Các mối đe dọa an ninh mạng đối với doanh nghiệp vừa và nhỏ trong nửa đầu năm 2023

08:39 | 10/02/2024

Theo thống kê của Liên Hợp Quốc, các doanh nghiệp vừa và nhỏ (SMB) đóng góp 50% tổng sản phẩm quốc nội toàn cầu và tạo thành trục xương sống của nền kinh tế của nhiều quốc gia. Trong bối cảnh chịu ảnh hưởng nặng nề bởi đại dịch COVID-19 và căng thẳng địa chính trị, các doanh nghiệp SMB đã cùng lúc phải đối mặt với những khủng hoảng về kinh tế và đặc biệt là các cuộc tấn công mạng. Bài báo sẽ trình bày về các mối đe dọa an ninh mạng chính đối với các doanh nghiệp SMB trong nửa đầu năm 2023, đồng thời đưa ra những khuyến nghị về cách đảm bảo an toàn thông tin, dựa trên báo cáo của hãng bảo mật Kaspersky.

CÁC MỐI ĐE DỌA HÀNG ĐẦU ĐỐI VỚI DOANH NGHIỆP SMB

Theo thống kê, từ ngày 01/01/2023 đến ngày 18/5/2023, 2.392 doanh nghiệp SMB đã bị nhiễm các loại phần mềm độc hại hoặc phần mềm quảng cáo được ngụy trang dưới dạng ứng dụng kinh doanh, với 2.478 tệp độc hại được phân phối theo phương thức này. Hình 1 thể hiện về 10 mối đe dọa phổ biến nhất mà các doanh nghiệp SMB đã phải đối mặt trong gần 6 tháng đầu năm 2023. Trong đó điển hình là 4 mối đe dọa sau:

Hình 1. 10 mối đe dọa hàng đầu đối với doanh nghiệp SMB nửa đầu năm 2023

Khai thác

Mối đe dọa lớn nhất đối với doanh nghiệp SMB trong nửa đầu năm 2023 là các hành vi khai thác (exploit). Phần mềm độc hại thường xâm nhập vào máy tính của nạn nhân thông qua các hoạt động khai thác, các chương trình độc hại được thiết kế để lợi dụng các lỗ hổng trong phần mềm. Chúng có thể chạy phần mềm độc hại khác trên hệ thống, nâng cao đặc quyền của kẻ tấn công, khiến ứng dụng mục tiêu gặp sự cố và thường có thể xâm nhập vào máy tính mà không cần bất kỳ hành động nào của nạn nhân.

Trojan

Mối đe dọa lớn thứ hai là Trojan. Dòng mã độc này thường ngụy trang xâm nhập vào hệ thống mục tiêu và sau đó bắt đầu các hoạt động độc hại. Tùy thuộc vào mục đích, Trojan có thể thực hiện nhiều hành động khác nhau, chẳng hạn như xóa, chặn, sửa đổi hoặc sao chép dữ liệu, làm gián đoạn hiệu suất của máy tính hoặc mạng máy tính.

Backdoor

Backdoor là một trong những loại phần mềm độc hại nguy hiểm nhất vì khi xâm nhập vào thiết bị của nạn nhân, chúng sẽ trao cho tin tặc quyền điều khiển từ xa. Từ đây, tin tặc có thể cài đặt, khởi chạy các chương trình mà không có sự đồng ý hoặc hiểu biết của người dùng. Sau khi cài đặt, Backdoor có thể được sử dụng để gửi, nhận, thực thi và xóa tệp, thu thập dữ liệu bí mật từ máy tính, ghi nhật ký hoạt động,....

Downloader và phần mềm quảng cáo

Các ứng dụng không mong muốn tiềm ẩn (PUA) có thể vô tình được cài đặt trên thiết bị mục tiêu và thường được một số giải pháp bảo mật phổ biến phân loại là không phải mã độc, ví dụ như Kaspersky Internet Security gắn nhãn là “not-a[1]virus”, thực tế đây chỉ là các trình tải Downloader hoặc phần mềm quảng cáo. Tin tặc cố gắng phân phối chúng cũng như các phần mềm độc hại khác tới thiết bị của mục tiêu bằng cách sử dụng bất kỳ kỹ thuật nào, chẳng hạn như khai thác lỗ hổng, email lừa đảo và tin nhắn giả mạo. Ngay cả những liên kết YouTube, Facebook cũng có thể được tin tặc sử dụng để nhắm mục tiêu vào các doanh nghiệp SMB vì người dùng đầu cuối thường sử dụng cùng một thiết bị cho công việc và các vấn đề cá nhân.

