Ngày nay, thư thông thường gửi qua bưu điện ít được sử dụng. Hầu hết các thư hỗ trợ khách hàng, quảng bá sản phẩm,… đều có thể gửi qua mạng với chi phí thấp và độ thuận tiện cao. Tuy nhiên, người dùng không dưới một lần đã từng không nhận được thư điện tử của đối tác vì chức năng lọc thư rác. Sau nhiều vụ việc lừa đảo xuất hiện trên báo, ngay cả những người dùng chưa từng được đào tạo về nâng cao nhận thức an toàn thông tin cũng sẽ trở nên cảnh giác. Nhưng có lẽ chưa nhiều đơn vị quan tâm đến khả năng thông điệp của mình gửi khách hàng bị nhầm với thể loại thư lừa đảo để tìm cách hướng dẫn những nhân viên chịu trách nhiệm giao tiếp với khách hàng qua thư điện tử. Bức thư dưới đây có những đặc trưng của một thông điệp lừa đảo, dù nó là một bức thư nghiêm túc của Hilton gửi cho khách hàng.
Giống như các bức thư trao đổi thông tin khác, thông điệp của Hilton đề nghị người nhận nhấn vào liên kết để cập nhật thông tin tài khoản. Hơn thế, liên kết sử dụng giao thức HTTP thay vì HTTPS – điều có thể khiến người dùng bị lộ thông tin cho kẻ xấu. Có lẽ, để giúp khẳng định tính hợp lệ của bức thư nên người soạn đã đưa vào đó những thông tin chi tiết như tên người nhận, cấp độ thành viên Hilton HHonors và điểm số của khách hàng thân thiết. Tuy nhiên, tên riêng không phải là thông tin bí mật, cấp độ thành viên có thể bị đoán ra với xác suất cao và người dùng thường không thể nhớ được điểm số khách hàng thân thiết của mình. Kết quả rất rõ ràng: thông điệp của Hilton trông giống thư lừa đảo đến mức đội hỗ trợ của họ cũng khuyến cáo khách hàng không nên tin vào nó:
Dưới đây là một bức thư khác từ chương trình SkyBonus của Delta Airlines, cũng rất giống thư lừa đảo. Thư này có tên của người nhận và mã tham gia chương trình SkyBonus ID, có lẽ là để giúp khách hàng xác nhận và tin tưởng. Tuy nhiên, tên riêng thường được biết đến một cách rộng rãi trong khi người dùng hiếm khi nhớ được mã số khách hàng của họ. Ngoài ra, liên kết “View Account” cũng sử dụng HTTP mà không phải HTTPS. Điểm cộng của bức thư này là người soạn đã đưa vào đó hướng dẫn truy cập thông tin tài khoản bên cạnh liên kết để khách hàng nhấn vào. Người dùng thông thường sẽ không nhấn phím phải chuột vào liên kết để kiểm tra tên miền hay truy cập liên kết từ máy ảo và kiểm tra chứng thực SSL.
Khi để khách hàng nhận được những bức thư giống hệt thư lừa đảo, doanh nghiệp sẽ chịu thiệt hại kép. Nếu khách hàng không bỏ qua thông điệp, dịch vụ hỗ trợ khách hàng bị vô hiệu khiến khách hàng phàn nàn hoặc phải chịu rủi ro, doanh nghiệp mất đi cơ hội kinh doanh nếu là thư quảng bá sản phẩm dịch vụ. Nếu khách hàng vẫn mở thư bình thường, họ sẽ dễ dàng bị đánh lừa bởi những bức thư lừa đảo và những nỗ lực nâng cao nhận thức về an toàn thông tin của doanh nghiệp sẽ bị lãng phí. Vì thế, mọi nhân viên chịu trách nhiệm giao tiếp với khách hàng của doanh nghiệp cần được đào tạo và hướng dẫn chi tiết cách gửi thư “đúng chuẩn” (chứ không chỉ dừng lại ở mức chèn thêm chữ [QC] vào trước các thông điệp quảng bá để đảm bảo tuân thủ quy định chống thư rác của chính phủ).
Ví dụ về một bức thư điện tử “tốt”: Gọn nhẹ và tham chiếu tới giao dịch cụ thể
Mặc dù nhiều doanh nghiệp mắc lỗi như Hilton, nhưng vẫn có những công ty biết cách thực hành đảm bảo an toàn thông tin khi gửi thư điện tử cho khách hàng. Chẳng hạn, bức thư sau của Vanguard Voyager Services có nhiều ưu điểm:
Họ đưa vào nội dung thư tham chiếu tới một ngày giao dịch gần nhất – điều khách hàng có thể nhớ và qua đó xác nhận độ tin cậy của bức thư. Ngoài ra, thay vì sử dụng những liên kết sâu, bức thư mời người nhận truy cập trang web của nhà cung cấp và hướng dẫn cách tìm đến màn hình thích hợp.
