Tên miền website có thể trở thành mục tiêu tấn công của kẻ xấu dẫn tới các website cờ bạc phi pháp

Nhiều website được bảo vệ nhưng vẫn bị tấn công

Trung tâm Internet Việt Nam - VNNIC đánh giá tên miền là tài sản số mang tính chiến lược trong nhiều tổ chức, nhưng "đang trở thành mục tiêu tấn công của kẻ xấu". Tuy không đưa ra con số cụ thể, VNNIC cho biết có nhiều website tại Việt Nam bị tấn công tên miền, điều hướng tới các website cờ bạc phi pháp.

"Mặc dù hệ thống kỹ thuật không gặp lỗi, nhưng tài khoản quản trị tên miền bị lộ có thể trở thành điểm yếu chí tử, cho phép kẻ xấu đổi bản ghi DNS và chiếm quyền điều hướng website", VNNIC giải thích.

Đầu tháng 5, website của Tiki, nền tảng thương mại điện tử lớn tại Việt Nam, cũng rơi vào tình trạng này trong khoảng hai giờ. Khi truy cập, người dùng được điều hướng đến một trang web có giao diện và nội dung đánh bạc, yêu cầu người dùng đăng ký bằng số điện thoại để nhận thưởng. Nền tảng sau đó xác nhận "sự cố liên quan tới tên miền", còn hệ thống không gặp vấn đề.

Theo VNNIC, trong bối cảnh tên miền có thể là bộ mặt thương hiệu, điểm truy cập dữ liệu và kênh giao tiếp chính với người dùng, việc mất quyền kiểm soát có thể dẫn đến hậu quả nghiêm trọng, như website bị chuyển hướng, hệ thống email bị đánh cắp, dịch vụ trực tuyến gián đoạn. Điều này ngoài ảnh hưởng đến thương hiệu, còn có thể gây ra hậu quả với người dùng khi vô tình truy cập trang độc hại, đặc biệt với những tên miền có lượng truy cập lớn.

Tên miền website dễ bị kẻ xấu tấn công. Ảnh minh họa

Trung tâm cho biết đã thực hiện nhiều biện pháp bảo vệ, nhưng không phải đơn vị nào cũng ứng dụng. Một trong những biện pháp bảo vệ ở mức cao nhất là Registry Lock, thường do tổ chức quản lý tên miền cung cấp. Khi kích hoạt, tên miền sẽ bị khóa các thao tác quan trọng như chuyển nhượng, thay đổi thông tin hay cập nhật DNS, ngay cả khi tài khoản quản trị bị đánh cắp. Nhờ đó, Registry Lock giúp bảo vệ tên miền khỏi hành vi xâm nhập, tấn công hoặc giả mạo, đặc biệt hữu ích với tổ chức tài chính, chính phủ hoặc thương hiệu lớn.

Tại Việt Nam, tên miền ".vn" cũng có thể sử dụng dịch vụ này. Tuy nhiên theo VNNIC, thực tế chỉ khoảng 4.000 website trên tổng số 650.000 tên miền ".vn" có sử dụng dịch vụ, tương đương 0,6%. Nếu không có Registry Lock, kẻ xấu chỉ cần 'lấy trộm chìa khóa', như tài khoản quản trị là có thể vào nhà. Nếu sử dụng Registry Lock, kể cả khi chìa khóa rơi vào tay hacker, 'cánh cửa' vẫn không mở do mọi thay đổi chỉ được thực hiện khi có yêu cầu từ chính chủ thể tên miền, được xác thực nghiêm ngặt thông qua quy trình giao tiếp nghiệp vụ đặc biệt.

Dấu hiệu nhận biết trang website bị hack

Liên quan tới tình trạng bị kẻ xấu hack website, các chuyên gia bảo mật cho biết, hack website là việc sử dụng những phương pháp và kỹ thuật chuyên môn để xâm nhập không chính thống vào website (phần cứng/phần mềm) hay truy cập vào các khu vực mà người dùng bình thường không được phép như hosting, trang quản trị… Hack website cũng bao gồm hành động can thiệp vào database, mã nguồn, thực hiện chỉnh sửa nội dung và thay đổi tính năng của website trái phép để ăn cắp dữ liệu, phá hoại doanh thu & danh tiếng của tổ chức/doanh nghiệp…Website bị hack gây nên những hậu quả nghiêm trọng, thế nên mọi người cần theo dõi chặt chẽ trang web của mình để nhận biết các dấu hiệu quan trọng cảnh báo website đang bị tấn công để phát hiện thay đổi bất thường càng sớm càng tốt.  

Dấu hiệu đầu tiên đó là giao diện trang chủ hoặc các trang con của website bất ngờ thay đổi. Lưu lượng truy cập bị giảm đột ngột (có thể là view, cuộc gọi hay email…). Website có URL điều hướng đến trang khác. Website hiển thị thông báo cảnh báo. Xuất hiện những tệp tin lạ trên website. Xuất hiện các quảng cáo và popup lạ khi truy cập vào website. Tốc độ website chậm hơn. Kết quả tìm kiếm bị thay đổi, tiêu đề hoặc thông tin mô tả không chính xác. Mất quyền quản trị viên, không thực hiện được các thao tác quản trị. Phát hiện tác vụ bất thường trong lịch sử hoạt động của website Khi phát hiện website bị tấn công, việc xử lý ngay lập tức cực kỳ quan trọng để đảm bảo tính bảo mật và hoạt động ổn định của trang web. 