Một số hình thức tấn công lừa đảo phổ biến

Đặc biệt, tấn công phishing hay các cuộc tấn công lừa đảo có thể gây ra những mối đe dọa đáng kể cho các doanh nghiệp SMB vì tin tặc thường giả mạo các hoạt động thanh toán, cho vay và các dịch vụ khác cũng như các nhà cung cấp dịch vụ đám mây như Microsoft để đánh cắp thông tin bí mật hoặc tài sản của doanh nghiệp. Dưới đây là một số hình thức tấn công lừa đảo phổ biến được sử dụng.

Email lừa đảo

Kỹ nghệ xã hội là phương thức tấn công chủ yếu được tin tặc sử dụng, có thể qua các tin nhắn hoặc email để đánh lừa nhân viên trong doanh nghiệp truy cập vào một liên kết lừa đảo, từ đó tiết lộ dữ liệu bí mật của công ty hoặc chuyển tiền. Ví dụ, vào cuối năm 2022, tin tặc đã đóng giả là giám đốc điều hành cấp cao của một doanh nghiệp và gửi email cho nhân viên của họ, hướng dẫn nhân viên chuyển tiền từ tài khoản doanh nghiệp sang tài khoản khác. Các email giả mạo đã được tạo ra một cách kỹ lưỡng để nhân viên không có nghi ngờ về tính xác thực của chúng.

Một số tin tặc gửi email spam mạo danh đại diện các tổ chức tài chính, đưa ra những ưu đãi hấp dẫn cho các doanh nghiệp khởi nghiệp. Thông qua yêu cầu cung cấp thông tin để nhận những tài trợ này, nhân viên có thể cung cấp thông tin và dữ liệu nhạy cảm từ đó có thể dẫn đến tổn thất về tài chính. Nhân viên SMB và đặc biệt là các nhà quản lý thường là mục tiêu của các chiến dịch email spam mời chào cộng tác và các dịch vụ B2B, chẳng hạn như SEO, quảng cáo, hỗ trợ tuyển dụng và cho vay.

Giả mạo dịch vụ ngân hàng

Do nhu cầu chuyển tiền, lương và các khoản thu chi, tội phạm mạng cũng thường nhắm mục tiêu chính đến các nhân viên ở bộ phận kế toán trong doanh nghiệp bằng các trang web giả mạo dịch vụ ngân hàng. Trên các trang lừa đảo này yêu cầu người dùng đăng nhập bằng thông tin đăng nhập tài khoản ngân hàng của doanh nghiệp họ. Nếu nhân viên nhập thông tin xác thực, tin tặc sẽ có quyền truy cập vào các tài khoản này để thực hiện các hành vi đánh cắp thông tin và chuyển tiền trái phép.

Chiếm quyền điều khiển cuộc hội thoại

Gần đây, Kaspersky đã phát hiện một chiến dịch mới sử dụng kỹ thuật “conversation hijacking” (chiếm quyền điều khiển cuộc hội thoại). Tin tặc cố gắng giành được quyền truy cập vào email của nạn nhân và trả lời các cuộc trò chuyện của họ. Giả dạng là một trong những người trả lời trong chuỗi email, tin tặc sẽ gửi một tin nhắn có tệp đính kèm PDF yêu cầu nạn nhân tải xuống. Tệp PDF này chứa thông báo giả mạo từ Microsoft Office 365 hoặc Microsoft Azure để tải xuống và kích hoạt Trojan Qbot.

GIỮ AN TOÀN TRƯỚC CÁC MỐI ĐE DỌA MẠNG

Để bảo vệ và giữ an toàn hệ sinh thái không gian mạng, các doanh nghiệp cần kết hợp một số giải pháp tổng thể như sau:

- Nâng cao nhận thức người dùng: Thường xuyên tổ chức các chương trình đào tạo cơ bản và nâng cao đối với toàn bộ nhân viên cũng như cán bộ lãnh đạo, quản lý về các phương thức, mối đe dọa mạng chính thường được tội phạm mạng tấn công, trang bị những kỹ năng an toàn thông tin cần thiết và khả năng sẵn sàng ứng phó với các sự cố có thể xảy ra.

