Tổn thất hack website: Mức phí đáng báo động cho các doanh nghiệp

Có đến 60% doanh nghiệp vừa và nhỏ đã phải ngừng hoạt động sau khi website bị hack vì không thể lường trước được tổn thất và chi phí yêu cầu xử lý mà mỗi kiểu hack website gây ra.

Thực trạng hack và bảo mật website

Những năm gần đây, tình trạng hack website và các thiết bị cá nhân khác như máy tính, điện thoại,... diễn ra ngày càng nhiều nhưng phần lớn người dùng và những chủ doanh nghiệp nhỏ lại không đầu tư nhiều vào bảo mật website và tài khoản của họ.

Những vụ website bị hacker tấn công mà chúng ta thấy trên báo, trên TV đa phần đều là trường hợp tấn công mạng vào các công ty lớn, thương hiệu nổi tiếng,... trong khi thực chất, 43% cuộc tấn công mạng vẫn đang nhắm vào những doanh nghiệp vừa và nhỏ mà có đến gần 74% doanh nghiệp vừa và nhỏ đã/đang bị hack.

Nói một cách không chính thống thì doanh nghiệp có thể chia thành 2 dạng: Doanh nghiệp đã bị hack và doanh nghiệp không biết mình đã bị hack. Hack một website sẽ có vô vàn cách thức, tấn công vào nhiều lỗ hổng bảo mật khác nhau mà nhiều doanh nghiệp có thể không phát hiện được cho đến khi dữ liệu công ty được rao bán ở một trang web bất chính nào đó, hoặc đơn giản là không thể kiểm soát và sử dụng chính website của mình nữa.

Một khi đã bị tấn công, có đến 60% doanh nghiệp vừa và nhỏ đã “sụp đổ” trong vòng 6 tháng sau đó chính vì không đầu tư vào công tác bảo mật website cũng như không thể lường trước được chi phí thiệt hại và xử lý khi website bị hack.

Mỗi kiểu hack website sẽ gây ra những tổn thất nhất định cho một doanh nghiệp, dù là doanh nghiệp lớn hay nhỏ đều phải ý thức được những tổn thất đó để xử lý kịp thời. Mà phương án tốt nhất vẫn là ngăn chặn khả năng website bị hacker tấn công ngay từ đầu với phần nội dung sau đây.

Tổn thất do từng kiểu hack website gây ra

Các lỗi bảo mật website thường gặp nhất chính là những lỗ hổng bảo mật mà hacker có thể lợi dụng để tấn công một trang web. Với mỗi kiểu hack website, hacker sẽ tấn công một hoặc nhiều lỗ hổng, gây ra nhiều tổn thất cho doanh nghiệp của bạn.

1. Hack website bằng SQL Injection và XSS

Website bị hack bằng SQL Injection và XSS như thế nào?

*Lỗi SQL Injection:

SQL Injection là một trong các lỗi bảo mật website cơ bản nhất. Nguyên nhân chính tạo ra lỗ hổng bảo mật này là do hệ thống không lọc được các thông tin input an toàn cho website, khiến website dính các câu lệnh gây hại và tự động thực hiện lệnh đó theo ý muốn của hacker.

Lỗi XSS - Cross-site Scripting: 

Đối với quá trình hack website sử dụng các tập lệnh chéo trang XSS, hacker sẽ gửi một đường dẫn có chứa tập lệnh đã cài sẵn đến cho người dùng. Hầu hết các vụ hack website bằng XSS sẽ sử dụng các tập lệnh Javascript độc hại được nhúng vào đường link. 

Khi người dùng nhấp vào liên kết, nó có thể đánh cắp thông tin cá nhân, chiếm phiên truy cập, đánh cắp tài khoản người dùng hoặc thậm chí là thay đổi quảng cáo đang được hiển thị trên một website. Tin tặc thường sẽ chèn các liên kết độc hại này vào các diễn đàn, những website truyền thông và các địa điểm nổi bật khác để thu hút và khiến người dùng dễ nhấp vào đường link đó.

Lỗi SQL Injection và XSS gây ra những tổn thất gì?

Hacker có thể “tiêm” lỗi SQL, cài tập lệnh kèm theo để xem toàn bộ cơ sở dữ liệu, sử dụng các quyền hạn khác trên website, thậm chí là chỉnh sửa hay xóa bỏ dữ liệu.

Việc để lộ cơ sở dữ liệu có thể đem lại nhiều thiệt hại rất lớn đến thương hiệu, tiết lộ dữ liệu của người dùng và ảnh hưởng đến cả khả năng kinh doanh và phát triển, cạnh tranh của một doanh nghiệp nếu những kẻ xấu hoặc đối thủ cạnh tranh chiếm được những thông tin đó.

