Nhóm câu 2: Bài tập tình huống

1. Cho các tình huống sau:

Những kẻ tấn công đằng sau phần mềm độc hại SolarMarker đang sử dụng các tài liệu
PDF chứa các từ khóa tối ưu hóa công cụ tìm kiếm (SEO) để tăng khả năng hiển thị của
chúng trên các công cụ tìm kiếm, nhằm đưa các nạn nhân tiềm năng đến phần mềm độc
hại trên một trang web độc hại giả mạo Google Drive.

Các trang web mà nhiều người dùng đã tải tài liệu xuống thường được xếp thứ hạng cao
trong kết quả tìm kiếm. Những kẻ tấn công hiện đang lưu trữ các trang trên Google Sites
để làm mồi nhử cho các tệp tải xuống độc hại. Các nhà nghiên cứu của Microsoft phát
hiện những kẻ tấn công đã bắt đầu sử dụng Amazon Web Services (AWS) và dịch vụ của
Strikingly cũng như Google Sites.

"Khi được mở, tệp PDF sẽ nhắc người dùng tải xuống tệp .doc hoặc phiên bản .pdf của
thông tin mà họ muốn. Người dùng sẽ nhấp vào liên kết được chuyển hướng qua 5 đến 7
trang web có TLD như .site, .tk và .ga". Sau nhiều lần chuyển hướng, người dùng sẽ bị
dẫn đến một trang web do kẻ tấn công kiểm soát, trang này bắt chước Google Drive và
được yêu cầu tải xuống tệp tài liệu. Trong đó thường chứa phần mềm độc hại
SolarMarker".

(Theo http://antoanthongtin.vn)

- Hãy xác định và giải thích các nguy cơ mà người dùng gặp phải trong tình huống này

- Hãy đưa ra các giải pháp nhằm đảm bảo an toàn cho người dùng trong tình huống này
và giải thích.

Giải:

Nguy Cơ Giải Thích Nguy Cơ

Khi người dùng tải và mở tệp PDF hoặc tệp .doc từ các liên kết độc hại,
Tải xuống
họ có thể không biết đã cài đặt phần mềm độc hại SolarMarker. Phần
Phần mềm
mềm này có thể ăn cắp thông tin cá nhân, thông tin đăng nhập, hoặc
Độc Hại
triển khai thêm phần mềm độc hại khác.

Các trang web giả mạo như trang giả mạo Google Drive thường được
Các web lừa
thiết kế để lừa người dùng tin vào tính xác thực của chúng, dẫn đến
đảo và giả
việc người dùng cung cấp thông tin nhạy cảm như mật khẩu hoặc thông
mạo
tin tài chính.
Chuyển Quá trình chuyển hướng qua nhiều trang web khác nhau có thể làm
hướng Độc tăng khả năng tiếp xúc với các nguy cơ bảo mật khác, bao gồm quảng
Hại cáo lừa đảo và phần mềm độc hại, làm tăng nguy cơ bị tấn công mạng.

Do việc sử dụng SEO trong tài liệu PDF, người dùng khó phân biệt
Khó Nhận
giữa tài liệu hợp pháp và độc hại, làm tăng nguy cơ tải xuống phần
Biết
mềm độc hại.

Việc sử dụng các dịch vụ web phổ biến như Google Sites, AWS và
Sử Dụng
Strikingly để phân phối phần mềm độc hại làm cho các cuộc tấn công
Dịch Vụ Web
khó bị phát hiện hơn, vì chúng hòa mình vào lưu lượng truy cập web
Phổ Biến
thông thường.

Giải pháp:

Nguy Cơ Giải Pháp

Sử dụng phần mềm diệt virus và bảo mật internet uy tín để quét và
Tải xuống Phần
phát hiện phần mềm độc hại. Luôn cập nhật các phần mềm này để
mềm Độc Hại
đối phó với các mối đe dọa mới nhất.

