Cách Google bảo vệ dữ liệu của bạn

Thưa ông Pietraszek, ông và đội ngũ của mình đảm nhận trách nhiệm bảo vệ tài khoản của người dùng. Vậy nhóm làm cách nào để ngăn chặn tin tặc truy cập trái phép?

Tadek Pietraszek, Kỹ sư phần mềm cao cấp phụ trách lĩnh vực bảo mật tài khoản của người dùng: Trước tiên, chúng tôi cần phải phát hiện được cuộc tấn công đầu tiên. Chúng tôi dùng hơn một trăm biến để xác định hoạt động đáng ngờ. Giả sử bạn sống ở Đức và rất hiếm khi đi du lịch nước ngoài, nhưng có người cố gắng truy cập vào tài khoản của bạn từ một quốc gia khác thì hệ thống sẽ kích hoạt báo động.

Stephan Micklitz, Giám đốc kỹ thuật của nhóm Quyền riêng tư và bảo mật của Google: Đó là lý do đôi khi chúng tôi yêu cầu bạn xác nhận số điện thoại đã cung cấp, hoặc xác thực bằng những thông tin khác mà chỉ chỉnh bạn (chủ tài khoản) mới biết.

Đối với Tadek Pietraszek (bên trái), tấn công giả mạo là một trong những mối đe doạ lớn nhất đối với an ninh trực tuyến.

Những cuộc tấn công này có xảy ra thường xuyên không?

Pietraszek: Mỗi ngày có đến hàng trăm nghìn cuộc tấn công mạng được thực hiện. Vấn đề lớn nhất chúng tôi phải đối mặt là Internet có vô số danh sách tên người dùng và mật khẩu bị đánh cắp từ những trang web bị xâm nhập. Vì nhiều người dùng sử dụng cùng một mật khẩu cho nhiều tài khoản, nên các danh sách này cũng chứa dữ liệu về thông tin đăng nhập vào Tài khoản Google.

Những danh sách này có phải là mối đe doạ bảo mật lớn nhất không?

Pietraszek: Đúng vậy. Các danh sách đó và những cuộc tấn công giả mạo điển hình. Hầu như ai cũng từng nhận phải email của tội phạm tìm cách đánh cắp mật khẩu của tài khoản. Đương nhiên là chúng tôi luôn nỗ lực thực hiện trách nhiệm của mình để đảm bảo chúng không thể thực hiện trót lọt. Nếu phát hiện thấy email gửi tới hộp thư đến của bạn trong Gmail có vẻ đáng ngờ, chúng tôi có thể gắn cảnh báo email đó để bạn xem xét kỹ lưỡng hơn, hoặc chúng tôi có thể tự động lọc bỏ email đó. Trình duyệt Chrome của chúng tôi cũng sẽ gửi cảnh báo khi bạn cố gắng truy cập một trang web mà chúng tôi đã xác định là trang web lừa đảo.

Micklitz: Có hai loại thủ đoạn lừa đảo cơ bản mà kẻ tấn công sử dụng. Thứ nhất là dạng email hàng loạt để thu thập dữ liệu đăng nhập càng nhiều càng tốt. Thứ hai là dạng "lừa đảo mũi nhọn" nhắm đến tài khoản của một cá nhân cụ thể. Các cuộc tấn công này có thể khá tinh vi và kéo dài vài tháng. Trong khoảng thời gian đó, kẻ xấu sẽ điều tra chi tiết cuộc sống của nạn nhân để triển khai một cuộc tấn công có chủ đích rất cụ thể.

"Nếu cho rằng một email gửi tới hộp thư đến của bạn trong Gmail có vẻ đáng ngờ, chúng tôi có thể gắn cảnh báo email đó."

Tadek Pietraszek

Google đang giúp người dùng ngăn chặn các cuộc tấn công như thế nào?

Pietraszek: Ví dụ như hệ thống Xác minh 2 bước. Nhiều người dùng đã quen thuộc với kiểu hệ thống này khi dùng tài khoản ngân hàng trực tuyến. Ví dụ như khi muốn chuyển tiền, bạn có thể cần phải nhập cả mật khẩu và một mã gửi qua tin nhắn. Google đã cho ra mắt tính năng xác thực hai yếu tố vào năm 2009, thời điểm này sớm hơn hầu hết các nhà cung cấp dịch vụ email lớn khác. Ngoài ra, người dùng Google đã liên kết số di động sẽ mặc nhiên được hưởng cơ chế bảo vệ ở mức độ tương tự, giúp chống lại những hành vi đăng nhập đáng ngờ.

