Nguy cơ cho người dùng thiết bị công nghệ từ cổng sạc USB công cộng
Hiện nay, cổng sạc công cộng có khắp nơi, từ sân bay, quán cà phê, thư viện cho đến phương tiện giao thông như máy bay, xe khách. Nó “cứu” những chiếc điện thoại sắp hết pin, nhất là khi đang cần gửi tin nhắn hoặc xử lý công việc.
Tuy nhiên theo thông tin từ tweet của FBI, với trạm USB công cộng chẳng hạn tại các trung tâm thương mại hay sân bay tội phạm đã tìm được cách lây nhiễm phần mềm độc hại hoặc phần mềm có thể cho phép tin tặc truy cập vào điện thoại hoặc máy tính người dùng. Do đó, khi sạc qua cổng sạc công cộng, người dùng sẽ phải đối mặt cách thức tấn công có tên Juice Jacking – phương pháp khai thác khả năng truyền dữ liệu của cổng USB để đánh cắp thông tin, hoặc đưa mã độc vào thiết bị đang kết nối.
Theo Viện An ninh mạng Quốc gia Tây Ban Nha (INCIBE), Juice Jacking tận dụng chức năng kép của cổng USB đó là sạc và truyền dữ liệu. Kẻ xấu có thể can thiệp vào trạm sạc công cộng bằng cách cài đặt phần cứng hoặc phần mềm đã sửa đổi.
Cổng sạc USB công cộng tiềm ẩn nhiều mối nguy. (Ảnh minh họa)
Với phần cứng, chúng có thể sửa hoặc gắn thêm một mạch điện tử độc hại cho phép vượt qua các biện pháp bảo mật trên điện thoại sau đó tự động đánh cắp dữ liệu và gửi về máy chủ từ xa trong trường hợp mạch đó có kết nối wifi hoặc cáp Ethernet, thu thập dữ liệu tại chỗ nếu mạch này có sẵn bộ nhớ. Trên mạch, kẻ xấu cũng có thể cài sẵn mã độc để chuyển hướng thiết bị đến một máy chủ riêng, sau đó cài đặt phần mềm độc hại.
Đối với những khu vực sạc có trang bị sẵn cáp sạc, kẻ xấu có thể cung cấp những sợi cáp được dán nhãn “chỉ sạc”, nhưng thực tế là bên trong đã sửa đổi, tích hợp thêm mạch có khả năng bỏ qua giao thức bảo mật trên thiết bị để truyền dữ liệu trái phép. Một khi thiết bị bị xâm nhập, hacker có thể đánh cắp mọi thông tin trên chiếc điện thoại đó, gồm tài khoản và mật khẩu email, mạng xã hội, app ngân hàng. Những dữ liệu có sẵn trên máy như danh bạ, ảnh, tin nhắn và thông tin cá nhân cũng có thể bị thu thập. Ngoài ra, dữ liệu người dùng cũng bị đe dọa nếu bị lây nhiễm mã độc để đòi tiền chuộc.
INCIBE khuyến cáo, người dùng nên hạn chế sạc qua cáp và ổ USB công cộng. Thay vào đó, nên mang theo dây và cục sạc riêng, hoặc sạc dự phòng, mua cáp có khả năng chặn dữ liệu truyền qua và cảnh giác với cáp lạ. Trên smartphone, bật chế độ “Chỉ sạc” để ngăn việc truyền dữ liệu.
Bên cạnh đó, người dùng có thể trang bị đế sạc không dây nếu smartphone có công nghệ sạc này. Thay vì cắm cáp trực tiếp lên điện thoại, người dùng có thể cắm vào đế sạc không dây để sạc. Nhược điểm của hình thức này là tốc độ sạc chậm hơn.
Ngoài ra, nên chủ động bảo vệ dữ liệu ngay từ đầu, gồm sử dụng mật khẩu mạnh và xác thực đa yếu tố, cảnh giác với email và tin nhắn lừa đảo, sao lưu dữ liệu thường xuyên. Nếu nghi ngờ thiết bị bị xâm phạm, cần đổi mật khẩu, quét máy để tìm phần mềm độc hại, đăng xuất và đổi mật khẩu tài khoản quan trọng. Cuối cùng, có thể khôi phục cài đặt gốc thiết bị nếu cảm thấy smartphone bị nhiễm mã độc.