Kiểm tra kỹ lưỡng URL của trang web và tìm kiếm dấu hiệu của sự
Lừa Đảo và Giả
giả mạo, như chứng chỉ bảo mật không hợp lệ hoặc thiết kế trang
Mạo
web không chính xác.

Sử dụng tiện ích mở rộng trình duyệt hoặc công cụ bảo mật để chặn
Chuyển hướng
chuyển hướng tự động không mong muốn và cảnh báo về các trang
Độc Hại
web độc hại.

Tăng cường nhận thức và giáo dục về an ninh mạng để người dùng
Khó Nhận Biết có thể nhận biết và tránh xa các tài liệu nghi ngờ hoặc không rõ
nguồn gốc.

Sử Dụng Dịch Hạn chế truy cập vào các trang web không được xác minh qua các
Vụ Web Phổ tiện ích mở rộng bảo mật hoặc cài đặt bảo mật mạng nghiêm ngặt tại
Biến nơi làm việc và tại nhà.

2. Cho tình huống sau:

Happy Blog - một trang web đen được duy trì bởi những tên tội phạm mạng đứng sau các
mã độc tống tiền được biết đến với cái tên REvil, Sodin và Sodinokibi đã bắt đầu quá
trình đấu giá trực tuyến vào đầu tháng 6/2020.

Tính đến ngày 3/6/2020, Happy Blog đã quảng cáo đấu giá dữ liệu từ hai công ty, trong
đó, một nạn nhân được mô tả như là một nhà phân phối thực phẩm. Cuộc đấu giá hứa hẹn
sẽ tung ra hơn 10.000 tệp chứa các phân tích dòng tiền bí mật, dữ liệu nhà phân phối, nội
dung bảo hiểm kinh doanh, thông tin nhà cung cấp và hình ảnh quét giấy phép lái xe của
những người trong mạng lưới phân phối của công ty. Cuộc đấu giá thứ hai hứa hẹn sẽ
tung ra các tài liệu và tài khoản kế toán, cùng với rất nhiều thông tin quan trọng có giá trị
đối với các đối thủ hoặc các bên quan tâm. Các nhà đấu giá nói rằng nó đến từ một công
ty sản xuất cây trồng nông nghiệp Canada. Một trang đi kèm với vụ đấu giá dữ liệu của
công ty bao gồm email của nhân viên, các bản ghi nhớ ghi lại những cuộc gọi bí mật, bản
kê khai tài sản cá nhân của nhân viên và các tài liệu khác. Cuộc đấu giá tuyên bố bao
gồm hơn 22.000 tệp ở định dạng PDF, DOCX và XLSX. Ưu đãi tối thiểu là 50.000 USD
và giá Blitz là 100.000 USD. Phí trong cả hai phiên đấu giá được thanh toán bằng loại
tiền kỹ thuật số Monero.

- Hãy xác định và giải thích các nguy cơ mà người dùng gặp phải trong tình huống này
(Lập bảng nguy cơ và giải thích)

- Hãy đưa ra các giải pháp nhằm đảm bảo an toàn cho người dùng trong tình huống này
và giải thích (lập bảng nguy cơ và giải pháp)

Giải:

Nguy Cơ Giải Thích Nguy Cơ

Rò rỉ dữ liệu như phân tích dòng tiền, thông tin nhà cung cấp, và
Rò rỉ Dữ Liệu Cá
hình ảnh giấy phép lái xe có thể dẫn đến việc mất cắp danh tính và
Nhân và Kinh
thông tin tài chính, cũng như làm tổn hại đến uy tín và hoạt động
Doanh
kinh doanh của công ty.

Dữ liệu bị đấu giá như tài liệu kế toán và thông tin quan trọng có
Mất Cắp Bí Mật
thể chứa bí mật thương mại, nếu rơi vào tay đối thủ hoặc bên quan
Thương Mại
tâm, có thể gây tổn thất lớn về mặt cạnh tranh kinh doanh.

