Hacker sẽ làm gì với thông tin cá nhân bị đánh cắp của bạn?

          Đánh cắp thông tin cá nhân là một mỏ vàng cho bọn tội phạm công nghệ thông tin. Năm 2016, mức độ thiệt hại đã lên đến mức cao nhất mọi thời đại với số tiền lên đến 16 tỉ đô la do gian lận và đánh cắp thông tin cá nhân. Hầu hết mọi người đều biết rằng hành vi trộm cắp có thể xảy ra do các trường hợp tấn công an ninh mạng ồ ạt đã diễn ra trong vài năm qua, giống như cuộc tấn công vào Yahoo vào nửa cuối năm 2016. Kẻ tấn công sẽ sử dụng thông tin bị đánh cắp với mục đích xấu.

          Điều này có thể dẫn đến hậu quả tàn phá đối với người dùng, đặc biệt khi kẻ tấn công bắt đầu nhắm mục tiêu các khía cạnh quan trọng trong cuộc sống của họ như bảo hiểm, thông tin ngân hàng và thẻ tín dụng. Nhiều người dùng thực sự không ý thức rằng họ đã bị thiệt hại và ngạc nhiên khi phải đối mặt với những hậu quả của đánh cắp thông tin cá nhân.

          Nhưng chính xác thông tin bị đánh cắp chính xác đến đâu? Có được rao bán ở các thị trường ngầm? Có kèm theo những thông tin bị đánh cắp khác và bán cho các công ty hợp pháp? Được sử dụng cho gian lận thanh toán? Trước khi tìm hiểu thông tin và dữ liệu bị đánh cắp, chúng ta hãy xem xét cách thức để đánh cắp thông tin.

Thông tin bị đánh cắp như thế nào?

          Mặc dù công chúng nghĩ rằng hacker là nguyên nhân chính gây ra thông tin bị tổn hại, dữ liệu mà Trend Micro thu thập được thì việc mất mát hoặc bị trộm cắp thiết bị thực sự mới là nguyên nhân gây ra thông tin bị đánh cắp. Tuy nhiên, về tỉ lệ hiện nhiễm, hacker và phần mềm độc hại cũng chiếm xác suất cao. Việc tiết lộ thông tin ngoài ý muốn và rò rỉ thông tin nội bộ cũng được xếp hạng cao về nguyên nhân.

Xác suất thông tin bị đánh cắp:

• 41% Loss or theft
• 25% Hacking or malware
• 17,38% Unintended disclosure
• 12,01% Insider leak
• 3,16% Unknown
• 1,43% Payment card fraud

Điều gì xảy ra với thông tin bị đánh cắp?

          Thông thường, thông tin bị đánh cắp sẽ đều bị bán dưới các thị trường ngầm. Dưới đây là một số ví dụ cụ thể về những gì xảy ra với dữ liệu bị đánh cắp.

Hình minh họa: Các tình huống có thể xảy ra đối với thông tin bị đánh cắp.

Thông tin cá nhân

          Thông tin cá nhân (PII) được định nghĩa là dữ liệu có thể được sử dụng để xác định, định vị hoặc liên hệ với một cá nhân cụ thể. Ví dụ về thông tin nhận dạng cá nhân bao gồm: tên, ngày sinh, địa chỉ, số an sinh xã hội, số điện thoại và tất cả dữ liệu khác được sử dụng để phân biệt hoặc xác định cá nhân.

          Đây là loại dữ liệu bị đánh cắp nhiều nhất và dễ sử dụng thông tin nhất. Những kẻ tấn công thường tấn công trực tiếp nạn nhân bằng cách nộp đơn xin vay tiền hoặc thẻ tín dụng dưới tên của người sử dụng, nộp tờ khai thuế lợi tức gian lận và xin vay vốn dưới tên của nạn nhân. Mặt khác, nạn nhân cũng có thể bị ảnh hưởng gián tiếp khi PII của họ được bán cho các công ty tiếp thị hoặc công ty chuyên về các chiến dịch spam.

