Chuyên gia bảo mật PC này đã bị lừa đảo. Sau đây là 3 bài học từ sai lầm của anh ấy

Con người không phải là không thể sai lầm, nhiều như chúng ta muốn. Điều đó bao gồm các chuyên gia bảo mật, như Troy Hunt đã tiết lộ ngày hôm qua. Hóa ra, huyền thoại đằng sau CóIteenSở hữu (một trang web cho phép bạn xem dữ liệu nào bạn đã vi phạm) đã bị lừa đảo khi cố gắng đăng nhập vào Mailchimp.

Trong một bài đăng có tiêu đề “Một kẻ lừa đảo lén lút vừa lấy được danh sách gửi thư của Mailchimp của tôi,” Hunt giải quyết tình huống này, bắt đầu từ cách nó bắt đầu (máy bay phản lực bị trễ và mệt mỏi khi di chuyển) và cách nó kết thúc (kẻ lừa đảo lấy thông tin xác thực của anh ta, đăng nhập và sau đó xuất tất cả 16.000 địa chỉ email liên quan đến bản tin của anh ta). Nếu bạn đã bị ảnh hưởng, Hunt đã tải các địa chỉ email đó vào cơ sở dữ liệu HaveIBeenPwned. Danh sách này bao gồm những người đã hủy đăng ký nhận bản tin—Mailchimp sẽ không xóa các địa chỉ email này khỏi cơ sở dữ liệu của mình.

Bạn có thể đọc chi tiết đầy đủ về những gì đã xảy ra trong bài đăng, nhưng tôi bị ấn tượng nhất bởi những bài học rút ra từ tài khoản rõ ràng của Hunt về vụ việc. Không chỉ là những điều cần chú ý, mà là làm thế nào để thiết lập cuộc sống kỹ thuật số của bạn để bạn vẫn an toàn nếu bạn trượt lên. Hãy đào sâu vào:

Đừng dựa vào các dấu hiệu cảnh báo

Đi qua câu chuyện của Hunt, bạn có thể thấy rằng những trò gian lận báo hiệu chúng là gì. Trong trường hợp của Hunt, nhiều dấu hiệu cảnh báo nhỏ đã tồn tại:

1. Sự khẩn cấp sai lầm trong email
2. Người gửi email là giả mạo
3. Tự động điền từ 1Password đã không kích hoạt trên trang web bất hợp pháp

Một chuyên gia bảo mật ở cấp độ Hunt bình thường sẽ nhạy cảm với những chi tiết này. Nhưng anh ấy đã mệt mỏi khi đi du lịch, bất kỳ ai trong chúng tôi cũng có thể rơi vào tình huống đó.

Mật mã cũng là phương pháp tốt hơn để đăng nhập, vì chúng chống lừa đảo. Các phương pháp mạnh hơn của 2FA cũng vậy, như phím phần cứng (ví dụ: Yubikeys hoặc Khóa bảo mật Google Titan).

Để lại một dịch vụ sẽ không bảo vệ bạn khỏi vi phạm dữ liệu

Như Hunt đã phát hiện ra trong khi phân tích dữ liệu bị mất của mình, không phải tất cả các công ty đều xóa dữ liệu của bạn nếu bạn để chúng. Trên thực tế, trong trường hợp của Mailchimp, chúng dường như cố tình giữ lại địa chỉ email của những người hủy đăng ký để họ không thể đọc chúng vào danh sách.

Hầu hết các dịch vụ đều có cách để xóa bạn khỏi cơ sở dữ liệu của h. (Các chính phủ tiểu bang và quốc gia khác nhau có luật yêu cầu một cách dễ dàng để xóa—còn được gọi là quyền được lãng quên.) Tuy nhiên, trừ khi bạn đưa ra yêu cầu đó, bạn có thể là một phần của bất kỳ kho dữ liệu khổng lồ nào, đã chín muồi để bị những kẻ xấu đánh cắp. 

Và càng có nhiều dữ liệu về bạn (sở thích của bạn là gì, bạn mua sắm ở đâu, v.v.) thì họ càng dễ dàng hơn để nhắm vào bạn.

Nó có thể xảy ra với bất cứ ai

Trải nghiệm của Hunt là một lời nhắc nhở rằng những trò lừa đảo có thể săn lùng bất kỳ ai— và nếu bạn làm vậy, điều đó không phải vì bạn ngu ngốc. Đôi khi bạn chỉ bận rộn, căng thẳng, hoặc nếu không thì quá bận tâm để nhận ra những gì Lừa trước mặt bạn.

Nhưng bạn không nên ngừng cảnh giác. Một chuyên gia bảo mật rơi vào một trò lừa đảo lừa đảo không có nghĩa là tất cả chúng ta đều phải chịu số phận. Ngược lại, bạn cũng có nhiều cơ hội trốn tránh thành công các âm mưu như những người khác. Khi tôi viết về bảo mật, nó không phải từ một nơi chuyên môn có thẩm quyền. Tôi biết mình cũng nhạy cảm như những người khác— và vì vậy tôi chia sẻ bất kỳ thông tin hữu ích nào tôi có để tất cả chúng ta có thể theo dõi phần đuôi của mình.