Ước tính trên 3 tỷ vụ hack website được tiến hành theo phương pháp này, mỗi trường hợp tấn công SQL Injection hay XSS nhỏ có thể tiêu tốn trung bình 196.000 USD cho một doanh nghiệp, tương đương với khoảng 4.5 tỷ VND để kiểm soát và xử lý vấn đề.

Biện pháp ngăn ngừa lỗi SQL Injection và XSS

Để phòng ngừa website bị tấn công bởi SQL Injection, bạn cần thiết lập các tính năng lọc dữ liệu đầu vào để đảm bảo thông tin input vô hại đối với website, ví dụ như:

• Rà soát và loại bỏ các thông tin nhập vào có chứa thành phần câu lệnh như Select, From,..
• Sử dụng tường lửa (firewall) để loại bỏ các dữ liệu độc hại
• Sử dụng chuỗi escape để mã hóa các ký tự đặc biệt
• Loại bỏ các dữ liệu không cần thiết để giảm thiểu phạm vi tấn công
• Dùng tài khoản phân quyền thấp kết nối với cơ sở dữ liệu để hạn chế quyền trong trường hợp hacker có thể xâm nhập
• Sử dụng các công cụ bảo mật website, phần mềm lọc các input có chứa mã độc hoặc tập lệnh ẩn

2. Hack website có mật khẩu yếu

Thế nào là mật khẩu yếu?

Mật khẩu bảo mật cho website, tài khoản cá nhân người dùng, tài khoản của công ty để là những điểm hacker có thể tấn công vào.

Phần lớn chúng ta đều dùng những thông tin cơ bản hoặc từ ngữ dễ nhớ để tạo mật khẩu ví dụ như ngày sinh, họ tên, hoặc một dãy số mặc định 123456 chẳng hạn. Những mật khẩu đặt theo dạng này sẽ rất dễ bị hack.

Một doanh nghiệp sẽ bị ảnh hưởng thế nào nếu bị hack do mật khẩu kém?

Bất kỳ tài khoản nào trên một website dù là tài khoản quản trị hay người dùng cơ bản thì hacker đều có thể lợi dụng để đánh cắp thông tin, dữ liệu và tiến hành một số thao tác gây hại khác.

Có 80% vụ hack thành công nhờ mật khẩu yếu và có đến 55% người dùng thường đặt cùng tên/mật khẩu cho nhiều tài khoản khác nhau, hacker có thể lợi dụng điểm này để tấn công thêm nhiều tài khoản khác của mỗi người dùng.

Tin tặc có thể lấy dữ liệu người dùng đi bán, thực hiện các thao tác phá hoại hoạt động của công ty hoặc tiến hành các giao dịch tài chính để lấy cắp tiền.

Cách đặt mật khẩu mạnh để bảo mật website tốt hơn

Mật khẩu mạnh nên là loại mật khẩu có nhiều ký tự, ít nhất là 8 ký tự. Trong đó nên có đầy đủ ký tự thường, ký tự hoa, chữ số và các ký tự đặc biệt (*,&,@,#,...) xen kẽ.

Mật khẩu càng mạnh thì thời gian để hack được càng lâu, bạn có thể sử dụng các công cụ tạo mật khẩu mạnh ngẫu nhiên (password generator) và thử kiểm tra mật khẩu tại đây để biết mức độ an toàn của  mật khẩu. (Với mật khẩu là thông tin cá nhân sẽ không đưa ra kết quả chính xác khi kiểm tra bằng công cụ trên).

Ngoài ra, bạn lưu ý không nên đặt mật khẩu đơn giản theo thông tin cá nhân của mình, ví dụ như họ tên đầy đủ hoặc ngày tháng năm sinh, vì thông tin này sẽ rất dễ bị hack nếu hacker nhắm đúng vào bạn. Bên cạnh đó, không đặt cùng một mật khẩu cho nhiều tài khoản khác nhau.

3. Hack website bằng malware (phần mềm độc hại)

Website bị hack bằng malware như thế nào?

Malware là các phần mềm độc hại dùng để tấn công và đánh cắp dữ liệu có sẵn trên hệ thống. Malware có thể thực hiện nhiều chức năng khác nhau như thu thập các dữ liệu bí mật, sửa đổi chức năng cốt lõi của hệ thống và theo dõi hoạt động của đối tượng. 

