Rủi ro bảo mật dữ liệu trên không gian mạng

Lừa đảo AI, lộ, lọt dữ liệu tràn lan trên không gian mạng

Gần đây, người dùng mạng xã hội Việt Nam chia sẻ hàng loạt ảnh được tạo bởi AI Avatar bên trong ứng dụng Zalo.

Để sử dụng, app yêu cầu cấp quyền truy cập vào kho ảnh hoặc camera, chọn ảnh rõ mặt.

Người dùng cũng cần nhập một số thông tin về giới tính, lứa tuổi và phong cách ảnh mong muốn.

Trước đó, một số ứng dụng như Lensa, Loopsie, Reface cũng từng “gây sốt” tại Việt Nam.

Không chỉ riêng các bạn trẻ, với nhiều người, những trào lưu mới tạo ảnh AI từ ảnh gốc sang ảnh hoạt hình, ảnh đồ họa hay ảnh so sánh tuổi… đã từng có trước đây, chủ yếu cho vui.

Mặc dù đã có nhiều thông tin cảnh báo về nguy cơ lộ, lọt thông tin cá nhân, nhưng với không ít người vẫn chủ quan, coi nhẹ.

Trong khi đó, các chuyên gia an ninh mạng đã khuyến cáo, việc sử dụng các ứng dụng chỉnh sửa ảnh khuôn mặt ẩn chứa rủi ro.

Khuôn mặt là một trong những dữ liệu rất quan trọng hiện nay, một trong số đó là để xác thực tài khoản.

Theo các chuyên gia Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an, deepfake đã trở thành mối đe dọa đối với an ninh mạng Việt Nam, nơi tội phạm mạng thường sử dụng các cuộc gọi video deepfake để mạo danh một cá nhân và vay mượn người thân, bạn bè của họ những khoản tiền lớn cho những trường hợp cấp bách.

Một cuộc gọi điện video deepfake có thể được thực hiện chỉ trong vòng 1 phút nên nạn nhân rất khó phân biệt giữa cuộc gọi thật và giả.

Tại một hội thảo An ninh dữ liệu trên không gian mạng do Hiệp hội An ninh mạng quốc gia tổ chức, Trung tướng Nguyễn Minh Chính, Cục trưởng Cục A05, Phó Chủ tịch Thường trực Hiệp hội An ninh mạng quốc gia cho biết, Bộ Công an đã phát hiện hàng trăm cá nhân, tổ chức liên quan mua bán dữ liệu cá nhân.

Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý.

Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm.

Trong năm 2024 đã xảy ra hàng loạt vụ việc tấn công mạng có tính phức tạp, tinh vi nhắm vào các hệ thống trọng yếu của Việt Nam (như tấn công vào hệ thống của VNDirect, PVOil...).

Nghiêm trọng nhất là các sự cố lộ, lọt dữ liệu và mã hóa dữ liệu, gây thiệt hại lớn cho các tổ chức, người dân.

Cùng đó, trong tháng 1/2025, hệ thống của Trung tâm Giám sát an toàn không gian mạng quốc gia - NCSC thuộc Cục An toàn thông tin đã phát hiện 72 website giả mạo thương hiệu với mục đích lừa đảo được phát tán trên không gian mạng.

Với việc phát hiện thêm 72 website giả mạo, lừa đảo trong tháng 1/2025, lũy kế đến nay, số lượng địa chỉ website giả mạo cơ quan, tổ chức trong cơ sở dữ liệu chống lừa đảo trực tuyến quốc gia là gần 125.600 địa chỉ.

Trong 72 website mới được phát hiện, có 30 trang web giả mạo các sàn thương mại điện tử, công ty cung ứng dịch vụ chuyển phát thương mại điện tử như Amazon, eBay, Taobao, Shopee, Vietnam Post, Giao Hàng Tiết Kiệm, Giao hàng nhanh; 16 website giả mạo các thương hiệu lớn như Facebook, Telegram, TikTok, VinGroup, Viettel, VNG; 15 trang giả mạo website cơ quan, tổ chức nhà nước; và 11 website giả mạo các ngân hàng, tổ chức tài chính.