- Hướng dẫn về cách sử dụng tài nguyên mạng: Cung cấp hướng dẫn rõ ràng về quy định sử dụng an toàn các dịch vụ, công cụ và tài nguyên mạng. Người dùng cuối nên biết họ nên hoặc không nên sử dụng công cụ nào và tại sao.

- Thiết lập mật khẩu an toàn và xác thực đa yếu tố: Để bảo vệ tài khoản, các doanh nghiệp cần triển khai cơ chế chung trong việc xây dựng chính sách mật khẩu an toàn, trong đó bắt buộc các mật khẩu được thiết lập phải đủ mạnh cho tất cả dịch vụ kỹ thuật số, các mật khẩu này cần bao gồm chữ cái in hoa, thường, số và các ký tự đặc biệt. Khuyến cáo tới toàn bộ nhân viên không chia sẻ mật khẩu với bất kỳ ai, không lưu mật khẩu trong trình duyệt web, không nên sử dụng các mật khẩu cũ đã từng được thiết lập trước đó, luôn đăng xuất toàn bộ tài khoản vào cuối ngày làm việc. Ngoài ra, các doanh nghiệp cũng nên triển khai thêm tính năng xác thực đa yếu tố (có thể với kết hợp với ứng dụng xác thực, email hoặc số điện thoại).

- Sử dụng kết hợp các giải pháp bảo mật: Các doanh nghiệp nên kết hợp tổng thể nhiều giải pháp bảo mật phòng vệ chủ động để nhằm phát hiện và giảm thiểu nguy cơ lây nhiễm như: giải pháp bảo mật cho điểm cuối; các công cụ phát hiện và ngăn chặn xâm nhập (IDS/IPS); triển khai hệ thống tường lửa đủ mạnh với nhiều lớp; các chương trình antivirus….

- Kiểm soát truy cập: Triển khai hệ thống quản lý định danh và xác thực tập trung người dùng từ nhiều ứng dụng, dịch vụ trong hệ thống. Thiết lập chính sách để kiểm soát quyền truy cập vào tài sản của doanh nghiệp, chẳng hạn như email, thư mục dùng chung và tài liệu trực tuyến. Luôn cập nhật và xóa quyền truy cập nếu nhân viên đã rời doanh nghiệp hoặc không còn cần dữ liệu nữa.

- Tạo bản sao lưu thường xuyên: Các bản sao lưu có thể giúp doanh nghiệp khôi phục lại dữ liệu trong trường hợp xảy ra lỗi hệ thống hoặc bị mất mát thông tin. Do vậy cần phải xây dựng một hệ thống lưu trữ đủ lớn (có thể triển khai trên dịch vụ đám mây) và thường xuyên sao lưu định kỳ trong doanh nghiệp.

- Kiểm thử xâm nhập: Các doanh nghiệp nên thực hiện kiểm thử các ứng dụng, hệ thống mạng trong tổ chức theo định kỳ, hành động này giúp phát hiện sớm các rủi ro và lỗ hổng tiềm ẩn, từ đó khắc phục chúng để loại trừ khả năng bị tấn công trong tương lai.

KẾT LUẬN

Khi tội phạm mạng ngày càng phát triển nhiều kỹ thuật và phương thức tấn công mới, sự ảnh hưởng của chúng đến các doanh nghiệp SMB đang được định hình cụ thể hơn với những tác động gây tổn thất nghiêm trọng về tài chính cũng như danh tiếng. Trong bối cảnh nguy cơ và thực trạng các mối đe dọa mạng tinh vi hiện nay, từ phần mềm độc hại ngụy trang dưới dạng các phần mềm kinh doanh cho đến các trò lừa đảo qua email và ứng dụng nhắn tin, các doanh nghiệp cần phải luôn cảnh giác cao độ và xây dựng chiến lược bảo mật phù hợp với các chính sách và giải pháp liên quan nhằm hạn chế ở mức tối thiểu và ngăn chặn rủi ro có thể xảy ra.