Nguyên nhân dẫn đến website và hệ thống bị cài đặt malware là do sử dụng hệ thống hoặc các phần mềm phiên bản cũ, phiên bản “lậu”, từ đó tạo ra các lỗ hổng để hacker cài đặt vào. Ngoài ra, người dùng có thể click vào một số đường dẫn lạ và bị cài đặt malware mà không hề hay biết.

Malware có thể gây ra những thiệt hại gì cho doanh nghiệp?

Các doanh nghiệp nhỏ thường rất dễ bị tấn công bằng malware, ước tính mỗi vụ hack website bằng malware có thể tiêu tốn 92.000USD tương đương với khoảng 2.1 tỷ VNĐ. Tùy loại malware mà mỗi doanh nghiệp, cá nhân sẽ bị kiểm soát và chịu nhiều ảnh hưởng khác nhau.

• Virus: Doanh nghiệp có thể mất hoàn toàn khả năng truy cập hay kiểm soát các hoạt động trên website nếu virus lây nhiễm phần mềm và sửa đổi các chức năng hệ thống.
• Trojans: Mọi hoạt động trên website đều bị lộ ra ngoài, kể cả các thông tin mật của công ty vì trojans có thể tạo lỗ hổng bảo mật để hacker theo dõi từ xa.
• Spyware: Tất cả hoạt động của doanh nghiệp trên mạng hoặc trong công ty để có thể được ghi lại về cả hình ảnh, âm thanh và các thông tin mật như mật khẩu, số thẻ tín dụng,… vì Spyware có thể hoạt động như một ứng dụng chạy nền, theo dõi ngầm và sử dụng cả webcam, micro để thu thập thông tin trái phép mà chính chủ rất khó phát hiện.

Gây thiệt hại lớn nhất có thể kể đến tấn công website bằng ransomware. Cụ thể, phương pháp này cũng sử dụng các malware để ăn cắp thông tin và dùng các dữ liệu đó để tống tiền công ty bị hack. Thậm chí, sau khi bạn cung cấp số tiền được yêu cầu, nhiều khả năng hacker vẫn sẽ không trả lại dữ liệu. 

Vào giữa năm 2017, cuộc tấn công ransomware có tên là WannaCry đã gây thiệt hại vô cùng lớn. Trong đó, một doanh nghiệp Việt đã bị đánh cắp toàn bộ thông tin và khóa truy cập vào danh sách khách hàng, hợp đồng,... khiến doanh nghiệp này tiêu tốn hàng trăm triệu mỗi ngày, chưa kể đến con số mà kẻ tống tiền yêu cầu.

Biện pháp ngăn ngừa malware tấn công

• Mua và sử dụng các phần mềm diệt virus hợp pháp, có bản quyền để đảm bảo an toàn
• Không sử dụng các phần mềm giả mạo, được tải lậu không có nguồn rõ ràng vì chính những phần mềm này có thể đã đính sẵn malware
• Không click vào các cửa sổ bật lên (pop-up) bất thường của một website nào đó
• Không click vào các link, tập tin yêu cầu từ nguồn lạ và nên tiến hành kiểm tra tại đây để quét mã độc trước khi nhấp/tải.
• Sao lưu dữ liệu thường xuyên để dề phòng các tình huống khẩn cấp. Sử dụng các plugin hỗ trợ bảo mật để quét và loại bỏ mã độc thường xuyên

4. Hack website bằng kỹ thuật xã hội

Hacker có thể sử dụng phishing email, smishing và các kỹ thuật social engineering để lừa đảo và đánh cắp thông tin đăng nhập, thông tin tài chính từ đó tấn công vào doanh nghiệp và website của họ.

Tấn công bằng phishing email và social engineering như thế nào?

*Phishing email:

Email lừa đảo có thể tấn công người dùng, nhân viên của một công ty bằng cách tạo ra những địa chỉ email giả mạo nhưng lại tương tự như email chính thức của một tổ chức nào đó hoặc của chính công ty họ. 

Thông thường, email lừa đảo sẽ đưa ra các nội dung như bạn vừa trúng giải thưởng đặc biệt nào đó, hoặc có vấn đề cần kiểm tra,... hoặc cung cấp một số đường link giả, tương tự như đường dẫn của website chính thức nhưng lại dẫn đến một trang web độc hại (có giao diện tương tự trang chính để lừa người dùng) và yêu cầu bạn điền thông tin cá nhân, thông tin đăng nhập để giải quyết.

Smishing cũng là một dạng của phishing email nhưng được thực hiện thông qua tin nhắn SMS.

Ví dụ như bạn có sử dụng dịch vụ của ngân hàng Vietcombank, bạn có thể nhận được email giả mạo nhân viên của ngân hàng này. 