Thông tin tài chính

          Thông tin tài chính là dữ liệu được sử dụng trong hoạt động tài chính của một cá nhân. Điều này bao gồm thông tin ngân hàng, tài khoản thanh toán, thông tin bảo hiểm và dữ liệu khác có thể được sử dụng để truy cập tài khoản hoặc xử lý các giao dịch tài chính.

          Khi thông tin này bị mất cắp, nó có thể ảnh hưởng lớn đến tài chính của người dùng. Một tội phạm mạng có thể sử dụng thông tin tài chính cho các hoạt động thanh toán hóa đơn, thực hiện các giao dịch trực tuyến lừa đảo và chuyển tiền ra khỏi các tài khoản ngân hàng. Bọn tội phạm chuyên dụng hơn thậm chí có thể sử dụng thẻ tín dụng giả mạo.

Thông tin y tế

          Thông tin y tế liên quan đến dữ liệu được sử dụng cho các dịch vụ y tế của một cá nhân bao gồm hồ sơ bệnh viện, bảo hiểm y tế và các thông tin liên quan khác.

          Thông tin này cũng quan trọng tương tự như PII vì chứa một số lượng lớn thông tin nhận dạng người dùng và còn được sử dụng để mua thuốc theo toa mà không thể mua qua quầy.

Thông tin giáo dục

          Thông tin giáo dục đề cập đến dữ liệu của một cá nhân dựa trên hồ sơ giáo dục bao gồm bảng điểm học bạ và hồ sơ trường học.

          Mặc dù thông tin giáo dục không mang lại kết quả tức thì theo cùng một cách thức mà thông tin tài chính có thể cung cấp nhưng người dùng có thể bị tống tiền từ đây. Kẻ tấn công có thể sử dụng thông tin giáo dục để làm người dùng sợ hoặc lừa người dùng thực hiện theo những yêu cầu của chúng. Tương tự, tội phạm mạng cũng có thể sử dụng thông tin này để thực hiện các cuộc tấn công lừa đảo bằng cách giả vờ là sinh viên hoặc cán bộ của một cơ sở giáo dục.

Thông tin ngân hàng

          Thông tin ngân hàng liên quan đến dữ liệu tìm thấy trong thẻ thanh toán của cá nhân, bao gồm dữ liệu thẻ tín dụng và thẻ ghi nợ cũng như các thông tin liên quan khác.

          Dữ liệu này tương tự như thông tin tài chính ở chỗ có thể ảnh hưởng đến tài chính của người dùng. Tuy nhiên, thông tin này thậm chí có thể nguy hiểm hơn vì chúng có thể được sử dụng để mua hàng trực tiếp và giao dịch trực tuyến dựa trên thông tin có trong thẻ. Thông tin tài chính và ngân hàng thường có mối liên hệ với nhau.

Thông tin trực tuyến

          Thông tin trực tuyến đề cập đến dữ liệu được sử dụng trên mạng bao gồm tên người dùng và mật khẩu email cũng như thông tin đăng nhập mua sắm trực tuyến.

          Việc đánh cắp thông tin trực tuyến có thể nguy hiểm hơn PII vì nó là cơ sở làm lộ các tài khoản trực tuyến của nạn nhân trước các nguy cơ độc hại tiềm ẩn. Email thường được sử dụng để xác minh thông tin đăng nhập và lưu trữ thông tin. Nếu tài khoản email bị xâm nhập thì có thể dẫn đến trường hợp gian lận và đánh cắp thông tin cá nhân, gây ra các cuộc tấn công spam và lừa đảo, kích hoạt các cuộc tấn công gián điệp hoặc đánh cắp quyền sở hữu trí tuệ từ các tổ chức mà người dùng là một phần của các tổ chức đó.

