngày càng nghiêm trọng, các loại phần mềm gián điệp và số người dùng bị tấn công bởi phần mềm gián điệp cũng ngày càng gia tăng.

istockphoto-1174418677-612x612.jpg

Các dấu hiệu cảnh báo về phần mềm gián điệp

Spyware tồn tại dưới rất nhiều dạng khác nhau. Do đó, khi hoạt động trên không gian mạng, người dùng có thể vô tình tải xuống và cài đặt các phần mềm độc hại về thiết bị của mình mà không hề hay biết. Việc phát hiện và gỡ bỏ phần mềm độc hại này gặp rất nhiều khó khăn và không phải ai cũng biết.

Dưới đây là một số dấu hiệu có thể giúp người dùng dễ dàng nhận biết, phát hiện và xử lý khi gặp phải phần mềm gián điệp trên thiết bị di động của họ.

Tin nhắn hoặc email từ địa chỉ lạ: Nhận tin nhắn hoặc email từ địa chỉ lạ có thể là dấu hiệu cho thấy thiết bị có khả năng đã bị nhiễm phần mềm gián điệp. Trong trường hợp này, tốt nhất là người dùng nên xóa chúng mà không cần nhấp vào các liên kết hoặc tải xuống tệp đính kèm. Đối với các tin nhắn SMS đáng ngờ, người dùng cũng có thể làm tương tự.

Thông báo, tin nhắn nhắm vào tâm lý người dùng: Người dùng có thể nhận được các thông báo, tin nhắn kích thích tâm lý hoang mang, lo lắng như yêu cầu thanh toán của cơ quan thuế hoặc ngân hàng, thanh toán thẻ tín dụng, yêu cầu xác minh lại thông tin đăng nhập hoặc nhiều vấn đề lạ khác… Từ đó, yêu cầu người dùng cài đặt phần mềm hoặc gửi thông tin tài khoản cho họ. Những tin nhắn và thông báo này có thể sử dụng địa chỉ giả mạo từ một liên hệ mà người dùng tin cậy.

Ứng dụng giả mạo: Để tránh bị phát hiện, tin tặc có thể phát triển một số dạng phần mềm gián điệp ngụy trang giả mạo thành các ứng dụng với tên và biểu tượng giống với các ứng dụng, chương trình gốc, đặc biệt là các chương trình hấp dẫn dễ thu hút được sự chú ý của người dùng như chương trình quà tặng, nhận thưởng…

Ngoài ra, một điểm quan trọng mà người dùng cần lưu ý là đôi khi phần mềm gián điệp hoặc các dạng phần mềm độc hại khác có thể xuất hiện trên thiết bị thông qua một ứng dụng hữu ích ban đầu.

Trên thực tế đã có trường hợp các nhà phát triển phát hành một ứng dụng chính hãng, hữu ích trong các kho lưu trữ chính thức, như công cụ chuyển đổi tiền tệ hoặc ứng dụng thời tiết, nhưng sau đó - khi có được một lượng người dùng lớn, các nhà phát triển đã thay đổi chức năng của ứng dụng.

Năm ngoái, Google đã gỡ bỏ khỏi Cửa hàng Google Play các ứng dụng độc hại giả mạo tiện ích bluetooth với hơn 1 triệu người dùng tải xuống. Mặc dù ban đầu các ứng dụng này không có vẻ độc hại, nhưng chỉ sau vài ngày, người dùng đã bị quấy rối bởi quảng cáo và cửa sổ pop-up.

Một số dấu hiệu khác: Thiết bị chạy chậm, tiêu hao pin nhanh không rõ nguyên nhân, nóng máy, hoặc thực hiện các hoạt động lạ như tự động cài đặt GPS, khởi động lại ngẫu nhiên… có thể là dấu hiệu cho thấy thiết bị đã bị nhiễm phần mềm gián điệp.

Đối với các thiết bị Android, những dấu hiệu khác mà người dùng cũng cần lưu ý như: Tự động tải và cài đặt ứng dụng từ nguồn không xác định hoặc ngoài Cửa hàng Google Play; Điều chỉnh cài đặt cho phép cài đặt ứng dụng từ nguồn không xác định trong cài đặt bảo mật.

Người dùng có thể kiểm tra cài đặt này trong hầu hết các bản dựng Android trong phần: Cài đặt (Settings) > Bảo mật (Security) > Cho phép các nguồn không xác định (Allow unknown sources) (Điều này có thể thay đổi tùy theo thiết bị và nhà cung cấp).

