Bảo vệ thiết bị và tài khoản online của bạn - Phần 2

Chào bạn đến với bài viết thứ 2 trong series Bảo vệ thiết bị và tài khoản online của bạn. Xem thêm: Bảo vệ thiết bị và tài khoản online của bạn - Phần 1

Nếu như phần 1 tập trung vào mật khẩu và các phần mềm quản lý mật khẩu, phần 2 mình chia sẻ về các yếu tố khác mà người dùng cần quan tâm trên không gian mạng.

1. Phát hiện những password đã bị đánh cắp

Dù cho password của bạn đủ mạnh, nó cũng có thể bị đánh cắp. Chính vì vậy, bạn cần kiểm tra xem các password của bạn đã bị đánh cắp bới các hacker chưa. Bạn có thể sử dụng website Have I Been Pwned hỗ trợ theo dõi các website đã bị hack mà tài khoản của bạn bị ảnh hưởng và sẽ cảnh báo bạn khi có thông báo xuất hiện. Chỉ với một click chuột, bạn có thể biết liệu có tài khoản nào của bạn đã bị xâm nhập hay không.

Bạn nên thường xuyên làm việc để kiểm tra này để bảo vệ an toàn cho tài khoản của bạn. Nếu bạn đăng ký với website Have I Been Pwned, bạn sẽ nhận được thông báo mỗi khi hệ thống website này phát hiện email của bạn nằm trong danh sách các file chứa thông tin tài khoản bị đánh cắp.

Bằng cách này, bạn sẽ biết chính xác những password nào của mình đã bị đánh cắp trong các sự cố đó, dựa vào thông tin dịch vụ hay website đã bị hacker xâm nhập. Nếu Have I Been Pwned tìm thấy email của bạn nằm trong các file bị đánh cắp, bạn nên thay đổi ngay password tương ứng của bạn. Nếu bạn làm được việc này, mối hiểm họa lớn nhất, một hacker đăng nhập sử dụng password của bạn đã được giảm đi đáng kể.

2. Kiểm tra khi truy cập website bất kỳ

Biểu tượng ổ khóa trên thanh địa chỉ của trình duyệt cho bạn biết bạn đang sử dụng một kết nối được mã hóa. Điều đó có nghĩa rằng thông tin mà bạn gửi vào website như password của bạn, thông tin credit card, được gửi đi theo một phương thức an toàn mà hacker sẽ không dễ dàng đọc trộm/nghe lén trên đường truyền được.

Hãy đảm bảo rằng bạn chỉ gửi thông tin nhạy cảm trên các website mà có hiện ra biểu tượng ổ khóa này trên thanh địa chỉ của trình duyệt web. Nếu địa chỉ một website bắt đầu với https://, điều đó có nghĩa là website này tương đối an toàn.

Cùng cần lưu ý rằng có biểu tượng ổ khóa, không có nghĩa là bạn có thể hoàn toàn tin tưởng được website đó. Một số website lừa đảo tinh vi cũng sử dụng biểu tượng ổ khóa này để gia tăng sự tin tưởng của bạn. Hãy chú ý đặc biệt vào địa chỉ website và kiểm tra rằng địa chỉ đó có chính xác hay không.

Ví dụ:

Địa chỉ chính xác: https://www.facebook.com/ (facebook.com là tên miền chính)
Địa chỉ sai: https://www.facebook.tech/ (.tech không phải phần mở rộng tên miền đúng)
Địa chỉ sai: https://facebook.login.net/ (login.net là tên miền chính ở đây)
Địa chỉ sai: https://www.faceb00k.com/ (hai chữ o đã được thay thế bằng hai số 0)

3. Cẩn thận với những URL và file lạ mà bạn nhận được

Bạn không nên click vào bất cứ link nào bạn nhận được, ngay cả khi link đó được gửi đến từ bạn bè hay đồng nghiệp của bạn. Đây là một lời khuyên tốt cho bất kỳ tình huống nào bạn có thể gặp; cho dù đó là một link nhận được trong email, qua mạng xã hội, truyền thông hay trong một tin nhắn. Một smartphone có thể bị hack khi bạn sai lầm click vào một link chứa mã độc.

Dù vậy, bạn cũng không cần quá sợ hãi trước tất cả các link bạn nhận được. Nếu như bạn không tin tưởng link đó, hãy kiểm tra link đó trước tiên bằng các phương pháp được miêu tả ở trên.

Hãy luôn cẩn trọng với file đính kèm trong các email. Virus và mã độc thường được phát tán qua phương thức này, có thể cho phép các hacker truy cập và điều khiển thiết bị của bạn. Họ làm việc này bằng cách ẩn giấu mã độc trong một file dường như là sạch, ví dụ như một file Word.

Các hacker cũng ẩn giấu mã độc trong các dạng file Excel, PDF, ZIP và các file thực thi được (EXE, PIF,...). Phương án tốt nhất là không mở các file Word, Excel hay các file văn bản khác trên máy tính của bạn. Bạn hãy mở các file trên bằng website Google Docs. Như vậy, nếu có mã độc ẩn chứa trong các file này, máy tính của bạn sẽ không bị lây nhiễm mã độc. Ngoài ra, với các file PDF, tốt nhất bạn nên mở chúng trong trình duyệt Internet với ứng dụng mở rộng trình duyệt PDF Viewer.

