Đích ngắm của tin tặc là các app chứa tài sản và thông tin

Đây là một trong nhiều chủ đề nóng được thảo luận tại sự kiện "HPT D-Day 2024: Hợp tác hướng đến tương lai", được tổ chức sáng ngày 20/12 tại TP.HCM.

Tại sự kiện, bà Nina Phạm - Trưởng bộ phận Phát triển Kinh doanh BShield, Verichains, nhấn mạnh rằng, các mối đe dọa tấn công điện tử ngày càng nhắm đến các doanh nghiệp thông qua nhiều loại ứng dụng khác nhau, đặc biệt là những ứng dụng chứa giá trị cao, cả về tài sản lẫn thông tin.

Mã độc di động

Một trong những mục tiêu hàng đầu của tin tặc là các ứng dụng cho phép tương tác với tài sản giá trị như tài khoản ngân hàng, ví điện tử, hoặc các nền tảng giao dịch trực tuyến. Những ứng dụng này thường trở thành "mồi ngon" do liên quan trực tiếp đến tiền bạc và tài sản của người dùng.

Ngoài ra, các ứng dụng chứa thông tin quan trọng của doanh nghiệp và cá nhân cũng không nằm ngoài tầm ngắm. Thông tin, được coi là tài sản quý giá, nếu bị đánh cắp có thể gây thiệt hại nghiêm trọng về tài chính, danh tiếng và an ninh.

Bên cạnh đó, các ứng dụng có chương trình khuyến mãi hấp dẫn với giá trị cao cũng là điểm yếu dễ bị khai thác. Tin tặc thường lợi dụng sự hấp dẫn của các ưu đãi để tạo ra các phiên bản giả mạo, hoặc tận dụng các lỗ hổng bảo mật để xâm nhập vào hệ thống của doanh nghiệp và người dùng.

Ngoài ra, các ứng dụng phổ biến, được nhiều người dùng quan tâm cũng là mục tiêu lý tưởng của các cuộc tấn công điện tử. Tính phổ biến đồng nghĩa với việc những ứng dụng này mang lại cơ hội lớn cho tin tặc để phát tán mã độc hoặc thực hiện hành vi lừa đảo ở quy mô rộng.

Chương trình 'khách hàng thân thiết' dễ thành mồi ngon

Trong đó, theo bà Nina Phạm, các ứng dụng trong lĩnh vực tài chính, ngân hàng, bảo hiểm (BFSI) và chương trình khách hàng thân thiết (loyalty) đang đối mặt với nhiều mối đe dọa tấn công mạng nghiêm trọng, làm gia tăng nguy cơ tổn thất tài chính và rò rỉ thông tin.

Các ứng dụng BFSI thường xuyên bị nhắm đến bởi 4 dạng tấn công chính: Đầu tiên, giả mạo danh tính trong quá trình eKYC và xác thực giao dịch là hình thức phổ biến, lợi dụng các lỗ hổng xác thực để chiếm quyền truy cập tài khoản. Tiếp theo là các cuộc tấn công mã độc nhằm chiếm đoạt tài sản, làm tổn thất trực tiếp cho người dùng và tổ chức.

Ngoài ra, tin tặc còn khai thác thông tin hàng loạt với số lượng lớn, gây rủi ro nghiêm trọng về bảo mật dữ liệu cá nhân và doanh nghiệp. Một dạng tấn công tinh vi khác là trục lợi các chương trình khuyến mại như "mời bạn mở tài khoản", khi thiếu các quy định pháp lý rõ ràng để ngăn chặn hành vi này.

Đối với các chương trình khách hàng thân thiết (loyalty), tấn công trực tiếp vào máy chủ thông qua API hoặc các cuộc tấn công từ chối dịch vụ (DDoS) là vấn đề đáng lo ngại. Tin tặc cũng sử dụng lén tài nguyên trong ứng dụng để thực hiện các hoạt động phi pháp.

Tương tự như BFSI, khai thác thông tin hàng loạt với quy mô lớn là một chiến thuật phổ biến, gây thiệt hại nặng nề về dữ liệu và niềm tin của khách hàng. Đặc biệt, trục lợi khuyến mại qua việc đổi điểm thưởng cũng ngày càng trở nên phức tạp, khiến các doanh nghiệp loyalty phải đối mặt với nguy cơ tổn thất tài chính.

Giải pháp từ chuyên gia trước nguy cơ tấn công ứng dụng

Trong bối cảnh đó, bà Nina Phạm đã đưa ra những giải pháp toàn diện nhằm bảo vệ ứng dụng và thông tin người dùng.