Những website giả mạo kể trên được các đối tượng sử dụng để lừa đảo, gây thiệt hại cho người dân trên không gian mạng.

Dựa vào các thông tin này, kẻ xấu có thể xây dựng các kịch bản lừa đảo hay tấn công “dành riêng cho từng người”, ông Vũ Ngọc Sơn, Giám đốc công nghệ Công ty NCS, Trưởng ban Nghiên cứu công nghệ của Hiệp hội An ninh mạng quốc gia nhận định.

Các kịch bản lừa đảo khá phổ biến hiện nay như chương trình trúng thưởng, việc nhẹ, lương cao, đóng giả người thân gặp tai nạn hay đe dọa vi phạm pháp luật...

Đây đều là những chiêu lừa đảo được cơ quan chức năng cảnh báo nhiều, nhưng vẫn có người “dính bẫy” vì các thông tin do kẻ gian đưa ra quá chính xác và trùng khớp.

Nhận định về các nguy cơ an ninh dữ liệu, Trung tướng Nguyễn Minh Chính cho rằng, tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng.

Người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai.

Nguy cơ bị đánh cắp dữ liệu và lừa đảo biến thể

Theo đó, các chuyên gia cho rằng, để đối phó với tội phạm mạng, chiến lược an ninh mạng hiện đại cần xây dựng dựa trên 3 trụ cột chính gồm phòng thủ chủ động, phát hiện sớm tấn công và phục hồi nhanh.

Thực hiện hiệu quả chiến lược này đòi hỏi các tổ chức phải có thông tin kịp thời, chi tiết và chính xác về các mối đe dọa mạng.

Theo chuyên gia Vũ Ngọc Sơn, khi có được thông tin nạn nhân, kẻ gian có thể xây dựng kịch bản phù hợp nhằm thao túng tâm lý, dẫn dắt “con mồi” theo những bước đã chuẩn bị sẵn để chiếm đoạt thông tin tài khoản ngân hàng, tiền...

Việc những doanh nghiệp lớn ở Việt Nam như: VNG, Thế giới Di động gần đây để lộ dữ liệu của gần 170 triệu người dùng cùng hàng chục nghìn thông tin thẻ thanh toán cũng đáng báo động.

Chuyên gia bảo mật cho rằng kẻ xấu có được thông tin này sẽ gửi tin nhắn hoặc thư điện tử (email) với nội dung liên quan đến các dịch vụ người dùng đang sử dụng nhằm lừa họ nhấn vào các đường dẫn website giả mạo hay lén lút cài mã độc để theo dõi thiết bị, chiếm quyền điều khiển từ xa rồi từ đó lấy cắp thông tin hoặc mã hóa dữ liệu để đòi tiền chuộc.

“Số tiền khổng lồ thu được qua các phi vụ cũng là động lực khiến tình trạng lừa đảo, tấn công mã độc hoành hành chưa có dấu hiệu giảm bớt tại Việt Nam trong suốt nhiều năm qua”, ông Sơn nhấn mạnh.

Hiện nay, Nghị định 13/2023/NĐ-CP là quy định pháp luật mới nhất về bảo vệ dữ liệu cá nhân của người dùng tại Việt Nam.

Nhưng thực tế hệ thống cơ sở dữ liệu của cơ quan nhà nước và khối doanh nghiệp vẫn còn điểm yếu, “lỗ hổng” bảo mật để tin tặc lợi dụng xâm nhập, đánh cắp dữ liệu, Bộ Công an nhận định việc xây dựng Luật Bảo vệ dữ liệu cá nhân là cần thiết, sẽ giúp đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân, ngăn chặn các hành vi xâm phạm dữ liệu cá nhân và nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân.

Tuy nhiên, các bên trước hết cần chủ động nâng cao các biện pháp an ninh, bảo mật để tự bảo vệ dữ liệu của chính mình trước các thủ đoạn tấn công của “tin tặc”.

Các chuyên gia khuyến cáo doanh nghiệp cần rà soát, đánh giá để củng cố giải pháp bảo vệ thông tin, dữ liệu cá nhân của khách hàng,

Về phía người dùng cũng cần nâng cao ý thức bảo vệ dữ liệu cá nhân của mình, không cung cấp thông tin cho các cơ sở dịch vụ không tin tưởng, không gửi ảnh chụp CCCD/CMT của mình cho người khác.