Nếu bạn không tin tưởng một file mà bạn không thể xác thực được, bạn có thể tải nó về máy tính của bạn, nhưng đừng mở file đó! Sau khi tải file về, bạn có thể upload file đó lên VirusTotal. VirusTotal là một website cho phép scan các file với nhiều antivirus engine khác nhau và cho bạn biết file đó có thể chứa mã độc hay không. Chú ý là Google và VirusTotal có thể truy cập được file của bạn sau khi bạn upload file đấy lên VirusTotal.

Một khuyến nghị khác là bạn nên tắt đi lựa chọn ấn phần mở rộng cho biết định dạng file (file extension) đối với hệ điều hành Windows và Mac OS X. Việc này cho phép bạn thấy ngay được phần mở rộng của file như .dox hay .pdf.

4. Cảnh báo lừa đảo qua email

Các tấn công dựa trên lừa đảo kỹ thuật số thường khá dễ để nhận biết. Lấy ví dụ một email giả như được gửi từ Bank of America, email này bảo rằng debit card đã bị khóa, mặc dù bạn không hề có một tài khoản đối với Bank of America. Hãy sử dụng suy nghĩ logic để bảo vệ bạn trên không gian mạng.

Nhưng các email lừa đảo cũng có thể trông rất thật. Vì vậy, việc kiểm tra địa chỉ email của người gửi luôn là một việc cần thiết. Nếu người gửi sử dụng @bankofamerica.bankmailservice.com, bạn sẽ biết rằng email này không thực sự được gửi bởi Bank of America. Nếu là email hợp lệ, ít nhất địa chỉ email đó nên có địa chỉ @bankofamerica.com.

Chú ý vào việc sử dụng ngôn ngữ lạ hoặc không chuẩn xác. Nhiều email lừa đảo chưa các lỗi văn phạm hay lỗi chính tả và chúng có bắt đầu thư một cách chung chung như Chào anh/chị. Hầu hết các tổ chức biết chúng ta là ai và sẽ gọi bạn bằng tên chính xác của bạn.

Thông thường, các email lừa đảo sẽ cố gắng làm cho bạn hoảng sợ. Ví dụ như có thể thông báo rằng tài khoản ngân hàng của bạn đã bị khóa hoặc là bạn có dư nợ chưa thanh toán cần được trả cho ngân hàng.

Chúng cũng có thể bảo rằng bạn đã trúng thưởng một món gì đó. Nếu như bạn không chắc chắn về nội dung của email, hãy gọi điện đến số điện thoại chính thức (lấy từ một nguồn khác) của tổ chức được giả định đã gửi email đến cho bạn. Tuyệt đối không sử dụng số điện thoại được cung cấp trong email mà hãy tìm kiếm trên website chính thức của tổ chức đó!

Trước khi click vào link trong một email, hãy luôn luôn kiểm tra tính xác thực của link đó. Bạn có thể thực hiện bằng cách đặt trỏ chuột lên trên link đó mà không click vào nó. Khi đó trang web mà link sẽ đưa bạn đến sẽ hiển thị trên màn hình. Bạn sẽ có thể biết được đó có phải là link hợp lệ hay lừa đảo. Trên một thiết bị di động, bạn có thể nhấn và giữ trên link để copy link đó ra. Sau đó tạo một email và paste (dán) link đó vào body (phần nội dung) của email để đọc được toàn bộ địa chỉ web mà link đó dẫn tới.

Nếu bạn không tin tưởng một email hay các link trong email đó, hãy sử dụng trình duyệt web để vào website chính thức của tổ chức mà email thể hiện được gửi tới từ tổ chức đó, nếu bạn có tài khoản ở tổ chức đó thì hãy đăng nhập thử để kiểm tra bạn có nhận được tin nhắn, hóa đơn hay thông báo nào gần đây từ tổ chức đó hay không. Bạn cũng có thể gọi điện thoại đến tổ chức đó để hỏi email mà bạn nhận được có phải được gửi từ tổ chức đó hay không.

Một nguyên tắc quan trọng để thực hiện trên không gian mạng: Nếu một việc nào đó quá tốt để là sự thật, thì bạn nên cần suy xét cẩn thận về việc đó.

Nếu bạn có một tài khoản Google, plugin Password Alert cho trình duyệt của bạn có thể giúp ích cho bạn. Password Alert sẽ cảnh báo bạn khi password Google của bạn được gõ vào một trang web login giả mạo. Cài đặt plugin chính thức của Google này có thể là 1 cứu cánh, khi mà tài khoản Google và Gmail trở nên quan trọng với rất nhiều người.

5. Thận trọng với WiFi công cộng

Những mạng WiFi công cộng, ví dụ mạng WiFi Starbucks, không an toàn. Các hacker có thể theo dõi thói quen truy cập của bạn và đánh cắp thông tin đăng nhập của bạn. Hãy sử dụng kết nối 4G để thay thế, hoặc tạo một Wi-Fi hotspot được bảo vệ với password trên điện thoại di động của bạn. Một Wi-Fi hotspot (Android, iPhone) cho phép laptop của bạn kết nối Internet thông qua kết nối 4G của smartphone của bạn.

