Ngày nay, thư thông thường gửi qua bưu điện ít được sử dụng. Hầu hết các thư hỗ trợ khách hàng, quảng bá sản phẩm,… đều có thể gửi qua mạng với chi phí thấp và độ thuận tiện cao. Tuy nhiên, người dùng không dưới một lần đã từng không nhận được thư điện tử của đối tác vì chức năng lọc thư rác. Sau nhiều vụ việc lừa đảo xuất hiện trên báo, ngay cả những người dùng chưa từng được đào tạo về nâng cao nhận thức an toàn thông tin cũng sẽ trở nên cảnh giác. Nhưng có lẽ chưa nhiều đơn vị quan tâm đến khả năng thông điệp của mình gửi khách hàng bị nhầm với thể loại thư lừa đảo để tìm cách hướng dẫn những nhân viên chịu trách nhiệm giao tiếp với khách hàng qua thư điện tử. Bức thư dưới đây có những đặc trưng của một thông điệp lừa đảo, dù nó là một bức thư nghiêm túc của Hilton gửi cho khách hàng.
Giống như các bức thư trao đổi thông tin khác, thông điệp của Hilton đề nghị người nhận nhấn vào liên kết để cập nhật thông tin tài khoản. Hơn thế, liên kết sử dụng giao thức HTTP thay vì HTTPS – điều có thể khiến người dùng bị lộ thông tin cho kẻ xấu. Có lẽ, để giúp khẳng định tính hợp lệ của bức thư nên người soạn đã đưa vào đó những thông tin chi tiết như tên người nhận, cấp độ thành viên Hilton HHonors và điểm số của khách hàng thân thiết. Tuy nhiên, tên riêng không phải là thông tin bí mật, cấp độ thành viên có thể bị đoán ra với xác suất cao và người dùng thường không thể nhớ được điểm số khách hàng thân thiết của mình. Kết quả rất rõ ràng: thông điệp của Hilton trông giống thư lừa đảo đến mức đội hỗ trợ của họ cũng khuyến cáo khách hàng không nên tin vào nó:
Dưới đây là một bức thư khác từ chương trình SkyBonus của Delta Airlines, cũng rất giống thư lừa đảo. Thư này có tên của người nhận và mã tham gia chương trình SkyBonus ID, có lẽ là để giúp khách hàng xác nhận và tin tưởng. Tuy nhiên, tên riêng thường được biết đến một cách rộng rãi trong khi người dùng hiếm khi nhớ được mã số khách hàng của họ. Ngoài ra, liên kết “View Account” cũng sử dụng HTTP mà không phải HTTPS. Điểm cộng của bức thư này là người soạn đã đưa vào đó hướng dẫn truy cập thông tin tài khoản bên cạnh liên kết để khách hàng nhấn vào. Người dùng thông thường sẽ không nhấn phím phải chuột vào liên kết để kiểm tra tên miền hay truy cập liên kết từ máy ảo và kiểm tra chứng thực SSL.
Khi để khách hàng nhận được những bức thư giống hệt thư lừa đảo, doanh nghiệp sẽ chịu thiệt hại kép. Nếu khách hàng không bỏ qua thông điệp, dịch vụ hỗ trợ khách hàng bị vô hiệu khiến khách hàng phàn nàn hoặc phải chịu rủi ro, doanh nghiệp mất đi cơ hội kinh doanh nếu là thư quảng bá sản phẩm dịch vụ. Nếu khách hàng vẫn mở thư bình thường, họ sẽ dễ dàng bị đánh lừa bởi những bức thư lừa đảo và những nỗ lực nâng cao nhận thức về an toàn thông tin của doanh nghiệp sẽ bị lãng phí. Vì thế, mọi nhân viên chịu trách nhiệm giao tiếp với khách hàng của doanh nghiệp cần được đào tạo và hướng dẫn chi tiết cách gửi thư “đúng chuẩn” (chứ không chỉ dừng lại ở mức chèn thêm chữ [QC] vào trước các thông điệp quảng bá để đảm bảo tuân thủ quy định chống thư rác của chính phủ).
Ví dụ về một bức thư điện tử “tốt”: Gọn nhẹ và tham chiếu tới giao dịch cụ thể
Mặc dù nhiều doanh nghiệp mắc lỗi như Hilton, nhưng vẫn có những công ty biết cách thực hành đảm bảo an toàn thông tin khi gửi thư điện tử cho khách hàng. Chẳng hạn, bức thư sau của Vanguard Voyager Services có nhiều ưu điểm:
Họ đưa vào nội dung thư tham chiếu tới một ngày giao dịch gần nhất – điều khách hàng có thể nhớ và qua đó xác nhận độ tin cậy của bức thư. Ngoài ra, thay vì sử dụng những liên kết sâu, bức thư mời người nhận truy cập trang web của nhà cung cấp và hướng dẫn cách tìm đến màn hình thích hợp.
Tuy nhiên, bức thư vẫn sử dụng liên kết sử dụng giao thức HTTP chứ không phải HTTPS. Một số người có thể cho rằng loại bỏ hoàn toàn liên kết và để người dùng tự truy cập trang web của nhà cung cấp sẽ an toàn hơn. Dù vậy, việc để khách hàng tự tìm kiếm cũng đem đến những rủi ro.
Những ví dụ xác thực hơn về mặt an toàn thông tin
Bức thư dưới đây của PayPal thậm chí còn tốt hơn nữa trên khía cạnh an ninh:
Bức thư này không chứa đường dẫn nào để người dùng xem các giao dịch chi tiết. Thay vào đó, người nhận được hướng dẫn đăng nhập vào PayPal để xem thông tin. Bức thư cũng chứa thông tin chi tiết liên quan đến giao dịch để khách hàng có thể nhận ra. Hơn thế nữa, PayPal dùng giao thức DMARC để xác thực máy chủ gửi thư, cho phép các ứng dụng thư điện tử phổ biến như Gmail xác nhận nguồn gốc của các bức thư (hình dưới đây cho thấy cách nhận diện thư được gửi từ những máy chủ đã được xác thực).
Một ví dụ khác về những thông điệp gọn nhẹ và xác thực là bức thư của Chase Card Services. Thư này cũng được xác thực, không chứa những liên kết sâu, sử dụng HTTPS và tham chiếu tới một giao dịch gần đây để giúp khách hàng nhận biết dễ dàng.
Từ góc độ an toàn thông tin, một thư điện tử gửi khách hàng cần có những đặc tính sau:
- Gửi từ những tên miền hợp lệ;
- Mọi liên kết nhúng nên sử dụng HTTPS;
- Nếu có thể, nên tham chiếu tới một giao dịch gần đây và đề cập tới giao dịch đó theo cách không để lộ thông tin nhạy cảm.
- Nên hướng dẫn ngắn gọn cách truy cập tới mục liên quan trong website hay ứng dụng của nhà cung cấp để xem các chi tiết giao dịch tương ứng hay thực hiện các hành động cần thiết.
- Tránh sử dụng những liên kết sâu;
- Thay vì cung cấp số điện thoại, thông báo nên khuyến khích khách hàng gọi tới số điện thoại họ đã biết (chẳng hạn như số điện thoại in đằng sau thẻ của khách hàng) hay tìm kiếm thông tin trên website của người gửi.
Để cân bằng giữa an toàn, an ninh thông tin và sự tiện lợi, các tổ chức, doanh nghiệp nên đánh giá rủi ro của chính mình cũng như khách hàng khi xác định những yếu tố cần thiết khi soạn thư cho khách. Cách tiếp cận tốt hơn là sử dụng những bức thư tối giản, với mức an toàn cao nhất và giảm dần một số thuộc tính an ninh sau khi tiếp nhận phản hồi của khách hàng. Tuy nhiên, không được cắt giảm quá mức để vẫn đảm bảo an toàn cho khách – ngay cả khi họ không ý thức được điều đó.