Người dùng cũng có thể kiểm tra bằng cách truy cập: Ứng dụng (Apps) > Menu > Quyền truy cập đặc biệt (Special Access) > Cài đặt ứng dụng không xác định (Install unknown apps), để xem có bất kỳ điều gì bất thường xuất hiện hay không, nhưng không có gì đảm bảo rằng phần mềm gián điệp sẽ hiển thị trong danh sách ứng dụng.

Một số dạng phần mềm gián điệp cũng sẽ sử dụng tên và biểu tượng chung để tránh bị phát hiện. Ví dụ, chúng có thể trông giống như một ứng dụng tiện ích hữu ích như lịch, máy tính hoặc ứng dụng chuyển đổi tiền tệ.

Trên thiết bị iOS, việc cài đặt phần mềm gián điệp thường khó hơn so với thiết bị Android nếu người dùng chưa bẻ khóa thiết bị, trừ khi có lỗ hổng zero-day hoặc lỗ hổng chưa được vá. Tuy nhiên, việc cập nhật hệ điều hành và quét virus thường xuyên vẫn rất quan trọng để ngăn chặn các tình huống này.

Nói chung, việc chú ý đến những dấu hiệu này và đảm bảo việc thường xuyên cập nhật các bản cập nhật mới nhất là cách tốt nhất để bảo vệ thiết bị khỏi các phần mềm gián điệp và các tác động độc hại khác trên điện thoại.

20230613pht98308_original.jpg

Giải pháp ngăn chặn và hạn chế phần mềm gián điệp

Không có thiết bị di động nào có thể được bảo vệ hoàn toàn trước phần mềm gián điệp. Tuy nhiên, dưới đây là một số lời khuyên có thể giúp người dùng giảm thiểu nguy cơ lây nhiễm trong tương lai.

Xóa bỏ các ứng dụng đáng ngờ: Các phần mềm gián điệp thường có khả năng tự động cài đặt các ứng dụng mà không cần sự chấp thuận của người dùng. Do đó, người dùng cần luôn kiểm tra và gỡ bỏ ngay lập tức các ứng dụng nghi ngờ. Đồng thời, tránh tải xuống ứng dụng từ các nguồn không rõ nguồn gốc, và không nên bẻ khóa phần mềm có bản quyền.

Cài đặt các chương trình quét phần mềm độc hại: Hiện tại trên cả Android và iOS đều có các chương trình antivirus có thể phát hiện và loại bỏ phần mềm gián điệp. Đây là giải pháp đơn giản và dễ dàng nhất, nhưng không phải lúc nào cũng hiệu quả trong mọi trường hợp. Các nhà cung cấp dịch vụ bảo mật mạng nổi tiếng như Malwarebytes, Avast và Bitdefender, đều cung cấp các công cụ quét phần mềm gián điệp trên di động.

Cập nhật hệ điều hành: Những phiên bản cập nhật mới thường đi kèm với các bản vá sửa lỗi và nâng cấp bảo mật. Do đó, việc cài đặt các phiên bản cập nhật mới nhất của hệ điều hành di động là một cách quan trọng để tăng cường bảo mật thiết bị. Điều này có thể giúp cải thiện hiệu suất và mang lại hiệu quả cao trong việc ngăn chặn phần mềm gián điệp hoạt động.

Thay đổi mật khẩu: Nếu nghi ngờ tài khoản bị xâm phạm, người dùng nên thay đổi mật khẩu trên tất cả tài khoản quan trọng của mình để bảo vệ thiết bị khỏi việc xâm nhập trái phép; không sử dụng cùng một mật khẩu cho nhiều tài khoản, đồng thời thiết lập mật khẩu mạnh và khó đoán.

Khởi động lại thiết bị: Phần lớn các trường hợp lây nhiễm phần mềm độc hại dường như dựa trên việc khai thác lỗ hổng zero-day; do đó, khởi động lại thiết bị di động cũng có thể giúp ngăn chặn các cuộc tấn công dựa trên lỗ hổng zero-day.

Tắt iMessage và FaceTime (iOS): Những tính năng được kích hoạt mặc định như iMessage và FaceTime có thể là con đường hấp dẫn để tin tặc khai thác cho việc tấn công. Một số lỗ hổng trong iMessage và Safari cũng đã bị khai thác bởi phần mềm gián điệp trong những năm gần đây.