Micklitz: Tính năng xác thực hai yếu tố là một phương pháp hiệu quả, nhưng thậm chí tin nhắn văn bản cũng có khả năng bị chặn và can thiệp. Ví dụ: tội phạm có thể liên hệ với nhà mạng mà bạn sử dụng để tìm cách yêu cầu họ gửi một thẻ SIM thứ hai cho chúng. Việc xác thực bằng khoá bảo mật như bộ thu phát Bluetooth hay USB là giải pháp an toàn hơn.

Pietraszek: Chúng tôi dùng tài nguyên này trong Chương trình Bảo vệ nâng cao.

Chương trình đó là gì?

Pietraszek: Chương trình Bảo vệ nâng cao được Google triển khai từ năm 2017, hướng đến những người có nguy cơ bị tấn công cao hơn, chẳng hạn như nhà báo, giám đốc điều hành, người bất đồng quan điểm chính trị và chính trị gia.

Micklitz: Ngoài khoá bảo mật vật lý, chúng tôi cũng hạn chế quyền truy cập dữ liệu từ ứng dụng bên thứ ba bằng cách bổ sung thêm các bước xác minh danh tính bắt buộc nếu người dùng làm mất khoá bảo mật.

Giám đốc kỹ thuật Stephan Micklitz chịu trách nhiệm về quyền riêng tư và bảo mật toàn cầu tại Google. Ông học ngành khoa học máy tính tại Đại học Kỹ thuật Munich và làm việc tại văn phòng của Google ở Munich từ cuối năm 2007.

Ông có thể kể về một cuộc tấn công mạng lớn cũng như cách nhóm Google ứng phó với cuộc tấn công đó được không?

Pietraszek: Một trong những cuộc tấn công như vậy đã xảy ra vào đầu năm 2017. Tin tặc đã tạo ra một chương trình độc hại nhằm đánh cắp quyền truy cập Tài khoản Google của các nạn nhân và gửi email giả tới danh bạ của họ. Các email đó yêu cầu người nhận email cấp quyền truy cập vào một tài liệu Google giả. Những người làm theo yêu cầu vô tình cấp quyền truy cập cho phần mềm độc hại đó và tự động gửi các email giả đó cho danh bạ của chính họ. Vi-rút nhanh chóng lan rộng. Chúng tôi có sẵn các kế hoạch dự phòng cho những tình huống như vậy.

Micklitz: Trong trường hợp cụ thể này, chúng tôi đã chặn đứng việc phát tán các email đó trong Gmail, thu hồi quyền truy cập cấp cho chương trình đó và bảo vệ an toàn cho những tài khoản bị tấn công. Đương nhiên là chúng tôi cũng đã bổ sung các biện pháp bảo vệ có tính hệ thống để những cuộc tấn công tương tự khó xảy ra hơn sau này. Các Tài khoản Google liên tục bị tấn công và hệ thống tự động của chúng tôi cung cấp cơ chế bảo vệ hiệu quả nhất. Việc này đương nhiên còn phụ thuộc vào việc chúng tôi có thể liên hệ với người dùng thông qua những phương thức khác ngoài Tài khoản Google, cụ thể là địa chỉ email thứ hai hoặc số điện thoại di động.

"Thực ra thì thông thường mọi người chỉ cần làm theo một vài quy tắc cơ bản là đủ."

Stephan Micklitz

Bảo mật có quan trọng đối với người dùng thông thường không?

Pietraszek: Nhiều người hiểu rằng bảo mật là rất quan trọng, nhưng đôi khi họ lại ngại thực hiện đầy đủ các biện pháp phòng ngừa cần thiết. Đó là lý do mọi người thường dùng cùng một mật khẩu cho nhiều tài khoản – sai lầm nghiêm trọng nhất có thể mắc phải. Công việc của chúng tôi là giải thích cho người dùng cách bảo vệ tài khoản tốn ít công sức nhất. Đó là lý do chúng tôi cung cấp chức năng Kiểm tra bảo mật trong Tài khoản Google để người dùng có thể dễ dàng kiểm tra các chế độ cài đặt của mình.

Micklitz: Thực ra thì thông thường mọi người chỉ cần làm theo một vài quy tắc cơ bản là đủ.

Những quy tắc đó là gì?

Micklitz: Không dùng cùng một mật khẩu cho nhiều dịch vụ, cài đặt các bản cập nhật bảo mật và tránh sử dụng phần mềm đáng ngờ. Cung cấp số điện thoại hoặc địa chỉ email thay thế để chúng tôi có nhiều cách để liên hệ với bạn. Và bật tính năng khoá màn hình của điện thoại để những người không được cho phép khó có thể mở được điện thoại của bạn hơn. Chỉ những biện pháp này thôi là đã là một khởi đầu tốt rồi.

.

Ảnh: Conny Mirbach