          Dựa trên nghiên cứu, hãng bảo mật Trend Micro có bằng chứng rằng các loại thông tin này có mối quan hệ với nhau. Nếu một loại dữ liệu, chẳng hạn như thông tin y tế bị đánh cắp, các thông tin khác cũng sẽ bị tổn hại.

          Ví dụ, một tội phạm mạng đánh cắp thông tin email của người dùng. Thật không may cho nạn nhân, email này cũng chứa hóa đơn thanh toán cho thẻ tín dụng, cho phép truy cập vào thông tin ngân hàng và tội phạm mạng sẽ truy vấn được các khoản vay của người dùng. Email này cũng chứa tài khoản Facebook, cũng sử dụng mật khẩu giống như email và tội phạm mạng sẽ có quyền truy cập vào một loạt thông tin từ Facebook đủ để thực hiện nhiều loại gian lận danh tính.

Có bao nhiêu thông tin cá nhân có giá trị?

          Trong một nghiên cứu được thực hiện vào năm 2015, Trend Micro đã yêu cầu hơn một nghìn cá nhân trên khắp thế giới đặt giá trị tiền tệ cho dữ liệu của họ. Dưới đây là mức giá cụ thể:

Loại dữ liệu                                         Ước lượng giá trị tiền tệ

Mật khẩu                                             75,80 USD

Thông tin y tế và hồ sơ bệnh án          59,80 USD

Số an sinh xã hội                                 55,70 USD

Chi tiết thanh toán                               36,60 USD

Lịch sử mua hàng                                20,60 USD

Thông tin địa điểm                              16,10 USD

Địa chỉ nhà                                          12,90 USD

Ảnh và video                                       12,20 USD

Tình trạng hôn nhân                            8,30 USD

Tên và giới tính                                   2,90 USD

          PII có giá trị hữu hình trên thị trường ngầm, trong đó giá thông tin bị đánh cắp phụ thuộc vào mức độ hữu ích. Dưới đây là một số giá dữ liệu bị đánh cắp mà Trend Micro tìm thấy trong nghiên cứu về các thị trường ngầm dưới góc độ tội phạm trực tuyến cho báo cáo đã đề cập trước đó (giá vào năm 2015 được tính bằng USD):

·                  PII thường được bán trên cơ sở mỗi dòng với mức phí 1 USD mỗi dòng.

·                Báo cáo đầy đủ về tín dụng của những người có điểm số FICO23 rất cao, có thể mua ở mức 25 USD cho mỗi báo cáo.

·              Toàn bộ các tài liệu như hộ chiếu, giấy phép lái xe, hóa đơn tiện ích, và các loại khác có thể mua từ 10 USD đến 35 USD cho mỗi tài liệu được quét.

·               Thông tin đăng nhập cho các ngân hàng trên toàn thế giới được bán từ 200 USD đến 500 USD cho mỗi tài khoản trong các thị trường ngầm.

·        Tài khoản điện thoại di động ở Hoa Kỳ đạt mức tối đa 14 USD mỗi tài khoản.

·              Các tài khoản thanh toán PayPal và eBay có nhiều năm sử dụng giao dịch được bán với giá 300 USD mỗi cái. Tài khoản lâu năm ít có khả năng bị gắn cờ vì các giao dịch đáng ngờ.

Có thể làm gì để giảm thiểu nạn đánh cắp thông tin cá nhân?

          Do tính chất phổ biến của hành vi đánh cắp thông tin cá nhân, người dùng và các tổ chức phải cẩn thận với tất cả thông tin cho dù đó là của cá nhân hay thành viên của tổ chức. Dưới đây là một số cách để giảm nhẹ hoặc ngăn chặn vấn nạn này.

·        Thực hiện các chế độ bảo mật mạnh mẽ hơn trên thiết bị.

·        Tránh bấm vào các đường tải, chương trình và ứng dụng đáng ngờ.

·        Giới hạn thông tin cá nhân chia sẻ trên mạng.