Tại Hội thảo Phòng chống lừa đảo không gian mạng do Hiệp hội An ninh mạng quốc gia vừa tổ chức, Thượng tướng Lương Tam Quang, Thứ trưởng Bộ Công an cho biết, thực tiễn lừa đảo trên không gian mạng thời gian qua diễn biến rất phức tạp, gây thiệt hại nghiêm trọng cho tổ chức, cá nhân, tác động tiêu cực đến phát triển.
Hoạt động lợi dụng không gian mạng tiến hành phạm tội, nổi bật là lừa đảo trực tuyến gia tăng cả về phạm vi, quy mô với thủ đoạn tinh vi, là thách thức với mọi quốc gia. Thống kê trên thế giới cho thấy năm 2023, hoạt động lừa đảo trên mạng đã gây thiệt hại là 1.026 tỷ USD, tương đương 1,05% GDP toàn cầu.
Cũng tại sự kiện trên, ông Nguyễn Thanh Bình, chuyên gia tư vấn An ninh mạng toàn cầu từ FPT IS cho biết, số vụ lừa đảo trực tuyến trong năm vừa qua đã tăng hơn 60%, với tổng giá trị thiệt hại từ 8 đến 10 nghìn tỷ đồng.
“Hai nguyên nhân căn bản giúp lừa đảo trên không gian mạng thành công bao gồm việc khai thác điểm yếu tâm lý cố hữu của con người và tận dụng số lượng lớn nạn nhân tiềm năng”, ông Bình nhận định.
“Hư chiêu thắng hữu chiêu”
Theo Cẩm nang nhận diện và phòng chống lừa đảo trực tuyến (Cục An toàn thông tin, Bộ TT&TT), có 24 hình thức lừa đảo đang diễn ra trên không gian mạng Việt Nam: Lừa đảo “combo du lịch giá rẻ”; Lừa đảo cuộc gọi video Deepfake, Deepvoice; Lừa đảo “khóa SIM” vì chưa chuẩn hóa thuê bao…
Trong đó, phishing (tấn công giả mạo) là phương thức tấn công mạng phổ biến nhất. Theo báo cáo Cost of a Data Breach Report, 2023 của IBM, thiệt hại trung bình của một vụ xâm phạm dữ liệu do có phishing – phương thức xâm nhập ban đầu là 4,76 triệu USD, chỉ kém phương thức xâm nhập qua đối tượng nằm bên trong tổ chức (4,90 triệu USD/vụ). Đồng thời, phishing là phương thức số một giúp hacker đặt chân vào tổ chức, chiếm 16% số vụ. Việc tạo điểm xâm nhập ban đầu là bước quan trọng để hacker tiếp tục tấn công sâu vào hệ thống.
Thông tin và tuyên truyền được đánh giá là giải pháp căn cơ, lâu dài. Song, hình thức này gặp phải hạn chế lớn do phụ thuộc vào sự chủ động của người dùng trong việc nghe, đọc, xem và tiếp thu giữa “đại dương” thông tin của Internet.
Trước bối cảnh trên, chuyên gia FPT IS khuyến nghị tổ chức, doanh nghiệp áp dụng phương thức phishing chủ động để đào tạo, nâng cao nhận thức từng cá nhân. Để dễ hình dung, phương thức chủ động này tương tự như việc dùng một cuộc tấn công, lừa đảo “giả” để tạo ra nhận thức “thật” đối với đối tượng tiếp nhận. Trong đó, "liên tục" và "cá nhân hoá" là từ khoá giúp tối đa hoá hiệu quả nâng cao nhận thức tốt nhất.
Theo đó, nhà cung cấp dịch vụ hỗ trợ tổ chức, doanh nghiệp thiết lập hạ tầng, thiết kế email lừa đảo gửi cho cán bộ nhân viên. Sau đó tập hợp, thống kê, phân tích số lượng nhân viên bị lừa ở các mức độ khác nhau như mở email, bấm vào đường link truy cập trang web giả mạo, điền thông tin vào trang web giả mạo… Từ đó xây dựng bản tin truyền thông cho doanh nghiệp, bản tin hướng dẫn mang tính cá nhân hóa cho những người dùng bị lừa.
Không chỉ vậy, với dữ liệu có được, tổ chức và doanh nghiệp có thể nhìn ra bức tranh toàn cảnh “điểm yếu” của từng đơn vị, phòng ban hay nhóm nhân viên có trình độ, đặc điểm khác nhau. Trên cơ sở đó, có thể xây dựng chương trình nâng cao nhận thức khắc phục tiếp theo. Đối với các cá nhân, việc trải qua tình huống thực tế sẽ giúp nâng cao nhận thức, thay đổi hành vi về việc tự bảo vệ bản thân khi hoạt động trên không gian mạng.
Ở quy mô lớn hơn, cơ quan quản lý Nhà nước cũng có thể sử dụng phương thức đào tạo này để nâng cao nhận thức toàn dân dựa trên cấu trúc dân cư, địa lý, lứa tuổi hay loại hình công việc. Từ đó nhận thức chung về lừa đảo trực tuyến toàn xã hội được nâng lên, góp phần tạo ra môi trường mạng lành mạnh.