Để khiến cho việc kết nối thiết bị mới với bộ định tuyến tại nhà trở nên dễ dàng hơn, Liên minh Wi-Fi, một nhóm các nhà cung cấp mong muốn quảng bá việc sử dụng các công nghệ Wi-Fi, đã tạo ra thiết lập Wi-Fi bảo mật (Wi-Fi protected setup – WPS). WPS được giới thiệu là một phương pháp giúp bất kỳ ai – tôi nhấn mạnh là bất kỳ ai – có thể thiết lập thiết bị di động ở nhà hoặc tại văn phòng một cách an toàn. Mặc dù vậy, trên thực tế, cách này cũng không hẳn là an toàn.
WPS thường là một nút trên bộ định tuyến, hoặc sử dụng mã PIN và giao tiếp trường gần (near field communication – NFC). Chỉ cần nhấn nút, bạn sẽ kích hoạt tính năng WPS, và nó giao tiếp với bất kỳ thiết bị mới nào trong nhà hoặc văn phòng của bạn, tự động đồng bộ hóa chúng để làm việc với mạng Wi-Fi ở đó.
Nghe có vẻ tuyệt vời. Tuy nhiên, nếu bộ định tuyến ở khu vực “công cộng,” ví dụ trong phòng khách, thì bất kỳ ai cũng có thể chạm vào nút WPS và truy cập mạng nhà riêng của bạn.
Ngay cả khi không thể tiếp cận trực tiếp với thiết bị, kẻ tấn công trên mạng vẫn có thể sử dụng thuật toán vét cạn để đoán mã PIN WPS của bạn. Có thể mất vài giờ, nhưng đây vẫn là một phương pháp tấn công khả thi, và bạn nên tự vệ bằng cách ngay lập tức tắt WPS trên bộ định tuyến.
Một phương pháp tấn công WPS khác là Pixie Dust. Đây là kiểu tấn công ngoại tuyến và chỉ ảnh hưởng đến một số nhà sản xuất chip, bao gồm Ralink, Realtek và Broadcom. Pixie Dust hoạt động bằng cách giúp hacker chiếm mật khẩu trên các bộ định tuyến không dây. Về cơ bản, công cụ này rất đơn giản và có thể truy cập vào thiết bị chỉ sau vài giây hoặc vài giờ, tùy thuộc vào độ phức tạp của mã PIN WPS. Ví dụ, một chương trình tương tự là Reaver có thể bẻ khóa một bộ định tuyến hỗ trợ WPS trong vòng vài giờ.
Nhìn chung, nên tắt WPS. Bạn có thể kết nối từng thiết bị di động mới với mạng bằng cách nhập mật khẩu đã đặt để truy cập.
Như vậy, thông qua việc sử dụng mã hóa và mật khẩu mạnh, bạn đã ngăn chặn được người khác sử dụng mạng định tuyến không dây tại nhà của mình. Liệu điều đó có đồng nghĩa với việc không ai có thể xâm nhập vào mạng gia đình của bạn hay nhòm ngó vào nhà bạn qua công cụ kỹ thuật số không? Không hoàn toàn.
Khi Blake Robbins, cậu học sinh lớp 10 của một trường trung học ở khu vực ngoại ô Philadelphia, bị gọi vào văn phòng hiệu trưởng, cậu không biết mình sắp bị khiển trách vì “hành vi không đúng đắn” – ở nhà. Trước đó, Học khu[69] Hạ Merion ở ngoại ô Philadelphia đã trang bị máy tính xách tay MacBook mới cho tất cả các học sinh trung học, bao gồm Robbins, để sử dụng trong kỳ học. Nhưng họ không cho biết rằng phần mềm được thiết kế để lấy lại thiết bị trong trường hợp bị mất cũng được dùng để theo dõi hành vi của tất cả 2.300 học sinh khi ở trong phạm vi quan sát của webcam gắn trên máy.
[69] Học khu: Khu vực mà tất cả các trường học trong đó đều nằm dưới sự quản lý của một cấp chức trách.
Robbins bị cáo buộc tội gì? Cắn thuốc lắc. Thông qua luật sư, gia đình Robbins khẳng định rằng cậu bé chỉ vừa làm bài tập vừa ăn kẹo của hãng Mike & Ike.
Vậy tại sao vấn đề này lại bị làm rùm beng lên?