Việc các tập tin dễ dàng bị đánh cắp và đưa lên đấu giá cho thấy có
An ninh Mạng
thể có các lỗ hổng an ninh mạng trong hệ thống thông tin của các
yếu kém
công ty nạn nhân.

Sử dụng Tiền Kỹ Việc thanh toán bằng tiền kỹ thuật số như Monero làm tăng tính ẩn
Thuật Số trong danh cho những kẻ tấn công, khiến việc truy quét và truy tố pháp lý
Tội Phạm trở nên khó khăn.
Bảng Giải Pháp và Giải Thích

Nguy Cơ Giải Pháp

Rò rỉ Dữ Liệu Cá Tăng cường bảo mật dữ liệu và mạng bằng cách sử dụng mã hóa,
Nhân và Kinh quản lý quyền truy cập, và thực hiện các biện pháp an ninh mạng
Doanh nghiêm ngặt.

Sử dụng các giải pháp bảo vệ thông tin và bí mật thương mại như
Mất Cắp Bí Mật
DLP (Data Loss Prevention) và IAM (Identity and Access
Thương Mại
Management) để kiểm soát và giám sát truy cập dữ liệu.

Đầu tư vào các hệ thống an ninh mạng chuyên nghiệp, bao gồm
An ninh Mạng
phần mềm chống virus, tường lửa, và các hệ thống phát hiện và
yếu kém
ngăn chặn xâm nhập.

Tăng cường hợp tác với các cơ quan pháp luật và tổ chức tài chính
Sử dụng Tiền Kỹ
để theo dõi và kiểm soát giao dịch tiền kỹ thuật số, nhằm phát hiện
Thuật Số trong
và ngăn chặn các hoạt động tài chính đáng ngờ liên quan đến tội
Tội Phạm
phạm mạng.

3. Cho các tình huống sau:

Theo VNCERT, hai phương pháp lây lan chủ yếu của mã độc Ransomware là:

- Gửi tệp tin nhiễm mã độc kèm theo thư điện tử, khi người sử dụng kích hoạt tệp tin đính
kèm thư điện tử sẽ làm lây nhiễm mã độc vào máy tính;

- Gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến phần mềm bị giả mạo bởi
mã độc Ransomware và đánh lừa người sử dụng truy cập vào đường dẫn này để vô ý tự
cài đặt mã độc lên máy tính. Ngoài ra, máy tính còn có thể bị nhiễm thông qua các con
đường khác như lây lan qua các thiết bị lưu trữ, lây qua cài đặt phần mềm, sao chép dữ
liệu, phần mềm...

Mã độc Ransomware sau khi lây nhiễm vào máy tính của người bị hại, sẽ dò quét các tệp
tin tài liệu có đuôi mở rộng như: .doc, .docx, .pdf, .xls, .xlsx, .jpg, .zip... trên tất cả các
thiết bị lưu trữ trên máy nạn nhân, tự động mã hóa và đổi tên các tệp tin đó bằng cách sử
dụng thuật toán mã hóa với khóa công khai, một số loại mã độc còn tiến hành khóa máy
tính nạn nhân không cho sử dụng. Sau đó, mã độc sẽ yêu cầu người bị hại thanh toán qua
mạng (thẻ tín dụng hoặc bitcoin) để lấy được khóa giải mã các tệp tin đã bị mã hóa trái
phép.

(Theo http://antoanthongtin.vn)
- Hãy xác định và giải thích các nguy cơ mà người dùng gặp phải trong tình huống này
(Lập bảng nguy cơ và giải thích)

- Hãy đưa ra các giải pháp nhằm đảm bảo an toàn cho người dùng trong tình huống này
và giải thích (lập bảng nguy cơ và giải pháp)

Giải

Bảng Nguy Cơ và Giải Thích

Nguy Cơ Giải Thích Nguy Cơ

Mất quyền Ransomware mã hóa các tệp quan trọng (như .doc, .pdf, .jpg) làm cho
truy cập vào người dùng không thể truy cập. Điều này gây trở ngại lớn cho công
dữ liệu việc và hoạt động cá nhân.

