Báo động thị trường đen thông tin cá nhân
![]() |
Năm 2004, Cục Tình báo trung ương Mỹ đã xóa sổ một diễn đàn trên mạng có tên Shadowcrew |
(TBKTSG Online) - Tiếng Anh đang xuất hiện một từ mới là hackonomics để chỉ nền kinh tế ngầm của giới tin tặc, trong đó các giao dịch mua bán bất hợp pháp về thông tin cá nhân đang nở rộ và ngày càng khó ngăn chặn.
Giá rẻ mạt
Dữ liệu cá nhân của bạn nhiều khi chẳng đáng giá bao nhiêu, ít nhất là đối với giới tin tặc. Theo các chuyên gia, hiện nay dữ liệu thông tin thẻ tín dụng bị đánh cắp được rao bán trên mạng với giá rẻ mạt, chỉ khoảng 1/10 so với cách đây một thập kỷ, mặc dù chi phí bảo mật cho mỗi cá nhân có thẻ tín dụng bị đánh cắp dữ liệu có thể lên đến hàng trăm đô-la Mỹ.
Dan Clements, phụ trách chương trình CardCop của Trung tâm bảo mật Affinion, một chi nhánh dịch vụ của tập đoàn Affinion, cho biết mỗi số thẻ tín dụng hiện nay được rao bán chỉ 2-3 đô-la Mỹ. Nếu chi 10 đô-la Mỹ, có thể có dữ liệu “trọn gói” của một cá nhân, bao gồm thẻ tín dụng, tên cha mẹ, ngày sinh, số bảo hiểm xã hội, có thể cả số PIN của thẻ ATM.
Đại gia về bảo mật Symantec cũng cho biết tài khoản ngân hàng, thẻ tín dụng và dữ liệu “trọn gói” là ba “mặt hàng” hàng đầu trong nền kinh tế ngầm này. Theo công ty này, thậm chí người ta có thể mua dữ liệu về thẻ tín dụng với giá chỉ 40 xu Mỹ. Những mức giá như vậy thực sự quá “bèo” so với mức giá 20-30 đô-la Mỹ về thông tin thẻ tín dụng cách đây một thập kỷ.
Trên thế giới, thị trường đen về dữ liệu cá nhân thuộc loại ít minh bạch nhất so với các loại thị trường khác. Tuy nhiên, nó cũng vận hành theo một kiểu là khi nguồn cung đầy ứ thì giá giảm! Và mặc cho nỗ lực xóa sổ thị trường này của nhiều chuyên gia và công ty bảo mật, các dữ liệu cá nhân được rao bán chui vẫn đầy ắp.
Do nguồn cung dồi dào
Các vụ ăn cắp thông tin máy tính và vi phạm dữ liệu cá nhân quy mô lớn ngày càng tăng. Theo thống kê của Tổ chức bảo đảm thông tin trung thực quốc gia Mỹ (FIS), năm ngoái có khoảng 8,5 triệu vụ vi phạm dữ liệu cá nhân.
Hơn mười năm qua, các kênh phân phối trong thị trường đen này đã tích trữ được một lượng thông tin cá nhân khổng lồ. Tình hình đó đã cho phép giới tin tặc hoạt động giống như những nhà bán sỉ dữ liệu. Họ kinh doanh chẳng khác chút nào những nhà điều hành kinh doanh điển hình: cũng quảng bá thương hiệu và làm marketing, cũng mua bán, sát nhập, liên kết, và giảm giá để cạnh tranh.
Một số kẻ cắp dữ liệu bất chính còn lựa chọn thời điểm công bố thích hợp để bán được giá hơn. Chẳng hạn, vụ vi phạm dữ liệu của Montgomery Ward được công khai vào tháng 6-2008 nhưng có thể đã xảy ra trước đó sáu tháng. Affinion đã lần ra những tin tặc rao bán trọn gói thông tin của 200.000 thẻ tín dụng với giá 10.000 đô-la Mỹ. Sau khi những chuyên gia của công ty này thấy được một số mẫu dữ liệu do người bán chào hàng theo yêu cầu của họ, họ đã liên hệ với các chủ thẻ và phát hiện ra điểm chung của những người này là từng mua hàng tại trang web MontgomeryWards.com.