Cụ thể, bảo vệ ứng dụng nhiều lớp được coi là nền tảng quan trọng, giúp doanh nghiệp tạo ra các rào cản an ninh ở nhiều cấp độ, từ thiết kế ứng dụng đến hệ thống vận hành. Đồng thời, việc đảm bảo môi trường thực thi tin cậy cũng không kém phần quan trọng. Các ứng dụng cần được thiết kế an toàn, có cơ chế cảnh báo đến quản trị viên khi phát hiện bất thường để kịp thời xử lý.

"Một giải pháp khác là bảo mật luồng thực thi, đảm bảo thông tin từ ứng dụng tới máy chủ không bị theo dõi hay đánh cắp bởi các đối tượng xấu. Hệ thống cần cung cấp cảnh báo rõ ràng cho khách hàng về số lượng thiết bị đang đăng nhập hoặc các hoạt động nghi ngờ để họ tự bảo vệ tài khoản của mình", bà Nina nói.

Ngoài ra, việc theo dõi các cuộc tấn công để phát hiện sớm và phản ứng nhanh là điều kiện bắt buộc trong bảo vệ dữ liệu. Đặc biệt, chú trọng việc bảo vệ tài nguyên của doanh nghiệp, bao gồm cả dữ liệu và hệ thống máy chủ. Đây là yếu tố sống còn để duy trì niềm tin và sự an toàn của người dùng.

HPT D-Day 2024 là sự kiện công nghệ được Công ty CP Dịch vụ Công nghệ Tin học HPT tổ chức nhân kỷ niệm 30 năm thành lập. Ngoài phiên toàn thể với chủ đề "Hợp tác hướng đến tương lai", sự kiện còn diễn ra đồng thời các phiên chuyên đề: Những thách thức trong ứng dụng công nghệ và giải pháp; Công nghệ phục vụ chăm sóc sức khỏe...

Ông Ngô Vi Đồng - Chủ tịch Hội đồng quản trị Công ty HPT:

Đội ngũ giàu trí tuệ và tri thức

Khởi đầu từ một công ty với chỉ 5 nhân sự chuyên về kỹ thuật cách đây 30 năm, HPT đã đạt được những thành tựu ngày hôm nay nhờ vào sự nỗ lực không ngừng của đội ngũ giàu trí tuệ và tri thức. Đặc biệt, hành trình ấy không thể thiếu sự đồng hành quý báu từ bạn bè, đối tác và khách hàng - những người đã cùng HPT xây dựng mối quan hệ hợp tác chân thành, gắn kết và hỗ trợ lẫn nhau.

Chúng tôi luôn giữ vững niềm tin và khát vọng lao động bằng trí tuệ để thích ứng nhanh chóng với sự thay đổi của công nghệ. HPT hiểu rằng, thành công không chỉ đến từ nội lực mà còn nhờ vào sự gắn kết, sẻ chia với những người bạn, anh em đã sát cánh trong mọi giai đoạn. Sự kiện "D-Day 2024" chính là sứ mệnh tinh thần, biểu tượng cho sự hợp tác bền vững và đồng lòng cùng tiến bước.

Ông Đinh Hà Duy Linh - Phó Chủ tịch Hội đồng quản trị, Tổng Giám đốc Công ty HPT:

Học hỏi từ thực tế mới có thể tạo được sức bật mạnh mẽ

Trong bối cảnh sự thay đổi công nghệ diễn ra nhanh chóng nhưng cũng đầy thách thức, HPT nhận thức sâu sắc rằng chỉ có sự hợp tác sâu rộng về công nghệ, chia sẻ kinh nghiệm, khai thác những thế mạnh của nhau, học hỏi từ thực tế thì các công ty công nghệ Việt Nam nói chung mới có thể tạo được sức bật mạnh mẽ.

Chúng tôi mong muốn, qua sự kiện này, các đơn vị và khách tham dự sẽ nhận được nhiều thông tin hữu ích có liên quan trong một số lĩnh vực cụ thể về công nghệ và những bài học triển khai thực tiễn điển hình. Hy vọng rằng chúng ta sẽ cùng nhau lan tỏa tinh thần hợp tác, cùng nhau hướng đến tương lai với mục tiêu tạo ra những giá trị ngày một tốt hơn cho hoạt động của mỗi đơn vị cũng như đóng góp vào sự phát triển chung.