Theo một nghiên cứu mới được tiến hành gần đây, điện thoại Android và iPhone đều chia sẻ dữ liệu về nhà sản xuất với tần suất trung bình 4 phút rưỡi/lần, và đặc biệt là dữ liệu sẽ được gửi đi kể cả khi bạn đật điện thoại trong túi quần hay túi xách mà không hề sử dụng đến.

Nghiên cứu của Đại học Trinity ở Dublin đã khiến mọi người phải nhíu mày bởi những quan ngại sâu sắc về quyền riêng tư khi sử dụng smartphone. Kết quả nghiên cứu còn tiết lộ những điểm khác biệt nhỏ trong cách Apple và Google thu thập dữ liệu, đồng thời khẳng định iPhone không bảo vệ quyền riêng tư của người dùng tốt hơn các thiết bị Google là bao.

Tuy nhiên, một điều an ủi cho các i-Fan là, theo nghiên cứu, các thiết bị Google thu thập "một lượng dữ liệu lớn hơn đáng kể từ thiết bị so với Apple", với 1MB dữ liệu được gửi đi từ các thiết bị Google Pixel ở chế độ nghỉ mỗi 12 tiếng, trong khi chỉ có 52KB được gửi đi từ iPhone.

Trong số các dữ liệu bị thu thập và gửi đi từ thiết bị có dữ liệu về tình trạng lắp SIM và các chi tiết liên quan thiết bị như số serial phần cứng, IMEI, địa chỉ MAC Wifi, và số điện thoại.

"Tôi nghĩ hầu hết mọi người đều chấp nhận rằng Apple và Google cần thu thập dữ liệu từ điện thoại của chúng ta để cung cấp cho các dịch vụ như iCloud hay Google Drive. Nhưng khi chúng ta chỉ dùng điện thoại của mình như một chiếc điện thoại thông thường - để thực hiện và nhận các cuộc gọi chứ không làm gì khác - thì thật khó hiểu tại sao Apple và Google lại cần phải thu thập dữ liệu" - theo lời giáo sư Leith.

"Ấy thế nhưng trong nghiên cứu này, chúng tôi lại phát hiện ra rằng Apple và Google thu thập một lượng lớn thông tin trong chính những tình huống đó. Thật thừa thải, và thật khó hiểu tại sao điều đó lại cần thiết".

Giáo sư Leith nói rằng ông thất vọng khi thấy Apple lại thu thập quá nhiều dữ liệu như vậy, đặc biệt là khi đây chính là công ty luôn nói rất nhiều về quyền riêng tư của người dùng.

Ông cho biết các thiết bị không chỉ thu thập dữ liệu về hoạt động của mình, mà còn về các thiết bị lân cận; khi một người dùng kết nối đến mạng Wifi, địa chỉ MAC Wifi của các thiết bị khác trong mạng đó cũng bị gửi về Apple.

"Địa chỉ MAC Wifi giống như mã định danh của một thiết bị trong mạng Wifi, và do đó, nó cung cấp thông tin đặc thù về router nhà bạn, hotspot ở quán cafe, hay mạng ở văn phòng. Điều đó có nghĩa Apple có thể theo dõi những người nào đang ở gần bạn, cũng như vị trí và thời gian. Rất đáng quan ngại".

Giáo sư Leith cho biết người dùng không thể tắt tính năng thu thập dữ liệu này.

Nghiên cứu nói trên đã chỉ ra một số vấn đề cực kỳ đáng quan ngại liên quan hoạt động thu thập dữ liệu, khi mà những dữ liệu thiết bị đó có thể được liên kết đến các nguồn dữ liệu khác, bao gồm dữ liệu duyệt web và dữ liệu về các giao dịch mua sắm.

"Nghiên cứu này đã chỉ ra cách smartphone hoạt động" - một người phát ngôn của Google thừa nhận. "Các xe hơi hiện đại thường xuyên gửi dữ liệu cơ bản về các linh kiện, tình trạng an toàn, và lịch trình bảo dưỡng đến các nhà sản xuất, và điện thoại di động cũng hoạt động theo cách tương tự như vậy. Nghiên cứu đã nêu chi tiết hoạt động liên lạc đó, vốn diễn ra nhằm đảm bảo rằng phần mềm iOS hay Android đã được cập nhật đầy đủ, các dịch vụ hoạt động đúng như dự tính, và rằng điện thoại của bạn hiện đảm bảo về mặt bảo mật và chạy một cách hiệu quả"

Apple chưa đưa ra bình luận nào về nghiên cứu nói trên.

(Theo VnReview, IrishTimes)

Phương thức mới phát tán tin nhắn lừa đảo nhắm vào người dùng ngân hàng

Thời gian gần đây, như ICTnews đã phản ánh, nhiều thuê bao di động đã nhận được tin nhắn mạo danh các tổ chức tài chính, ngân hàng như TPBank, Sacombank, ACB, Zalopay… gửi các nội dung giả mạo, lừa đảo nhằm chiếm đoạt tiền của người dân.

Người dùng không cẩn thận khi truy cập vào các website lừa đảo sẽ bị dẫn dụ để cung cấp thông tin cá nhân như tài khoản, mật khẩu, mã OTP… và thực hiện các thao tác chuyển tiền mà không hay biết.

Theo các chuyên gia bảo mật, việc  các đối tượng xấu giả mạo tin nhắn định danh (brandname) của các ngân hàng, ví điện tử khiến cho nhiều người dùng mất cảnh giác, bị dẫn dụ truy cập vào các website giả mạo do chúng lập ra.