Giữa năm ngoái, Cục Điều tra Liên bang Mỹ FBI cũng cảnh báo không nên sạc điện thoại, máy tính tại các điểm công cộng do nguy cơ nhiễm phần mềm theo dõi. “Cắm sạc điện thoại vào cổng USB công cộng giống như việc bạn thấy một chiếc bàn chải đánh răng ven đường và quyết định đưa vào miệng. Bạn không thể biết bàn chải đó đã trải qua những gì, như cổng USB kia. Hãy nhớ cổng USB tại trạm sạc có thể truyền tải dữ liệu”, Caleb Barlow, chuyên gia của IBM nói với CNBC.
Tiêu chuẩn quốc gia TCVN 11930:2017 về công nghệ thông tin- các kỹ thuật an toàn- yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ
Tiêu chuẩn này quy định các yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ. Yêu cầu an toàn cơ bản quy định trong tiêu chuẩn này tập trung vào các yêu cầu bảo đảm an toàn hệ thống thông tin. Các yêu cầu khác về an toàn thông tin, không liên quan trực tiếp đến bảo đảm an toàn hệ thống thông tin (ví dụ: bảo vệ thông tin cá nhân, bảo vệ trẻ em trên mạng…) không thuộc phạm vi của tiêu chuẩn này.
Khi thiết kế hệ thống bảo đảm an toàn các vùng mạng trong hệ thống theo chức năng, các vùng mạng tối thiểu bao gồm: Vùng mạng nội bộ; Vùng mạng biên; Vùng DMZ; Vùng máy chủ nội bộ; Vùng mạng không dây (nếu có) tách riêng, độc lập với các vùng mạng khác; Vùng quản trị; Vùng quản trị thiết bị hệ thống.
Phương án thiết kế bảo đảm các yêu cầu sau: Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn; Có phương án quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập; Có phương án dự phòng cho các thiết bị mạng và phương án cân bằng tải, dự phòng nóng cho thiết bị mạng chính; Có phương án bảo đảm an toàn cho máy chủ cơ sở dữ liệu; Có phương án chặn lọc phần mềm độc hại trên môi trường mạng; Có phương án phòng chống tấn công từ chối dịch vụ; Có phương án giám sát an toàn hệ thống thông tin tập trung; Có phương án quản lý sao lưu dự phòng tập trung; Có phương án quản lý phần mềm phòng chống mã độc trên các máy chủ/máy tính người dùng tập trung; Có phương án phòng, chống thất thoát dữ liệu; Có phương án duy trì ít nhất 02 kết nối mạng Internet từ các ISP sử dụng hạ tầng kết nối trong nước khác nhau (nếu hệ thống buộc phải có kết nối mạng Internet); Có phương án bảo đảm an toàn cho mạng không dây (nếu có); Có phương án quản lý tài khoản đặc quyền.
Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập thông tin nội bộ hoặc quản trị hệ thống từ các mạng bên ngoài và mạng Internet; Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi hệ thống không nhận được yêu cầu từ người dùng; Phân quyền và cấp quyền truy cập từ bên ngoài vào hệ thống theo từng người dùng hoặc nhóm người dùng căn cứ theo yêu cầu nghiệp vụ, yêu cầu quản lý; Giới hạn số lượng kết nối đồng thời từ một địa chỉ nguồn và tổng số lượng kết nối đồng thời cho từng ứng dụng, dịch vụ được hệ thống cung cấp theo năng lực thực tế của hệ thống.
Việc kiểm soát truy cập từ bên trong mạng, chỉ cho phép truy cập các ứng dụng, dịch vụ bên ngoài theo yêu cầu nghiệp vụ, chặn các dịch vụ khác không phục vụ hoạt động nghiệp vụ theo chính sách của tổ chức; Có phương án kiểm soát truy cập của người dùng vào các dịch vụ, các máy chủ nội bộ theo chức năng và chính sách của tổ chức; Không cho phép hoặc giới hạn truy cập (theo chức năng của máy chủ) từ các máy chủ ra mạng bên ngoài hệ thống; Có phương án quản lý các thiết bị đầu cuối, máy tính người dùng kết nối vào hệ thống mạng (theo địa chỉ vật lý, địa chỉ logic), chỉ cho phép thiết bị đầu cuối, máy tính người sử dụng hợp lệ kết nối vào hệ thống.
An Dương (T/h)