Thông thường, email có thể là abc@vietcombank.com.vn, nhưng hacker lại gửi đến từ địa chỉ abc@vietcombanks.com.vn chẳng hạn, rất nhiều người có thể không để ý sự khác biệt này và tin tưởng email đó là do Vietcombank gửi đến.

* Social engineering:

Khác với phishing, kỹ thuật social engineering thường sẽ giả mạo trực tiếp bạn để đặt lại mật khẩu, hoặc tiến hành thu thập các thông tin để đánh lừa nhân viên và khách hàng của một công ty. 

Hacker có thể giả mạo là người quản lý, bộ phận nhân sự hay phòng ban khác trong công ty, giả làm người quen của một đối tượng nào đó và đưa ra các trường hợp khẩn cần thông tin mật để xử lý. Từ đó sử dụng các thông tin này để thực hiện những thao tác khác nhằm gây hại và đánh cắp thông tin trên website.

Những kỹ thuật này có thể gây thiệt hại gì cho doanh nghiệp?

Các email lừa đảo thường được dùng để lấy thông tin cá nhân và tài khoản tính dụng để đánh cắp tiền là chủ yếu. Không chỉ ảnh hưởng đến uy tín của doanh nghiệp, cá nhân người dùng và tài chính cũng như thông tin mật chắc chắn cũng sẽ bị ảnh hưởng theo.

Nếu bạn để lộ thông tin từ các dịch vụ ngân hàng online chẳng hạn, khả năng rất lớn là bạn sẽ mất toàn bộ số tiền có trong tài khoản.

Theo thống kê, từ năm 2012, những cuộc tấn công mạng bằng hình thức phishing tăng lên đến 125% và tiêu tốn đến 1 tỷ USD chỉ từ các doanh nghiệp nhỏ. Trong khi đó, có đén 29% các cuộc tấn công thông qua công cụ xã hội, mỗi vụ hack có thể tiêu tốn trung bình từ 25.000-10000USD, tương đương với

Biện pháp ngăn ngừa phishing email và social engineering tấn công

• Nên sử dụng phần mềm, hệ thống và trình duyệt được cập nhật, đã có bản vá cho các lỗi bảo mật mới nhất để tránh bị hacker lợi dụng tấn công
• Tuyệt đối không nhấp vào liên kết trong các email từ người lạ. Đặc biệt là những email yêu cầu các thông tin mật. Không nên cung cấp bất kỳ thông tin nào trước khi nhận được xác nhận từ tổ chức đó
• Tiến hành kiểm tra tại đây để xem liệu đường dẫn có an toàn hay không trước khi click vào
• Đưa ra các chính sách yêu cầu mật khẩu,... đối với cả nhân viên công ty và khách hàng để tránh những tình huống lừa đảo
• Đào tạo nhân viên về ý thức bảo mật cũng như các lưu ý để họ không vô tình tiết lộ thông tin mật của công ty ra bên ngoài

Bảo mật website ngay từ bước đầu

Bất cứ doanh nghiệp nào đang sở hữu website, dù là thực hiện các hoạt động giao dịch, thanh toán hay chỉ đơn giản là chia sẻ thông tin đều cần quan tâm đến vấn đề bảo mật web.

Chi phí phòng ngừa chắc chắn sẽ luôn thấp hơn chi phí xử lý cũng như những tổn thất mà các kiểu hack website gây ra. Chính vì vậy, thay vì chờ đến lúc bị tấn công mới xoay sở cách giải quyết, bạn có thể bắt đầu bảo mật từ những bước cơ bản nhất cho website của mình:

• Sử dụng công cụ bảo mật và plugin hỗ trợ bảo mật để quét và kiểm tra website thường xuyên
• Dùng Site Health Check để kiểm tra lỗi và tiến hành cập nhật các phiên bản mới nhất cho hệ thống
• Sao lưu dữ liệu định kỳ
• Đăng ký bảo mật website với SSL
• Sử dụng web hosting có bảo mật tốt

Bạn có thể xem hướng dẫn chi tiết cách bảo mật website để bảo vệ trang web của mình một cách tốt nhất. Bên cạnh đó, web hosting đóng một vai trò vô cùng quan trọng với việc bảo mật website và cả quá trình khôi phục nếu có bất kỳ sự cố nào xảy ra, do đó, bạn nên lưu ý chọn lựa nhà cung cấp web hosting ngay từ lúc thiết kế website.

Đừng quên chia sẻ bài viết và đăng ký Blog của Tadu để nhận các hướng dẫn hữu ích và ưu đãi mới nhất giúp bạn làm chủ môi trường online nhé!