Người dùng nên giảm thiểu tối đa lượng dữ liệu cá nhân cung cấp ra bên ngoài theo yêu cầu khi tham gia dịch vụ, nếu có thể hãy thu hồi thông tin sau khi hoàn tất giao dịch với dịch vụ làm 1 lần.

Cùng đó, thời đại công nghệ số, camera giám sát đã trở thành một phần không thể thiếu trong cuộc sống.

Tuy nhiên, sự phổ biến của công nghệ này cũng đi kèm với những rủi ro đáng kể về lộ, lọt dữ liệu và mất an toàn thông tin, đặt ra thách thức lớn cho cả thế giới và Việt Nam.

Tấn công giả mạo, lừa đảo trực tuyến tiếp tục được các chuyên gia nhận định là 1 trong những xu hướng tấn công mạng nổi bật trên không gian mạng Việt Nam trong năm 2025 cũng như giai đoạn tiếp theo.

Chuyên gia Vũ Ngọc Sơn nhấn mạnh: “Thiệt hại khổng lồ lên tới 18.900 tỷ đồng từ các vụ lừa đảo trực tuyến năm 2024 sẽ là động lực của các đối tượng tội phạm để tiếp tục tấn công người dùng năm 2025”.

Ông Vũ Ngọc Sơn cũng dự báo hai nguy cơ chính mà người dùng sẽ phải đối mặt trong thời gian tới, đó là mã độc giám sát và đánh cắp thông tin và lừa đảo trực tuyến biến thể.

Thời gian tới, các hình thức lừa đảo sẽ biến thể liên tục - có những hình thức rất tinh vi nhưng cũng có những hình thức rất đơn giản mà vẫn nhiều người mắc phải.

Công nghệ mới là công cụ giúp cho các đối tượng dễ dàng thực hiện hành vi phạm tội.

Nhưng sự nguy hiểm của các hình lừa đảo chính là khai thác yếu tố tâm lý, sự thiếu kỹ năng và lòng tham của con người.

Theo ông Vũ Ngọc Sơn, chừng nào người dùng vẫn chưa nâng cao nhận thức, chưa có kỹ năng cảnh giác với những lời mời gọi hấp dẫn, phi thực tế trên không gian mạng thì vấn đề lừa đảo trực tuyến vẫn sẽ còn tiếp tục!...

Với nguy cơ mã độc giám sát và đánh cắp thông tin, đại diện Hiệp hội An ninh mạng quốc gia cho rằng: Chuyển đổi số tạo thói quen mới cho người dùng là cài đặt rất nhiều phần mềm trên các thiết bị điện thoại, máy tính.

Nhiều phần mềm độc hại, có gắn mã độc sẽ trà trộn vào các kho ứng dụng, khiến cho khả năng thiết bị của người dùng bị kiểm soát, theo dõi, đánh cắp thông tin ngày càng tăng cao.

Ngoài ra, các phần mềm phát triển “nóng” sẽ luôn tồn tại các “lỗ hổng” bảo mật, “tin tặc” có thể thông qua các “lỗ hổng” này để xâm nhập, kiểm soát thiết bị của người dùng từ xa.

Bởi vậy, người dùng cần trang bị và cập nhật các phần mềm diệt virus, an ninh cho máy tính, điện thoại di động; sử dụng mật khẩu mạnh, trong đó kết hợp ký tự viết hoa, chữ thường, số và ký tự đặc biệt.

Bật xác thực đa yếu tố để tăng cường bảo mật cho các tài khoản quan trọng như ngân hàng, email, tài khoản mạng xã hội.

Người dùng cũng không nên sử dụng cùng một mật khẩu cho nhiều tài khoản.

Không bấm vào liên kết lạ, đặc biệt là trong email hoặc tin nhắn không rõ nguồn gốc; chỉ tải ứng dụng từ các cửa hàng chính thức như App Store, Google Play hoặc website chính thức của nhà cung cấp sản phẩm.

Hạn chế sử dụng Wi-Fi công cộng trong các giao dịch quan trọng như chuyển tiền, đăng nhập tài khoản...