Học khu này khẳng định rằng họ chỉ kích hoạt phần mềm theo dõi hành vi trộm cắp sau khi một thiết bị của họ bị đánh cắp. Phần mềm theo dõi trộm cắp hoạt động như sau: khi người sử dụng phần mềm báo cáo rằng máy tính xách tay của mình bị đánh cắp, nhà trường có thể đăng nhập vào một website và xem các hình ảnh chụp từ webcam của chiếc máy bị đánh cắp, họ còn nghe được âm thanh từ micro. Khi đó, một viên chức trong trường có thể theo dõi chiếc máy này và chụp ảnh nếu cần. Bằng cách này, họ có thể định vị được thiết bị, xác định được kẻ trộm, và thu lại máy về. Tuy nhiên, trong trường hợp này, người ta cho rằng các quản lý của nhà trường đã bật tính năng trên để theo dõi học sinh ở nhà.
Webcam trên chiếc máy tính Mac mà nhà trường giao cho Robbins đã chụp lại hàng trăm bức ảnh của cậu, trong đó có những bức chụp cảnh cậu đang ngủ trên giường. Đối với các học sinh khác, tình hình còn tồi tệ hơn. Theo lời khai tại tòa, nhà trường thậm chí còn giữ nhiều hình ảnh hơn của một số học sinh khác, một vài trong số đó là “khỏa thân một phần.” Hoạt động này lẽ ra còn tiếp diễn mà học sinh không hay biết nếu như Robbins không bị khiển trách vì điều mà cậu bị cho rằng đã làm ở nhà.
Robbins cùng với Jalil Hasan, một cựu học sinh cùng trường bị chụp lén gần 500 bức ảnh cá nhân và 400 ảnh chụp màn hình cho biết hoạt động trực tuyến của cậu và các website mà cậu truy cập, đã đệ đơn kiện học khu. Robbins nhận được 175.000 đô-la và Hasan nhận được 10.000 đô-la bồi thường. Học khu này cũng phải bỏ ra gần nửa triệu đô-la để trang trải chi phí pháp lý cho hai người. Tổng cộng số tiền học khu phải trả qua hãng bảo hiểm là khoảng 1,4 triệu đô-la.
Phần mềm độc hại có thể dễ dàng kích hoạt webcam và micro trên máy tính cá nhân truyền thống mà người dùng không hề hay biết. Và điều này cũng đúng đối với thiết bị di động. Trong trường hợp trên, đó là một hành động có chủ ý. Nhưng thường thì tất cả lại xuất phát từ sự vô tình. Một cách khắc phục nhanh là dán băng dính che webcam trên máy tính và chỉ tháo ra khi cần sử dụng.
Mùa thu năm 2014, Sophie Curtis, một phóng viên của tờ Telegraph có trụ sở ở London, nhận được yêu cầu kết bạn trên LinkedIn qua một email có vẻ từ một đồng nghiệp. Vốn quen nhận được cá email như thế này nên cô cũng không đắn đo mà chấp nhận yêu cầu kết bạn trên. Vài tuần sau, cô nhận được một email có vẻ từ một tổ chức tố giác tội phạm ẩn danh đang sắp sửa công bố các tài liệu nhạy cảm. Là một phóng viên từng đưa tin về các nhóm như Anonymous và WikiLeaks, trước đây cô cũng đã nhận được những email như thế này, nên email mới không khỏi khiến cô tò mò. File đính kèm trông không có gì đáng ngờ, vậy là cô nhấn chuột để mở xem.
Ngay lập tức cô nhận ra sai lầm của mình. Windows Defender, chương trình bảo mật đi kèm với mọi bản Windows, bắt đầu phát cảnh báo trên máy tính, và các cảnh báo cứ liên tiếp xuất hiện chồng chất trên màn hình.
Như rất nhiều người khác ngày nay, Curtis đã bị lừa nhấp vào một file đính kèm mà cô nghĩ là thông thường. File này giả vờ chứa thông tin mà cô muốn xem, nhưng nó lại tải xuống và giải nén một loạt các file khác cho phép kẻ tấn công từ xa kiểm soát hoàn toàn máy tính của cô. Phần mềm độc hại này thậm chí còn chụp ảnh Curtis bằng chính webcam của cô khi cô đang hốt hoảng và bối rối tìm hiểu xem tại sao kẻ khác lại có thể kiểm soát được thiết bị của mình.
