1. Các loại phần mềm độc hại phổ biến có tính năng đánh cắp thông tin người dùng

a) Stealer: là một loại phần mềm độc hại (malware) được thiết kế để thu thập và đánh cắp thông tin từ các hệ thống bị lây nhiễm. Thông tin mà "Stealer" nhắm đến rất đa dạng tùy vào mục đích của kẻ tấn công, một số dòng "Stealer" còn được thiết kế riêng cho việc tấn công có chủ đích (APT) vào hệ thống thông tin quan trọng của các cơ quan chính phủ, hệ thống dịch vụ công quốc gia... Chúng hoạt động bằng cách xâm nhập vào hệ thống, thu thập dữ liệu và gửi thông tin về cho kẻ tấn công thông qua các máy chủ từ xa để ra lệnh và điều khiển hoạt động theo ý muốn.

b) Add-on: (một số trình duyệt còn gọi là "Extension") là phần mềm chạy trên trình duyệt web với mục đích cải thiện các chức năng sẵn có của trình duyệt hoặc thêm mới các tiện ích giúp cho việc duyệt web được tốt hơn. Thông thường, "add-on" được chia làm 02 loại, gồm loại có thể tải về từ kho ứng dụng (như Chrome Web Store), được bảo đảm về mức độ an toàn; loại còn lại được tải về từ các nguồn thứ ba không uy tín, khi cài đặt có nguy bị lây nhiễm mã độc và lấy cắp thông tin. Tuy nhiên, thời gian gần đây ghi nhận nhiều "add-on" tải về từ các kho ứng dụng đã bị các đối tượng cung cấp cố ý chèn mã độc hại vào để thực hiện các hành vi đánh cắp thông tin người dùng. Đáng chú ý, đây đều là những "add-on" được nhiều người tải về để sử dụng trong thời gian dài, chỉ khi có cảnh báo từ các tổ chức uy tín về an ninh mạng thì các kho ứng dụng mới tiến hành rà soát, gỡ bỏ.

Quá trình người dùng sử dụng trình duyệt web, các "add-on" độc hại sẽ ghi nhận tất cả trình tự phím được gõ và các thông tin người dùng nhập vào các "web form" để đăng nhập tài khoản trên các trang mạng, đồng thời có thể chạy các tác vụ ác ý gây tổn hại hệ thống như đào tiền điện tử, khai thác trái phép tài nguyên máy tính, xóa dữ liệu... Bên cạnh đó, việc lưu thông tin đăng nhập tài khoản trên trình duyệt web dễ bị các phần mềm độc hại thu thập và lấy cắp thông tin hơn.

Hiện nay, hầu hết các phần mềm độc hại thuộc 02 hình thức nói trên trên đều được xây dựng và phân phối bởi các nhóm tin tặc hoạt động có tổ chức, với phương thức, thủ đoạn hết sức tinh vi; các đối tượng liên tục cải tiến, cập nhật chức năng, đa dạng hóa các biến thể của phần mềm nhằm khai thác triệt để thông tin, tài liệu nhạy cảm, bí mật lưu trữ trên máy tính, thiết bị của các cơ quan, đơn vị (trong đó có thông tin đãng nhập của các tài khoản phần mềm dùng chung của UBND tỉnh, tài khoản thư điện tử công vụ, tài khoản email, tài khoản ngân hàng ...) và tự động loại bỏ tung tích hoạt động, gây khó khăn cho công tác điều tra, truy vết của các đơn vị chức năng. Từ đó dẫn đến nguy cơ mất an toàn, an ninh mạng nghiêm trọng trên địa bàn tỉnh, như:

(1) Các đối tượng chia sẻ, rao bán thông tin công khai trên môi trường mạng hoặc sử dụng vào mục đích xấu, vi phạm pháp luật làm ảnh hưởng đến uy tín, hình ảnh của cơ quan, đơn vị.

(2) Lợi dụng thông tin có được làm bàn đạp tiến hành thâm nhập, tấn công leo thang các hệ thống thông tin vận hành phần mềm dùng chung trên địa bàn tỉnh để phá hoại, làm ngưng trệ hoạt động của hệ thống.

(3) Chiếm quyền sử dụng tài khoản, giả danh cán bộ, viên chức tại các sở, ban, ngành để can thiệp các hoạt động nội bộ và liên ngành (như gửi, nhận văn bản điện tử tùy ý, gửi tài liệu chứa nội dung độc hại ...) ảnh hưởng nghiêm trọng đến công tác điều hành, quản lý nhà nước nói chung trên địa bàn tỉnh.

(4) Gây thiệt hại về lợi ích về kinh tế trong trường hợp các đối tượng có được thông tin về giao dịch tài chính, tài khoản ngân hàng, tài sản trí tuệ... của cơ quan, tổ chức, cá nhân để bán lại cho bên thứ ba hoặc trực tiếp sử dụng vào mục đích xấu.  