Bảo vệ thiết bị vật lý: Tuyến phòng thủ đầu tiên là duy trì các biện pháp kiểm soát vật lý đủ mạnh. Thiết lập mã PIN, mật khẩu, hình mở khóa hoặc kích hoạt xác thực sinh trắc học cũng là một tùy chọn hữu ích khác có thể bảo vệ thiết bị di động được an toàn hơn, đặc biệt chống lại các phần mềm theo dõi (vì nó không thể được cài đặt từ xa).

Bật xác thực hai yếu tố (2FA): Việc đăng nhập yêu cầu xác thực thêm từ thiết bị cũng sẽ giúp người dùng bảo vệ các tài khoản cá nhân được tốt hơn.

Cẩn thận với các liên kết độc hại: Phần mềm gián điệp thường sử dụng các liên kết độc hại để lan truyền. Người dùng cần tránh nhấp vào các liên kết không rõ nguồn gốc và không tải xuống các ứng dụng từ các trang web không đáng tin cậy.

Chỉ tải xuống ứng dụng từ nguồn chính thức: Phần lớn phần mềm gián điệp và phần mềm độc hại được tìm thấy bên ngoài các ứng dụng Google Play và Apple Store, vì vậy hãy thận trọng và hạn chế việc tải xuống ứng dụng từ các nguồn bên ngoài Google Play hoặc App Store.

Sử dụng dịch vụ VPN: Sử dụng dịch vụ VPN trả phí đáng tin cậy và cài đặt ứng dụng cảnh báo khi thiết bị đã bị bẻ khóa.

Nếu tất cả những cách trên đều thất bại, hãy khôi phục cài đặt gốc: Việc thực hiện khôi phục cài đặt gốc và cài đặt lại thiết bị sẽ xóa sạch dữ liệu, ứng dụng (trong đó có cả những ứng dụng phần mềm độc hại) trên thiết bị, nhưng đây là cách thức hiệu quả nhất có thể loại bỏ phần mềm gián điệp và phần mềm theo dõi.

Tuy nhiên, người dùng cũng cần đặc biệt lưu ý, trước khi lựa chọn cài đặt tùy chọn này, cần phải đảm bảo toàn bộ dữ liệu đã được sao lưu.

Google và Apple đang làm gì để bảo vệ thiết bị Android, iOS?

Cả Google và Apple đều thực hiện một loạt biện pháp để bảo vệ thiết bị Android và iOS khỏi các ứng dụng độc hại và gián điệp, và tăng cường quyền riêng tư của người dùng trong các cửa hàng ứng dụng chính thức của họ.

Google thường nhanh chóng loại bỏ các ứng dụng độc hại khỏi Cửa hàng Google Play ngay khi phát hiện. Họ cũng tăng cường quy trình kiểm tra để ngăn các ứng dụng không an toàn xuất hiện trong cửa hàng ứng dụng của họ.

Vài năm trước, Google đã xóa 7 ứng dụng khỏi Cửa hàng Play được tiếp thị dưới dạng công cụ theo dõi nhân viên và trẻ em. Trước đó, công ty công nghệ này đã không hề đánh giá cao khả năng khai thác của những chức năng của ứng dụng như việc theo dõi thiết bị GPS, truy cập tin nhắn SMS, đánh cắp danh bạ liên lạc và có thể tiết lộ thông tin giao tiếp diễn ra trong các ứng dụng nhắn tin. Google cũng đã cấm quảng cáo phần mềm theo dõi. Tuy nhiên, một số ứng dụng tinh vi vẫn lọt qua được mạng lưới kiểm tra.

Ngoài ra, Nhóm Phân tích Mối đe dọa của Google cũng liên tục công bố nghiên cứu về các biến thể phần mềm gián điệp thương mại mới và các mục tiêu tiềm năng của chúng.

Trong khi đó, Apple cũng đã tăng cường việc kiểm soát các ứng dụng quản lý của cha mẹ đối với con cái, với lý do là các chức năng này xâm phạm quyền riêng tư. Apple cũng cung cấp một dịch vụ quản lý riêng cho cha mẹ, được gọi là "Screen Time", để hỗ trợ bậc phụ huynh trong việc giới hạn thời gian sử dụng thiết bị của con cái. Ngoài ra, công ty này không cho phép cài đặt ứng dụng từ các nguồn bên ngoài (sideloading) cửa hàng ứng dụng chính thức của ứng dụng Apple Store.

Năm 2022, Apple cũng đã tiết lộ chi tiết về khoản tài trợ trị giá 10 triệu USD để nghiên cứu các cách chống lại phần mềm gián điệp do nhà nước tài trợ./.

Tâm An