Các chuyên gia bảo mật cũng dự đoán về một số khả năng làm giả tin nhắn brandname của các ngân hàng, ví điện tử như: Hacker khai thác, lợi dụng được các dịch vụ cung cấp tin nhắn định danh - brandname; Hacker thuê server dịch vụ SMS và giả mạo brandname để gửi tin nhắn đến các thuê bao; hay điện thoại nạn nhân bị cài mã độc và khi đó mã độc sẽ chèn các tin nhắn mạo danh vào các luồng nhắn tin trên máy…

Tuy nhiên, trong thông tin cảnh báo chính thức phát ra chiều ngày 5/2, Cục An toàn thông tin, Bộ TT&TT đã thông tin cụ thể về phương thức tấn công của các đối tượng xấu trong các vụ tấn công lừa đảo nhắm vào các tổ chức tài chính, ngân hàng.

Theo đại diện Cục An toàn thông tin, qua xác minh, đánh giá cho thấy các tin nhắn giả mạo này không xuất phát từ hệ thống của các tổ chức tài chính, ngân hàng và doanh nghiệp viễn thông mà được phát tán thông qua các thiết bị phát sóng di động giả mạo (IMSI Catcher/SMS Broadcaster).

“Đây là các thiết bị có nguồn gốc từ nước ngoài, được các đối tượng mua bán, sử dụng trái phép nhằm mục đích thực hiện các cuộc tấn công phát tán tin nhắn rác lừa đảo người dùng, đặc biệt là người dùng tại các khu vực đô thị”, đại diện Cục An toàn thông tin cho hay.

Cụ thể, qua phân tích, trong những chiến dịch tấn công lừa đảo (Phishing) nhắm vào các ngân hàng, tổ chức tài chính thời gian gần đây, trước tiên đối tượng tấn công sử dụng các thiết bị phát sóng giả mạo để thực hiện gửi tin nhắn rác trực tiếp vào điện thoại mà không thông qua mạng viễn thông di động.

Các tin nhắn này bị các đối tượng thay đổi thông tin nguồn gửi (số điện thoại, đầu số hoặc tên định danh) nhằm mục đích tạo lòng tin, đánh lừa người dùng. Nội dung tin nhắn thường là quảng cáo, hướng dẫn hoặc chứa đường link tới website giả mạo giống như các website chính thống của các tổ chức tài chính, ngân hàng để dẫn dụ và đánh cắp thông tin của người dùng như tài khoản, mật khẩu, mã OTP…

Tiếp đó, người dùng không nhận biết được website giả mạo nên sẽ cung cấp thông tin cá nhân truy cập vào tài khoản ngân hàng như điền tên tài khoản, mật khẩu.

Sau khi người dùng cung cấp thông tin, website giả mạo sẽ điều hướng sang website khác hoặc thông báo đề nghị người dùng chờ đợi. Lúc này, đối tượng sẽ sử dụng thông tin cá nhân của người dùng để đăng nhập vào website chính thức của các tổ chức tài chính, ngân hàng để lấy mã xác thực OTP (nếu cần).

Ở bước cuối cùng, sau khi điện thoại người dùng nhận được mã xác thực OTP, website giả mạo sẽ được điều hướng sang trạng thái yêu cầu người dùng cung cấp mã xác thực OTP. Người dùng mà không cảnh giác sẽ cung cấp thông tin mã OTP để đối tượng hoàn tất quá trình chiếm đoạt tiền trong tài khoản.

Những khuyến nghị với người dùng dịch vụ ngân hàng, tài chính

Nhận định đây là hành vi rất tinh vi và nguy hiểm, đại diện Cục An toàn thông tin cho biết, Cục đang phối hợp chặt chẽ với lực lượng công an, các cơ quan chức năng, các doanh nghiệp viễn thông để triển khai các biện pháp ngăn chặn, điều tra, xác minh và xử lý đối tượng vi phạm pháp luật.

Để phòng ngừa và phối hợp xử lý, Cục An toàn thông tin khuyến nghị người dân kiểm tra, xác minh kỹ các website, ứng dụng (app) trong các tin nhắn mà người dùng nhận được, kể cả các tin nhắn thương hiệu, tin nhắn từ các đầu số ngắn; tuyệt đối không truy cập vào các website, ứng dụng có nguồn gốc, nội dung không rõ ràng.

Trường hợp nhận được tin nhắn có nội dung lừa đảo, giả mạo, người dân được đề nghị phản ánh với Cục An toàn thông tin (Trung tâm VNCERT/CC) qua đầu số tin nhắn 5656 hoặc qua website https://thongbaorac.ais.gov.vn/ để Cục An toàn thông tin kịp thời điều phối, phối hợp với các đơn vị liên quan xử lý.

Ngoài ra, Cục An toàn thông tin cũng đề nghị người dân thông báo cho cơ quan công an hoặc Cục khi phát hiện các đối tượng sử dụng, mua bán, trao đổi các thiết bị phát sóng giả mạo (IMSI Catcher/SMS Broadcaster) qua số đường dây nóng của Cục An toàn thông tin 0339035656.

Vân Anh

Cận Tết, hacker gia tăng lừa đảo các giao dịch ngân hàng, ví điện tử

Theo các chuyên gia, lợi dụng thời gian cận Tết nguyên đán 2021 nhu cầu giao dịch, thanh toán trực tuyến, tặng quà hoặc lì xì online tăng mạnh, nhiều nhóm hacker đang gia tăng hoạt động lừa đảo nhắm vào người dùng các dịch vụ banking, ví điện tử.