Nếu bạn thực sự cần sử dụng các mạng WiFi công cộng, hãy đảm bảo rằng bạn chỉ đăng nhập các website có hiển thị ổ khóa trên trình duyệt web. Các website có hiển thị ổ khóa trên trình duyệt mã hóa thông tin được gửi đi trên kết nối từ trình duyệt đến website, sẽ giảm khả năng truy cập bởi các hacker. Lời khuyên này cũng đúng với các mạng WiFi của các nhà hàng và khách sạn. Mặc dù các mạng WiFi này được bảo vệ với password, chúng cũng được sử dụng bởi rất nhiều người.

Hãy chú ý đến các màn hình thông báo chào mừng khi kết nối đến các mạng wifi công cộng. Những trang hiển thị này có thể yêu cầu bạn cài đặt một ứng dụng, certificate hoặc một phần mềm nào đó. Kết nối đến Internet không đòi hỏi/yêu cầu bạn làm những việc này, vì vậy đó có thể là dấu hiệu của các hacker cố gắng truy cập đến smartphone hay laptop của bạn. Nếu bạn có các nghi ngờ, hãy hỏi nhà cung cấp mạng yêu cầu đó có chính thống hay không.

Cuối cùng, một việc quan trọng nữa là hãy nhớ rằng mạng wifi được bảo vệ với password không nhất thiết an toàn. Những mạng wifi này cũng có thể nằm dưới sự kiểm soát của các hacker.

6. Khóa các thiết bị khi không sử dụng

Lời khuyên này tuy có vẻ hiển nhiên, nhưng rất nhiều người để laptop của họ mở khi rời khỏi vị trí. Bên cạnh rủi ro tài sản, dữ liệu của bạn bị đánh cắp, một người bất kỳ có thể sử dụng máy tính của bạn với ý đồ xấu trong lúc bạn không có mặt, đặc biệt là khi laptop của bạn không được đóng và khóa lại.

Luôn luôn thiết lập laptop của bạn tự động khóa sau một khoảng thời gian thật ngắn (1 phút). Thiết bị của bạn sẽ tự động khóa nếu như bạn phải rời nó trong chốc lát. Dù vậy đây không phải là biện pháp an toàn tuyệt đối. Hãy luôn luôn cố gắng mang theo laptop của bạn đi cùng bạn nếu bạn rời chỗ ngồi hay vị trí của bạn. Ngay cả khi đó là bạn chỉ rời đi trong khoảng thời gian ngắn.

7. Sử dụng VPN

Chúng tôi cũng đặc biệt khuyến nghị bạn sử dụng VPN (kết nối mạng riêng ảo) ngay khi bạn kết nối vào một mạng máy tính (mạng WiFi công cộng, 3G, 4G,...). Một VPN sẽ tạo một digital tunnel (đường hầm kỹ thuật số) cho các truy cập mạng của bạn. Bằng cách này, những người khác trong cùng mạng không thể thấy được những việc bạn làm trên Internet qua kết nối này, bảo vệ bạn trước các hacker.

Hầu hết chúng ta đã từng nghe đến các VPN để truy cập Netflix. Một VPN cho phép ta đánh lừa thế giới Internet rằng bạn đang ở một quốc gia khác. Bằng cách kết nối đến các server VPN ở Mỹ, những người dùng VPN được truy cập đến phiên bản Netflix được cung cấp cho người dùng ở Mỹ chẳng hạn.

Một VPN cũng rất hữu dụng nếu bạn không muốn nhà cung cấp dịch vụ mạng Internet của bạn biết được bạn đang làm gì online. Bạn có thể giữ kết nối VPN chạy liên tục để thực hiện việc này. Một thay đổi nhỏ là tốc độ Internet của bạn sẽ giảm đi một ít.

Trong những dịch VPN tốt và tiện lợi nhất có Freedome, iVPN và NordVPN, chỉ tốn tương ứng 3, 5, 7 USD mỗi tháng. AirVPN và Mullvad nhắm đến những người dùng nhiều kinh nghiệm.

Đừng bao giờ sử dụng một dịch vụ VPN miễn phí. Những dịch vụ này nổi tiếng với việc bán thông tin cá nhân của bạn, như những website mà bạn truy cập. Nếu bạn thiếu tiền, bạn có thể tạo một tài khoản miễn phí ở 2 trang TunnelBear và WindScribe. Những dịch vụ này cung cấp cho bạn 500 megabyte hoặc 10 gigabyte lưu lượng truy cập mạng mỗi tháng. Lưu lượng truy cập này cũng đã đủ cho một vài trường hợp mà bạn thật sự cần dùng ở các mạng wifi công cộng.

Mong rằng những chia sẻ bên trên sẽ giúp bạn có thêm kiến thức để bảo vệ thiết bị, tài khoản online hay chính thông tin cá nhân của bạn trên không gian mạng.