Mất dữ liệu Mã độc có thể xóa hoặc làm hỏng dữ liệu nếu người dùng không trả
cá nhân và tiền chuộc, dẫn đến mất mát thông tin quan trọng cá nhân hoặc thông
kinh doanh tin kinh doanh.

Việc trả tiền chuộc không đảm bảo việc lấy lại quyền truy cập vào dữ
Rủi ro tài liệu và còn có thể tiếp tục khuyến khích hành vi tống tiền. Ngoài ra,
chính việc thanh toán qua mạng còn tiềm ẩn nguy cơ mất an toàn thông tin tài
chính.

Lây lan mã Mã độc Ransomware có thể lây lan từ máy tính này sang máy tính khác
độc trong cùng mạng, gây ảnh hưởng đến nhiều người dùng khác.

Bảng Giải Pháp và Giải Thích

Nguy Cơ Giải Pháp

Thực hiện sao lưu dữ liệu thường xuyên trên các thiết bị lưu trữ
Mất quyền truy
ngoại vi hoặc dịch vụ lưu trữ đám mây. Điều này giúp phục hồi dữ
cập vào dữ liệu
liệu nếu máy tính bị mã độc tấn công.

Mất dữ liệu cá Sử dụng các giải pháp bảo mật thông tin và phần mềm diệt virus
nhân và kinh chuyên nghiệp, cập nhật thường xuyên để phát hiện và ngăn chặn
doanh các mối đe dọa từ mã độc.
 Tránh trả tiền chuộc cho hacker. Thay vào đó, hãy báo cáo vụ việc
Rủi ro tài chính cho cơ quan chức năng và tìm kiếm sự trợ giúp từ các chuyên gia an
ninh mạng.

Tăng cường bảo mật mạng bằng cách sử dụng tường lửa, thiết lập
Lây lan mã độc mật khẩu mạnh, và cập nhật phần mềm. Điều này giúp ngăn chặn sự
lây lan của mã độc trong mạng nội bộ.

4. Cho các tình huống sau:

Mới đây, LastPass - trình quản lý mật khẩu phổ biến với hơn 25 triệu người dùng đã bị
chỉ trích là bí mật thu thập dữ liệu của người dùng. Một báo cáo đã cho thấy rằng, ứng
dụng Android của LastPass, tích hợp 07 trình theo dõi quảng cáo và phân tích đã thu thập
dữ liệu của người dùng như loại thiết bị, phiên bản Android, người dùng có đang sử dụng
gói miễn phí hay không và liệu đã kích hoạt bảo vệ sinh trắc học hay chưa.

Nhà nghiên cứu người Đức Mike Kuketz là người đã phát hiện vấn đề này. Ông nhận
thấy rằng việc các ứng dụng xử lý dữ liệu nhạy cảm để tích hợp các mô-đun quảng cáo và
phân tích là hoàn toàn không thể chấp nhận được. Tóm lại, mã code bên ngoài, độc quyền
và không rõ ràng là không thể được tích hợp vào các ứng dụng xử lý dữ liệu nhạy cảm.
Đôi khi chính các nhà phát triển ứng dụng, những người tích hợp các mô-đun này vào
ứng dụng của họ thậm chí không biết những dữ liệu nào mà các mô-đun này thu thập và
truyền đến các nhà cung cấp bên thứ ba.

(Theo http://antoanthongtin.vn)

- Hãy xác định và giải thích các nguy cơ mà người dùng gặp phải trong tình huống này
(Lập bảng nguy cơ và giải thích)

- Hãy đưa ra các giải pháp nhằm đảm bảo an toàn cho người dùng trong tình huống này
và giải thích (lập bảng nguy cơ và giải pháp)

Giải

Bảng Nguy Cơ và Giải Thích

Nguy Cơ Giải Thích Nguy Cơ

Các trình theo dõi trong ứng dụng có thể thu thập dữ liệu cá nhân như
Rò rỉ Thông loại thiết bị, phiên bản hệ điều hành, đồng thời xác định liệu người
Tin Cá Nhân dùng có sử dụng gói miễn phí hay có bảo vệ sinh trắc học, có nguy cơ
dẫn đến rò rỉ thông tin cá nhân.
 Thiếu Minh Việc tích hợp các mô-đun quảng cáo và phân tích không rõ ràng có
Bạch trong Xử thể dẫn đến việc xử lý dữ liệu không minh bạch, khiến người dùng
Lý Dữ Liệu không biết dữ liệu của họ được sử dụng như thế nào.

