Mổ xẻ chuyện wifi miễn phí Việt Nam không an toàn
Tin tặc chỉ cần “hô biến” thiết bị của chúng thành trạm phát Wi-Fi và thiết lập các thông số giống hệt các thông số của mạng Wi-Fi tại các thành phố này.
Trong thông báo phát ra hôm 3.12, Bkav cho rằng Wi-Fi miễn phí tại các thành phố như: Đà Nẵng, Hải Phòng, Hội An, Hạ Long… đều không an toàn và người dùng có khả năng bị lấy cắp dữ liệu cá nhân.
Theo ông Nguyễn Quang Thanh, Phó giám đốc Sở Thông tin – Truyền thông kiêm Giám đốc Trung tâm Phát triển hạ tầng Công nghệ thông tin TP.Đà Nẵng, kết luận của Bkav hoàn toàn võ đoán, bởi cấu trúc mạng của từng hệ thống Wi-Fi sẽ khác nhau.
Ông Thanh cho biết, ở Đà Nẵng, toàn bộ phải tập trung về hệ thống của thành phố rồi mới kết nối internet. Trong từng thời điểm cụ thể, họ sẽ có chính sách bảo mật tùy biến chứ không phải bảo mật cố định.
“Vì sao chúng tôi phải tùy biến, vì các tin tặc khi tận dụng khai thác các lỗ hổng (nếu có) thì chúng tôi thay đổi các chính sách bảo mật ngay từng trường hợp cụ thể”, ông Thanh nói.
Ngoài ra, hệ thống Wi-Fi của Đà Nẵng cũng không thu phí, không sử dụng cơ chế tài khoản, mà chỉ có tài khoản dùng chung, nên việc rò rỉ các tài khoản khi truy cập Wi-Fi đối với Đà Nẵng là không chính xác.
Bên cạnh đó, người dùng khi truy cập Wi-Fi miễn phí tại Đà Nẵng sẽ không sử dụng bất cứ hình thức thanh toán nào trên thẻ tín dụng, nên Bkav nói sử dụng Wi-Fi miễn phí ở Đà Nẵng rò rỉ thông tin thẻ tín dụng thì “trong quá trình vận hành hệ thống cho đến bây giờ, chúng tôi chưa có bằng chứng về vấn đề đó”, ông Thanh nói.
Ông Nguyễn Quang Thanh còn cho biết hệ thống Wi-Fi miễn phí tại Đà Nẵng cũng từng nhiều lần có dấu hiệu xâm nhập, tấn công gây quá tải, từ chối dịch vụ, tuy nhiên cho đến bây giờ, người dùng Wi-Fi miễn phí chưa có sự cố gì lớn liên quan đến thông tin cá nhân.
Trước các phản hồi từ người quản lý dịch vụ cung cấp Wi-Fi miễn phí ở các thành phố, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách An ninh mạng của Bkav cho biết, thực chất, nghiên cứu của Bkav chỉ ra rằng tin tặc có thể chặn các truy cập của người dùng trước khi họ kịp truy cập vào hệ thống của thành phố. Thực tế, Bkav có thực nghiệm và có chỉ rõ kết quả thực nghiệm.
“Khi bắt đầu nghiên cứu về Wi-Fi miễn phí, Bkav hiểu rằng mật khẩu khi vào Wi-Fi miễn phí là công khai và hiển nhiên chúng tôi không nghiên cứu xem mật khẩu đó có thể bị lộ hay không. Trong bài nghiên cứu, chúng tôi chỉ rõ đây là mật khẩu truy cập ngân hàng, Facebook, mật khẩu truy cập email của người dùng”, ông Tuấn Anh nói.
Để dễ hiểu, có thể lấy ví dụ hình thức đơn giản nhất trong số các hình thức bị tin tặc tấn công, đó là giả mạo Wi-Fi.
Hiện nay tất cả các máy tính, smartphone đều có thể dễ dàng thiết lập để trở thành một trạm phát Wi-Fi trong một phạm vi nhất định.
Tin tặc chỉ cần “hô biến” thiết bị của chúng thành trạm phát Wi-Fi và thiết lập các thông số giống hệt các thông số của mạng Wi-Fi tại các thành phố này.
Tin tặc sau đó đi đến khu công cộng nhiều người truy cập mạng Wi-Fi miễn phí, chờ du khách hay người dân kết nối vào mạng Wi-Fi giả của chúng.
Điều này dễ thực hiện vì nếu chỉ nhìn vào danh sách các sóng WiFi thiết bị có thể bắt được, mạng Wi-Fi của tin tặc không khác gì so với mạng Wi-Fi của thành phố.
Khi người dùng đã truy cập mạng Wi-Fi giả mạo này rồi, tất cả mọi thông tin trao đổi sẽ bị kiểm soát.
Trong ví dụ trên, tất cả mọi thông tin trao đổi đều đi qua thiết bị của tin tặc và tin tặc có thể làm bất kỳ điều gì chúng muốn.
Mọi mật khẩu đăng nhập vào bất kỳ đâu cũng bị tin tặc nắm được. Với những thông tin như thế, tin tặc có thể tấn công mở rộng để thậm chí kiểm soát máy tính, điện thoại của người dùng.
Về trường hợp tại Hạ Long, ông Tuấn Anh cho biết, trong bản nghiên cứu chi tiết của Bkav, họ đã thử kết nối vào Wi-Fi miễn phí tại ba địa điểm là Trung tâm hành chính thành phố, ngã ba Kênh Liêm và Bưu điện Hòn Gai.
Theo thông tin từ các phương tiện truyền thông đại chúng, Wi-Fi tại các địa điểm này miễn phí khi truy cập vào một số trang thông tin điện tử của tỉnh, nếu muốn vào các website khác thì người dùng phải trả phí qua thẻ cào.
Tuy nhiên, tại thời điểm khảo sát, họ không thể truy cập vào Wi-Fi miễn phí dù cột sóng trên thiết bị ở mức trung bình.
“Chúng tôi đã liên hệ với Bưu điện thành phố để mua thẻ cào sử dụng Wi-Fi nhưng nhân viên tại đây cho biết không cung cấp loại thẻ cào này”, ông Tuấn Anh nói.
Với kết quả nghiên cứu này, Bkav muốn hướng đến việc đưa ra các thực nghiệm để từ đó cảnh báo người sử dụng đề phòng khi truy cập vào các mạng Wi-Fi miễn phí.
Về phía nhà cung cấp, họ cũng cần nắm nguy cơ này đối với người dùng của mình, để có biện pháp về kỹ thuật, đồng thời cung cấp thông tin tới người dùng để giúp tiện ích Wi-Fi miễn phí được hiệu quả hơn.
Như thế, các cấp quản lý cần thông báo chi tiết cho người dân biết tên mạng Wi-Fi nào trong thành phố là thật và người dùng cần cảnh giác khi truy cập vào các mạng Wi-Fi ảo có nguồn gốc không rõ ràng.