Thực ra, Curtis biết rõ kẻ xâm phạm. Vài tháng trước đó, để thử nghiệm, cô đã thuê một chuyên gia kiểm định an ninh – một người làm công việc giống như tôi. Các cá nhân và doanh nghiệp thường thuê hacker chuyên nghiệp tấn công vào mạng máy tính của mình để tìm ra các điểm sơ hở cần tăng cường phòng vệ. Trong trường hợp của Curtis, quá trình này kéo dài vài tháng.
Khi bắt đầu những công việc như thế này, tôi luôn cố gắng thu thập càng nhiều thông tin về khách hàng càng tốt. Tôi tìm hiểu về cuộc sống và thói quen trực tuyến, đồng thời theo dõi các bài đăng công khai của họ trên Twitter, Facebook, thậm chí cả LinkedIn. Người kiểm định cho Sophie Curtis cũng làm như vậy. Giữa tất cả các email cô nhận được là một thông điệp được xây dựng cẩn thận – email đầu tiên là của người kiểm định mà cô thuê. Người này biết rằng cô là phóng viên và khá cởi mở trong việc tiếp nhận các email mời chào từ người lạ. Theo những gì Curtis viết về sau này, email đầu tiên không cung cấp đủ thông tin để cô cảm thấy muốn phỏng vấn một người nào đó rồi viết thành bài báo. Nhưng cô rất ấn tượng với khối lượng nghiên cứu mà hacker và các đồng nghiệp của anh tại hãng tư vấn an ninh đã thực hiện.
Curtis nói: “Họ có thể dùng Twitter để tìm ra địa chỉ email công việc của tôi cũng như một số địa điểm tôi mới ghé thăm gần đây và cả tên của buổi giao lưu tối mà tôi hay tham dự với các nhà báo khác. Từ bối cảnh nền trong một bức ảnh mà tôi đăng trên Twitter, họ có thể phát hiện ra loại điện thoại di động mà tôi sử dụng, rằng vị hôn thê của tôi thường hút thuốc lá cuộn (đó là một bức ảnh cũ), và rằng anh ấy thích đạp xe.” Mỗi chi tiết trên lại trở thành cơ sở để họ viết một email khác.
Ngoài ra, theo công bố tại Hội nghị DEF CON năm 2016, có một công cụ nữa giúp phân tích tweet của đối tượng cần theo dõi. Sau đó, nó sẽ xây dựng một email lừa đảo mạo danh dựa trên sở thích cá nhân của họ. Vì vậy, hãy cẩn thận khi nhấp vào các liên kết chứa trong tweet.
Thực ra, thường là những điều nhỏ nhặt – những bình luận vô thưởng vô phạt mà thi thoảng bạn đăng ở đâu đó, món đồ lặt vặt độc đáo đặt trên cái kệ phía sau lưng bạn trong một bức ảnh, chiếc áo phông từ một sự kiện bạn từng tham dự – sẽ cung cấp những thông tin cá nhân quan trọng mà bạn không bao giờ có ý định chia sẻ công khai. Chúng ta có thể coi những khoảnh khắc thoắt đến thoắt đi này là vô hại, nhưng càng biết thêm thông tin về bạn, kẻ tấn công càng có thể lừa bạn mở các file đính kèm trong email và khống chế thế giới trên mạng của bạn.
Curtis cho biết nhóm kiểm định chỉ dừng cuộc tấn công ở đó. Nếu có ý đồ xấu thực sự, trò vui có lẽ còn tiếp diễn trong một thời gian dài, có thể là rốt cuộc kẻ xấu sẽ giành được quyền truy cập vào các tài khoản của cô trên mạng xã hội, mạng lưới văn phòng của cô tại Telegraph, thậm chí cả các tài khoản ngân hàng. Và khả năng cao là một cuộc tấn công như vậy sẽ diễn ra khi Curtis không hề hay biết; hầu hết các cuộc tấn công không ngay lập tức kích hoạt Windows Defender hoặc phần mềm chống virus. Một số kẻ tấn công còn xâm nhập và hoạt động lén lút trong nhiều tháng hoặc nhiều năm trước khi bị người dùng phát hiện. Và vấn đề không chỉ giới hạn ở máy tính xách tay: một cuộc tấn công bằng email cũng có thể bắt nguồn từ iPhone hoặc một thiết bị di động Android bị bẻ khóa.