Rủi Ro Bảo Dữ liệu thu thập được có thể được chia sẻ với các bên thứ ba, tăng
Mật từ Bên nguy cơ vi phạm bảo mật và lạm dụng thông tin cá nhân cho mục đích
Thứ Ba không mong muốn.

Bảng Giải Pháp và Giải Thích

Nguy Cơ Giải Pháp

Người dùng nên cân nhắc kỹ lưỡng trước khi cung cấp thông tin cá
Rò rỉ Thông
nhân cho ứng dụng. Đồng thời, kiểm tra cài đặt quyền riêng tư và bảo
Tin Cá Nhân
mật trên ứng dụng để hạn chế quyền truy cập dữ liệu không cần thiết.

Tìm kiếm và sử dụng các ứng dụng có chính sách bảo mật rõ ràng và
Thiếu Minh
minh bạch. Nếu có thể, hãy chọn các ứng dụng không tích hợp các
Bạch trong Xử
mô-đun quảng cáo hoặc phân tích, hoặc ít nhất là những ứng dụng cho
Lý Dữ Liệu
phép bạn tắt chúng.

Thực hiện các biện pháp bảo vệ thông tin cá nhân như sử dụng VPN,
Rủi Ro Bảo
cài đặt phần mềm chống malware và không sử dụng Wi-Fi công cộng
Mật từ Bên
để truy cập thông tin nhạy cảm. Cân nhắc việc sử dụng các dịch vụ
Thứ Ba
quản lý mật khẩu đáng tin cậy khác.

5. Bài tập mẫu

Theo VNCERT, hai phương pháp lây lan chủ yếu của mã độc Ransomware là:

- Gửi tệp tin nhiễm mã độc kèm theo thư điện tử, khi người sử dụng kích hoạt tệp tin đính
kèm thư điện tử sẽ làm lây nhiễm mã độc vào máy tính;

- Gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến phần mềm bị giả mạo bởi
mã độc Ransomware và đánh lừa người sử dụng truy cập vào đường dẫn này để vô ý tự
cài đặt mã độc lên máy tính. Ngoài ra, máy tính còn có thể bị nhiễm thông qua các con
đường khác như lây lan qua các thiết bị lưu trữ, lây qua cài đặt phần mềm, sao chép dữ
liệu, phần mềm... Mã độc Ransomware sau khi lây nhiễm vào máy tính của người bị hại,
sẽ dò quét các tệp tin tài liệu có đuôi mở rộng
như: .doc, .docx, .pdf, .xls, .xlsx, .jpg, .zip... trên tất cả các thiết bị lưu trữ trên máy nạn
nhân, tự động mã hóa và đổi tên các tệp tin đó bằng cách sử dụng thuật toán mã hóa với
khóa công khai, một số loại mã độc còn tiến hành khóa máy tính nạn nhân không cho sử
dụng. Sau đó, mã độc sẽ yêu cầu người bị hại thanh toán qua mạng (thẻ tín dụng hoặc
bitcoin) để lấy được khóa giải mã các tệp tin đã bị mã hóa trái phép.

(Theo http://antoanthongtin.vn)

- Hãy xác định và giải thích các nguy cơ mà người dùng gặp phải trong tình huống này

- Hãy đưa ra các giải pháp nhằm đảm bảo an toàn cho người dùng trong tình huống này
và giải thích

Giải:
Bài tập 3: RSA