2. Dấu hiệu nhận biết

- Hệ thống chậm bất thường: Hiệu suất hệ thống suy giảm, ví dụ như khởi động máy mất nhiều thời gian, thời gian phản hồi ứng dụng chậm là do các phần mềm độc hại "Stealer" này thường chạy ở chế độ nền, liên tục gửi nhận dữ liệu ra bên ngoài hoặc đóng gói dữ liệu cục bộ trên máy tính để gửi định kỳ (có thể thực hiện thêm thao tác mã hóa và ẩn dữ liệu để tránh bị phát hiện), cá biệt một số phần mềm độc hại còn thực hiện thêm các hành vi khai thác tài nguyên hệ thống như đào tiền điện tử... đây đều là những hành vi làm tiêu tốn tài nguyên hệ thống và ảnh hưởng đến hiệu suất chung.

- Hoạt động mạng đáng ngờ: Một số phần mềm độc hại hoạt động rất tinh vi và không sử dụng quá nhiều tài nguyên hệ thống nhằm tránh việc bị phát hiện. Tuy nhiên, người sử dụng cần chú ý đến hành vi mạng bất thường, chẳng hạn lưu lượng sử dụng dữ liệu mạng gia tăng, ảnh hưởng đến các hoạt động sử dụng Internet khác, kết nối đáng ngờ đến các địa chỉ IP lạ,... Lý do là các phần mềm độc hại đánh cắp thông tin cần liên tục hoặc định kỳ giao tiếp với máy chủ điều khiển để gửi dữ liệu trên máy về cho các đối tượng tin tặc.

- Các thiết lập trên trình duyệt web bị thay đổi: "Stealer" và các "Add-on" độc hại thường nhắm vào trình duyệt web để đánh cắp thông tin nhạy cảm, chẳng hạn như mật khẩu và cookie trình duyệt. Nếu người sử dụng nhận thấy những thay đổi bất thường trong các thiết lập của trình duyệt, chẳng hạn như trang chủ mặc định, công cụ tìm kiếm mặc định hoặc "Add-on" mới mà người dùng không cài đặt, thì đó có thể là dấu hiệu của trình duyệt web bị xâm phạm. Bên cạnh đó, việc trình duyệt tự động đăng xuất ra khỏi tất cả các tài khoản mạng đã đăng nhập trước đó mà không do chủ ý của người dùng thì cần cảnh giác, rà soát lại trước khi thực hiện việc điền lại các thông tin tài khoản nhằm tránh bị các đối tượng tin tặc thu thập.

 - Các thông báo thể hiện hoạt động trái phép trên tài khoản: Hầu hết các dịch vụ mạng hiện nay như Facebook, Google... đều gửi thông báo đến cho người sử dụng khi phát hiện có hành vi đăng nhập bất thường. Theo đó nếu nhận được các thông báo thể hiện việc đăng nhập bất thường qua thư điện tử, ứng dụng xác thực đa yếu tố hoặc tin nhắn điện thoại kèm mã số OTP (Onetime Password), số dư tài khoản ngân hàng thay đổi bất thường thì có khả năng trước đó thiết bị của người sử dụng đã bị nhiễm phần mềm độc hại. Người dùng cần chú ý theo dõi hoạt động của tài khoản mạng và các thông báo về hành vi đáng ngờ. Khi xuất hiện các dấu hiệu trên cần thực hiện thay đổi mật khẩu và phương thức xác thực tài khoản.  

3. Cơ chế lây nhiễm của "Stealer" và "Add-on" độc hại

- Thông qua phần mềm, tài liệu, thu điện tử không an toàn: Người dùng có thể bị nhiễm "Stealer" và "Add-on" độc hại khi tải xuống và cài đặt các phần mềm hoặc mở các tập tin tài liệu tải về từ các trang web, liên kết không đảm bảo độ tin cậy. Các phần mềm và tập tin này có thể được ngụy trang như để tỏ ra hữu ích hoặc phù hợp với nhu cầu của người dùng nhưng thực tế là được gắn kèm mã độc.

- Thông qua các lỗ hổng bảo mật của hệ điều hành và phần mềm: Phần mềm độc hại "Stealer" thường lợi dụng các lỗi bảo mật của hệ điều hành và các phần mềm đang tồn tại lỗ hổng bảo mật chưa được vá trên thiết bị để lây nhiễm mà không cần thao tác khác của người dùng.

- Thông qua kết nối USB và thiết bị ngoại vi: Phần mềm độc hại "Stealer" có thể lây nhiễm qua các thiết bị lưu trữ như USB khi người dùng kết nối chúng với máy tính mà không cài đặt trước phần mềm bảo mật để rà quét và ngăn chặn mã độc./.