Theo Thomas Rusin, giám đốc điều hành của Trung tâm bảo mật Affinion, nhu cầu về dữ liệu cá nhân có những khác biệt nhất định giữa các khu vực địa lý trên thế giới. Trong thời gian qua, người mua các loại dữ liệu này chủ yếu tập trung ở một số nước Đông Âu như Romania, Bungaria và Estonia. Những năm gần đây, một số nước khu vực Đông Nam Á như Việt Nam, Indonesia bắt đầu tham gia. Hiện nay, có thêm những nước chống Mỹ như Iran quan tâm đến thị trường này.
Một số cơ quan chính quyền Mỹ như Cục Tình báo trung ương, Cục Điều tra liên bang (FBI) và Bộ Tư pháp đã rất chú ý đến sự xuất hiện của những thị trường như thế này. Nhưng sự phân tán về mặt địa lý và khó xác định động cơ đã khiến họ đối phó một cách khó khăn.
Năm 2004, Cục Tình báo trung ương Mỹ đã xóa sổ được một diễn đàn trên mạng có tên là Shadowcrew (Đội quân bóng tối), có cơ sở ở Đông Âu. Đây là một dạng ngân hàng hối đoái, thanh toán tiền mua bán thông tin bị đánh cắp của 1,7 triệu thẻ tín dụng, gây thiệt hại đến 4 triệu đô-la Mỹ cho các chủ thẻ. Cuối năm đó, 19 người đã bị buộc tội điều hành diễn đàn có 4.000 thành viên này. Tuy nhiên, sự kiện đó chẳng thể ngăn chận được nhiều thành viên nhảy sang tham gia các diễn đàn tương tự khác mọc lên sau đó.
Theo Bộ Tư pháp Mỹ, năm 2005, một diễn đàn trên mạng có tên là “Hiệp hội quốc tế nhằm tăng cường các hoạt động tội phạm” đã tự quảng bá như là nơi trao đổi các dịch vụ đánh cắp thông tin cá nhân. Năm sau, một diễn đàn tương tự khác xuất hiện rầm rộ không kém.
Gần đây nhất, ngày 16-10-2008, FBI công bố họ vừa xóa sổ một diễn đàn trên mạng lấy tên là “Thị trường đen”, bắt giữ 56 người liên quan. Trang web này được sử dụng để mua, bán, trao đổi thông tin cá nhân, thu hút 2.500 thành viên. Để phá đường dây này, FBI phải cài một nhân viên vào làm quản trị mạng trong suốt hai năm.
Đáng lo ngại
Nhưng ngay cả khi thị trường này đầy rẫy thông tin bị đánh cắp, cái giá mà người tiêu dùng phải gánh chịu khi dữ liệu của họ bị rơi vào tay tin tặc một cách bất hợp pháp vẫn còn lớn. Viện Ponemen, chuyên về nhận diện các tội phạm mạng dạng này, tính toán thiệt hại bình quân trong năm ngoái đối với các nạn nhân lên đến 197 đô-la Mỹ cho mỗi dữ liệu bị mất cắp và 239 đô-la Mỹ cho mỗi dữ liệu tài chính. Đó là chưa kể chi phí dành cho hàng chục giờ truy tìm thủ phạm.
Mối lo ngại không chỉ thuộc về người tiêu dùng mà cả các công ty thương mại có triển khai thanh toán trực tuyến, đặc biệt đối với những thị trường mới nổi đầy tiềm năng. Thay đổi thói quen của người tiêu dùng sử dụng tiền mặt sang dùng thẻ và thanh toán trực tuyến đã khó khăn, nay mối lo ngại mất tiền do bị ăn cắp thông tin cá nhân càng khiến họ càng ngại ngần với các phương tiện thanh toán điện tử.
Hiện nay, đang có một số hoạt động hợp pháp được triển khai để dò tìm và thâm nhập vào các thị trường mờ ám này. Chẳng hạn, Trung tâm bảo mật Affinion tung ra dịch vụ CardCop. Dịch vụ này gửi các thuật toán máy tính đến một số địa điểm “nóng” trên mạng, đặc biệt là các phòng chat, để tìm kiếm thông tin và cảnh báo cho khách hàng biết nếu phát hiện các dữ liệu cá nhân của họ.
Trong lúc những giải pháp như vậy chưa thể vực dậy niềm tin của người tiêu dùng về lĩnh vực bảo mật thông tin cá nhân, nhiều chuyên gia đang lo ngại việc giảm giá trên thị trường này chỉ có thể làm những tay tội phạm mạng càng “làm việc” cật lực hơn mà thôi.
DANH VĂN (tổng hợp)