Tuy nhiên, bức thư vẫn sử dụng liên kết sử dụng giao thức HTTP chứ không phải HTTPS. Một số người có thể cho rằng loại bỏ hoàn toàn liên kết và để người dùng tự truy cập trang web của nhà cung cấp sẽ an toàn hơn. Dù vậy, việc để khách hàng tự tìm kiếm cũng đem đến những rủi ro.
Những ví dụ xác thực hơn về mặt an toàn thông tin
Bức thư dưới đây của PayPal thậm chí còn tốt hơn nữa trên khía cạnh an ninh:
Bức thư này không chứa đường dẫn nào để người dùng xem các giao dịch chi tiết. Thay vào đó, người nhận được hướng dẫn đăng nhập vào PayPal để xem thông tin. Bức thư cũng chứa thông tin chi tiết liên quan đến giao dịch để khách hàng có thể nhận ra. Hơn thế nữa, PayPal dùng giao thức DMARC để xác thực máy chủ gửi thư, cho phép các ứng dụng thư điện tử phổ biến như Gmail xác nhận nguồn gốc của các bức thư (hình dưới đây cho thấy cách nhận diện thư được gửi từ những máy chủ đã được xác thực).
Một ví dụ khác về những thông điệp gọn nhẹ và xác thực là bức thư của Chase Card Services. Thư này cũng được xác thực, không chứa những liên kết sâu, sử dụng HTTPS và tham chiếu tới một giao dịch gần đây để giúp khách hàng nhận biết dễ dàng.
Từ góc độ an toàn thông tin, một thư điện tử gửi khách hàng cần có những đặc tính sau:
Để cân bằng giữa an toàn, an ninh thông tin và sự tiện lợi, các tổ chức, doanh nghiệp nên đánh giá rủi ro của chính mình cũng như khách hàng khi xác định những yếu tố cần thiết khi soạn thư cho khách. Cách tiếp cận tốt hơn là sử dụng những bức thư tối giản, với mức an toàn cao nhất và giảm dần một số thuộc tính an ninh sau khi tiếp nhận phản hồi của khách hàng. Tuy nhiên, không được cắt giảm quá mức để vẫn đảm bảo an toàn cho khách – ngay cả khi họ không ý thức được điều đó.
tổng hợp
14:00 | 22/09/2017
08:40 | 22/01/2016
09:00 | 14/10/2019
14:00 | 04/06/2020
08:04 | 21/07/2017
08:00 | 07/09/2018
10:00 | 24/04/2024
Bên cạnh những số liệu khủng về giải thưởng, lỗ hổng được phát hiện, vẫn có những ý kiến trái chiều về hiệu quả thực sự mà Bug Bounty đem lại trong lĩnh vực an toàn thông tin. Tọa đàm “Bug Bounty nguồn lực cộng đồng: lợi ích về bảo mật và tổn thất tiềm tàng” dự kiến sẽ được Tạp chí An toàn thông tin tổ chức vào ngày 26/4 sẽ giúp quý vị độc giả có thể hiểu rõ hơn về vấn đề này.
08:00 | 22/03/2024
Năm 2024 đánh dấu chặng đường 18 năm xây dựng và phát triển của Tạp chí An toàn thông tin (17/3/2006-17/3/2023). Trong suốt 18 năm qua, Tạp chí đã có những bước phát triển vượt bậc, đáp ứng yêu cầu nhiệm vụ chính trị của đất nước và của ngành Cơ yếu Việt Nam, đặc biệt là yêu cầu về chuyên nghiệp, hiện đại hóa cơ quan báo chí của Chính phủ và của Quân đội. Tạp chí đã cung cấp nội dung thông tin phong phú, chuyên sâu và rộng khắp trong lĩnh vưc bảo mật, an toàn thông tin (ATTT) và Cơ yếu với hình thức thể hiện đa dạng, phù hơp với sự thay đổi của công nghệ truyền thông cũng như sự thay đổi của nhu cầu bạn đọc.
12:00 | 01/02/2024
Tình báo Ukraine tuyên bố đã thực hiện thành công một cuộc tấn công mạng nhằm đánh sập máy chủ của Bộ Quốc phòng Nga.
15:00 | 26/01/2024
Microsoft cho biết, nhóm tin tặc nước Nga có tên là Midnight Blizzard (hay còn biết đến dưới tên APT29, Cozy Bear) đã đột nhập hệ thống vào ngày 12/1 và đánh cắp một số email, tài liệu từ tài khoản nhân viên.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024