Mật khẩu là chìa khóa cho an ninh mạng
Giám đốc An ninh Thông tin của Stewart, Genady Vishnevetsky là một chuyên gia an ninh mạng. Trong loạt bài blog này, anh chia sẻ về cách người tiêu dùng và các chuyên gia bất động sản có thể giữ an toàn cho các giao dịch (và thông tin cá nhân của họ). Trong phần đầu tiên và thứ hai của loạt bài này, Genady đã chia sẻ các ví dụ về cách tin tặc bắt đầu cuộc tấn công của chúng và các kỹ thuật mà chúng sử dụng. Đọc những hiểu biết liên tục của anh ấy dưới đây.
Sê-ri An ninh Mạng
Phần 3: Bảo mật Mật khẩu
Trong hai phần đầu tiên, tôi đã đề cập đến các chiến thuật và kỹ thuật cơ bản mà tin tặc sử dụng trong các cuộc tấn công lừa đảo, nhưng tôi không thể nhấn mạnh đủ tầm quan trọng của việc vệ sinh mật khẩu. Thực tế của thế giới hiện đại là hầu hết các sự cố và vi phạm bảo mật mà các nhà cung cấp bị ảnh hưởng không được công bố. Vì vậy, nếu bạn đang sử dụng cùng một biến thể hoặc gần của mật khẩu với nhiều dịch vụ, cuối cùng, nó sẽ bị rò rỉ và cuối cùng sẽ được bán trên web đen. Bạn đang tự đặt mình vào nguy cơ (không cần thiết). Dưới đây là những cách để giữ an toàn cho mật khẩu của bạn:
Quản lý Mật khẩu
Việc đưa ra các mật khẩu phức tạp có thể khó khăn. Quản lý mật khẩu là đáng tin cậy và hữu ích với nhiệm vụ tẻ nhạt này. Chúng tương đối rẻ và đảm bảo rằng bạn sẽ sử dụng một mật khẩu duy nhất cho mọi trang web/dịch vụ bạn sử dụng.
Xác thực đa yếu tố
Mục quan trọng thứ hai trong việc giữ mật khẩu và thông tin của bạn an toàn là xác thực đa yếu tố (MFA). Đó là thứ bạn biết (tức là tên người dùng và mật khẩu) và thứ bạn có (tức là keyfob, điện thoại di động) và/hoặc thứ gì đó bạn đang có (tức là sinh trắc học - quét ngón tay hoặc võng mạc). Nhiều dịch vụ thậm chí sẽ không yêu cầu bạn thiết lập MFA. Sau khi bạn đăng ký tài khoản và cung cấp số điện thoại di động của mình, họ sẽ gửi mã cho bạn mỗi lần bạn đăng nhập. Ngay cả khi đó là loại MFA yếu nhất, xác minh mã văn bản vẫn cung cấp mức độ bảo vệ trong trường hợp thông tin đăng nhập tài khoản của bạn bị đánh cắp hoặc bị xâm phạm vì kẻ tấn công sẽ cần mã đó mà chỉ bạn mới có.
Ứng dụng Authenticator
Mức MFA tiếp theo và được đề xuất là một ứng dụng bạn cài đặt trên điện thoại của mình. Cả Google và Microsoft đều có phiên bản ứng dụng của họ. Ứng dụng bất khả tri của nhà cung cấp phổ biến nhất trên thị trường là Authy. Tất cả các ứng dụng này đều có khả năng chống chuyển đổi SIM và các cuộc tấn công khác hơn là văn bản.
Khóa bảo mật FIDO2
Loại MFA cuối cùng và an toàn nhất là khóa 2 bảo mật Fast Identity Online (FIDO), một phương pháp xác thực không dùng mật khẩu và dựa trên tiêu chuẩn không thể thay thế.
Cập nhật hệ thống của bạn
Việc cập nhật hệ thống của bạn cũng rất quan trọng—nhiều tệp đính kèm và trang web độc hại tìm kiếm các lỗ hổng đã biết trong các hệ điều hành chưa được vá và các công cụ phụ trợ. Adobe Acrobat và Java đứng đầu danh sách và bị tin tặc khai thác rộng rãi. Khi vá lỗi, hãy nhớ trình duyệt của bạn và bất kỳ tiện ích bổ sung nào. Nếu bạn đang sử dụng trình duyệt mặc định đi kèm với hệ điều hành của mình, trong hầu hết các trường hợp, trình duyệt đó sẽ được vá khi bạn cập nhật hệ điều hành của mình. Bạn chịu trách nhiệm vá tất cả các trình duyệt khác.
Giới hạn Ứng dụng Bổ trợ Trình duyệt
Sử dụng tiện ích bổ sung của trình duyệt một cách tiết kiệm. Hãy nhớ rằng, họ có thể đọc và chặn URL bạn đang truy cập và dữ liệu bạn đang nhập vào các biểu mẫu hoặc trường trên trang web. Không cài đặt các tiện ích bổ sung trừ khi bạn tự tin rằng bạn sẽ sử dụng chúng và chúng đến từ các nguồn có uy tín. Một số tiện ích bổ sung được thiết kế để thu hút người dùng bằng cách phát âm ngữ cảnh nhưng sử dụng để theo dõi hoặc thậm chí cung cấp phần mềm độc hại đằng sau hậu trường.
Bảo vệ thiết bị di động của bạn
Duy trì vệ sinh tốt cho điện thoại di động hoặc máy tính bảng của bạn cũng quan trọng không kém. Các thiết bị di động đang trở thành mục tiêu chính cho các cuộc tấn công. Chúng dễ dàng phá vỡ hơn với địa chỉ của người gửi giả mạo trong email lừa đảo và ID người gọi giả mạo trong gian lận điện và các cuộc tấn công MFA. Trình rút gọn URL cũng nguy hiểm vì bạn không bao giờ biết đích đến bằng cách xem URL.
Bây giờ bạn đã thành thạo một số chiến thuật và kỹ thuật được sử dụng trong gian lận điện tín. Hãy siêng năng khi bạn nhận được email mô tả email đó là từ Stewart. Hãy nhớ rằng, địa chỉ email của người gửi có thể dễ dàng bị giả mạo hoặc thay thế, chữ ký và ngữ cảnh của email có thể dễ dàng được sao chép, bao gồm cả hình ảnh và liên kết đến các nguồn xác thực. Chúng tôi thậm chí còn thấy các tuyên bố từ chối trách nhiệm về gian lận chuyển khoản mà các nhân viên ký quỹ của chúng tôi ký tên vào chữ ký của họ được thêm vào các giao dịch gian lận với các hướng dẫn chuyển tiền được thay thế.
Nếu bạn không mong đợi email này, không thể tương quan với một giao dịch cụ thể hoặc không thực hiện bất kỳ hoạt động kinh doanh nào với Stewart, hãy xóa email đó.
Hãy an toàn.
Xin gửi lời cảm ơn đặc biệt đến Genady vì đã chia sẻ chi tiết này. Chúng tôi hy vọng bạn thấy điều này hữu ích và hãy nhớ luôn cảnh giác. Hãy nhớ theo dõi chúng tôi trên phương tiện truyền thông xã hội để biết thêm các mẹo an ninh mạng.
Đọc phần đầu tiên và thứ hai của loạt blog an ninh mạng này:
"Những kẻ tấn công mạng nhắm đến các giao dịch bất động sản"
"Cách tin tặc làm chệch hướng giao dịch với các tên miền email tương tự"
Muốn nhiều hơn? Hãy xem các bài viết liên quan sau: