Ngày nay, thư thông thường gửi qua bưu điện ít được sử dụng. Hầu hết các thư hỗ trợ khách hàng, quảng bá sản phẩm,… đều có thể gửi qua mạng với chi phí thấp và độ thuận tiện cao. Tuy nhiên, người dùng không dưới một lần đã từng không nhận được thư điện tử của đối tác vì chức năng lọc thư rác. Sau nhiều vụ việc lừa đảo xuất hiện trên báo, ngay cả những người dùng chưa từng được đào tạo về nâng cao nhận thức an toàn thông tin cũng sẽ trở nên cảnh giác. Nhưng có lẽ chưa nhiều đơn vị quan tâm đến khả năng thông điệp của mình gửi khách hàng bị nhầm với thể loại thư lừa đảo để tìm cách hướng dẫn những nhân viên chịu trách nhiệm giao tiếp với khách hàng qua thư điện tử. Bức thư dưới đây có những đặc trưng của một thông điệp lừa đảo, dù nó là một bức thư nghiêm túc của Hilton gửi cho khách hàng.
Giống như các bức thư trao đổi thông tin khác, thông điệp của Hilton đề nghị người nhận nhấn vào liên kết để cập nhật thông tin tài khoản. Hơn thế, liên kết sử dụng giao thức HTTP thay vì HTTPS – điều có thể khiến người dùng bị lộ thông tin cho kẻ xấu. Có lẽ, để giúp khẳng định tính hợp lệ của bức thư nên người soạn đã đưa vào đó những thông tin chi tiết như tên người nhận, cấp độ thành viên Hilton HHonors và điểm số của khách hàng thân thiết. Tuy nhiên, tên riêng không phải là thông tin bí mật, cấp độ thành viên có thể bị đoán ra với xác suất cao và người dùng thường không thể nhớ được điểm số khách hàng thân thiết của mình. Kết quả rất rõ ràng: thông điệp của Hilton trông giống thư lừa đảo đến mức đội hỗ trợ của họ cũng khuyến cáo khách hàng không nên tin vào nó:
Dưới đây là một bức thư khác từ chương trình SkyBonus của Delta Airlines, cũng rất giống thư lừa đảo. Thư này có tên của người nhận và mã tham gia chương trình SkyBonus ID, có lẽ là để giúp khách hàng xác nhận và tin tưởng. Tuy nhiên, tên riêng thường được biết đến một cách rộng rãi trong khi người dùng hiếm khi nhớ được mã số khách hàng của họ. Ngoài ra, liên kết “View Account” cũng sử dụng HTTP mà không phải HTTPS. Điểm cộng của bức thư này là người soạn đã đưa vào đó hướng dẫn truy cập thông tin tài khoản bên cạnh liên kết để khách hàng nhấn vào. Người dùng thông thường sẽ không nhấn phím phải chuột vào liên kết để kiểm tra tên miền hay truy cập liên kết từ máy ảo và kiểm tra chứng thực SSL.
Khi để khách hàng nhận được những bức thư giống hệt thư lừa đảo, doanh nghiệp sẽ chịu thiệt hại kép. Nếu khách hàng không bỏ qua thông điệp, dịch vụ hỗ trợ khách hàng bị vô hiệu khiến khách hàng phàn nàn hoặc phải chịu rủi ro, doanh nghiệp mất đi cơ hội kinh doanh nếu là thư quảng bá sản phẩm dịch vụ. Nếu khách hàng vẫn mở thư bình thường, họ sẽ dễ dàng bị đánh lừa bởi những bức thư lừa đảo và những nỗ lực nâng cao nhận thức về an toàn thông tin của doanh nghiệp sẽ bị lãng phí. Vì thế, mọi nhân viên chịu trách nhiệm giao tiếp với khách hàng của doanh nghiệp cần được đào tạo và hướng dẫn chi tiết cách gửi thư “đúng chuẩn” (chứ không chỉ dừng lại ở mức chèn thêm chữ [QC] vào trước các thông điệp quảng bá để đảm bảo tuân thủ quy định chống thư rác của chính phủ).
Ví dụ về một bức thư điện tử “tốt”: Gọn nhẹ và tham chiếu tới giao dịch cụ thể
Mặc dù nhiều doanh nghiệp mắc lỗi như Hilton, nhưng vẫn có những công ty biết cách thực hành đảm bảo an toàn thông tin khi gửi thư điện tử cho khách hàng. Chẳng hạn, bức thư sau của Vanguard Voyager Services có nhiều ưu điểm:
Họ đưa vào nội dung thư tham chiếu tới một ngày giao dịch gần nhất – điều khách hàng có thể nhớ và qua đó xác nhận độ tin cậy của bức thư. Ngoài ra, thay vì sử dụng những liên kết sâu, bức thư mời người nhận truy cập trang web của nhà cung cấp và hướng dẫn cách tìm đến màn hình thích hợp.
Tuy nhiên, bức thư vẫn sử dụng liên kết sử dụng giao thức HTTP chứ không phải HTTPS. Một số người có thể cho rằng loại bỏ hoàn toàn liên kết và để người dùng tự truy cập trang web của nhà cung cấp sẽ an toàn hơn. Dù vậy, việc để khách hàng tự tìm kiếm cũng đem đến những rủi ro.
Những ví dụ xác thực hơn về mặt an toàn thông tin
Bức thư dưới đây của PayPal thậm chí còn tốt hơn nữa trên khía cạnh an ninh:
Bức thư này không chứa đường dẫn nào để người dùng xem các giao dịch chi tiết. Thay vào đó, người nhận được hướng dẫn đăng nhập vào PayPal để xem thông tin. Bức thư cũng chứa thông tin chi tiết liên quan đến giao dịch để khách hàng có thể nhận ra. Hơn thế nữa, PayPal dùng giao thức DMARC để xác thực máy chủ gửi thư, cho phép các ứng dụng thư điện tử phổ biến như Gmail xác nhận nguồn gốc của các bức thư (hình dưới đây cho thấy cách nhận diện thư được gửi từ những máy chủ đã được xác thực).
Một ví dụ khác về những thông điệp gọn nhẹ và xác thực là bức thư của Chase Card Services. Thư này cũng được xác thực, không chứa những liên kết sâu, sử dụng HTTPS và tham chiếu tới một giao dịch gần đây để giúp khách hàng nhận biết dễ dàng.
Từ góc độ an toàn thông tin, một thư điện tử gửi khách hàng cần có những đặc tính sau:
Để cân bằng giữa an toàn, an ninh thông tin và sự tiện lợi, các tổ chức, doanh nghiệp nên đánh giá rủi ro của chính mình cũng như khách hàng khi xác định những yếu tố cần thiết khi soạn thư cho khách. Cách tiếp cận tốt hơn là sử dụng những bức thư tối giản, với mức an toàn cao nhất và giảm dần một số thuộc tính an ninh sau khi tiếp nhận phản hồi của khách hàng. Tuy nhiên, không được cắt giảm quá mức để vẫn đảm bảo an toàn cho khách – ngay cả khi họ không ý thức được điều đó.
tổng hợp
14:00 | 22/09/2017
08:40 | 22/01/2016
09:00 | 14/10/2019
14:00 | 04/06/2020
08:04 | 21/07/2017
08:00 | 07/09/2018
16:00 | 02/04/2024
Trong quý I/2024, thông qua hệ thống giám sát an toàn thông tin, Trung tâm Công nghệ thông tin và Giám sát An ninh mạng (Ban Cơ yếu Chính phủ) đã phân tích phát hiện tổng số 32.265 nguy cơ tấn công mạng nhắm vào các mạng công nghệ thông tin trọng yếu, tăng 18,7% so với cùng kỳ năm 2023.
09:00 | 06/03/2024
Khoảng 22h20' ngày 5/3 (giờ Việt Nam), nhiều người dùng mạng xã hội của Facebook tại Việt Nam đã không thể truy cập được vào tài khoản của mình.
10:00 | 01/03/2024
Trong tháng 3 này, các đoàn thể của Tạp chí An toàn thông tin sẽ đồng hành cùng Đội sinh viên làm Công tác xã hội (Đội SVLCTXH) trường Đại học Khoa học Xã hội và Nhân văn - ĐHQG Hà Nội tổ chức Chiến dịch Đông ấm 2023 - Xuân tình nguyện 2024 “Khơi nguồn yêu thương” nhằm xây dựng giếng nước giúp đỡ 117 em học sinh tại điểm Trường Mầm non Phú Xuân, xã Phú Xuân, huyện Quan Hóa, tỉnh Thanh Hóa.
10:00 | 31/01/2024
Những kẻ tấn công đang sử dụng các video quảng cáo trên YouTube có nội dung liên quan đến phần mềm bẻ khóa để dụ dỗ người dùng tải xuống phần mềm độc hại đánh cắp thông tin có tên là Lumma Stealer.
Chiều 17/4, tại Hà Nội diễn ra Lễ công bố quyết định và trao tặng Bằng khen của Viện trưởng Viện Kiểm sát nhân dân tối cao đối với tập thể, cá nhân Cục Cơ yếu Đảng - Chính quyền (Ban Cơ yếu Chính phủ), vì đã có thành tích xuất sắc trong việc xây dựng Quy chế phối hợp giữa Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ.
16:00 | 19/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Theo báo cáo của Financial Times, Google đang phát triển các tính năng nâng cao hỗ trợ bởi trí tuệ nhân tạo (AI) trong dịch vụ tìm kiếm của hãng. Tuy nhiên, để trải nghiệm tính năng này, người dùng sẽ phải trả thêm một khoản phí.
09:00 | 19/04/2024