Nên ngắt kết nối trang web: Việc đầu tiên bạn nên làm là đưa trang web vào chế độ bảo trì hoặc trạng thái tạm thời không hoạt động để ngăn người dùng tiếp tục truy cập, ngăn hacker tiếp tục tấn công. Hãy thông báo cho người dùng bằng cách sử dụng trạng thái mã lỗi HTTP như Không tìm thấy hoặc Dịch vụ không khả dụng. Nếu thông tin cá nhân của người dùng có thể bị ảnh hưởng, bạn cũng nên thông báo cho họ về tình huống và cung cấp hướng dẫn về cách bảo vệ thông tin + thay đổi mật khẩu nếu cần.

Thay đổi mật khẩu: Sau khi ngắt kết nối trang web, hãy nhanh chóng đổi mật khẩu truy cập vào hệ thống quản trị trang web và mật khẩu cơ sở dữ liệu. Để tăng cường bảo mật, hãy xem xét triển khai cơ chế xác thực hai yếu tố (2FA) cho quản trị trang web và người dùng.

Báo cáo cho cơ quan & đơn vị hỗ trợ: Liên hệ với công ty lưu trữ để kiểm tra xem các website khác trên cùng máy chủ có bị tấn công không. Nếu trang web của bạn chứa thông tin quan trọng hoặc liên quan đến quyền tài sản, hãy báo cáo vụ việc cho cơ quan chức năng để được hỗ trợ điều tra. Trường hợp bạn không có kiến thức chuyên môn về website, không có kinh nghiệm xử lý website bị hack thì liên hệ với đơn vị làm hosting sẽ là phương án giải quyết tốt nhất.

Tạo bản sao lưu trang web: Trước khi liên hệ kiểm tra, hãy lưu trữ các tệp sao lưu trang web ít nhất ở 2 nơi khác nhau - 1 trên đám mây và 1 trên ổ cứng. Bạn nên chọn hệ thống có tính năng tự động tạo các bản sao lưu gia tăng đầy đủ và hệ thống có khả năng phát hiện các thay đổi được thực hiện sau sao lưu để nó chỉ đồng bộ hóa những phần đó thay vì luôn thực hiện sao lưu hoàn chỉnh.

Kiểm tra Google Blacklist bằng Google Search Console: Khi Google phát hiện hoạt động đáng ngờ trên một trang web, công cụ tìm kiếm có thể sẽ chặn nó xuất hiện trên kết quả tìm kiếm để bảo vệ người dùng. Hãy kiểm tra xem website của bạn có nằm trong danh sách chặn của Google không bằng Google Search Console. Cảnh báo sẽ xuất hiện trong Security issues trong Security & Manual Actions.

Quét & loại bỏ mã độc hại: Việc thực hiện quy trình loại bỏ mã độc hại giúp làm sạch trang web của bạn, đảm bảo rằng nó an toàn để sử dụng lại. Bạn có thể sử dụng công cụ quét hoặc Plugin bảo mật để kiểm tra tệp bị xâm nhập, phát hiện mã độc hại.

Khôi phục trang web từ bản sao lưu: Trong quá trình loại bỏ mã độc hại, hãy đảm bảo rằng bạn đã sao lưu toàn bộ dữ liệu quan trọng của trang web trước đó, bao gồm cơ sở dữ liệu và những tệp tin liên quan. Bản sao lưu nên là phiên bản trang web hoàn chỉnh, đáng tin cậy.

Trước khi khôi phục trang web cần tạo một môi trường khôi phục riêng biệt. Đó có thể là máy chủ thử nghiệm hoặc tên miền tạm thời để đảm bảo an toàn, không làm ảnh hưởng đến website chính.

Quét virus PC: Kế tiếp hãy quét máy tính để tìm phần mềm độc hại, đảm bảo những thứ bị nhiễm vào trang web sẽ không ảnh hưởng đến máy của bạn. Một số phần mềm chống virus bạn có thể cân nhắc là AVG Free Antivirus, Avast, Avira Free, Kaspersky Security Cloud, Malwarebytes…

Cập nhật & nâng cấp hệ thống: Đừng bỏ qua công tác nâng cấp tất cả các phần mềm, mã nguồn, Plugin mà trang web đang sử dụng lên phiên bản mới nhất và chú ý cập nhật hệ thống thường xuyên.

Kiểm tra bảo mật định kỳ: Sau khi hoàn tất khắc phục sự cố, hãy xác định các phần mềm, mã nguồn hoặc Plugin cụ thể đã bị hack hoặc có lỗ hổng bảo mật. Cách này sẽ giúp bạn nắm được lỗ hổng bảo mật mà hacker đã tận dụng để xâm nhập vào website và có biện pháp bảo vệ trang web khỏi những mối đe dọa tương tự trong tương lai. Thực hiện kiểm tra bảo mật định kỳ để xác định lỗ hổng mới và vấn đề tiềm ẩn đối với website, đây cũng là bước quan trọng để bảo vệ trang web của bạn khỏi sự trở lại của các nguy cơ tấn công.

An Dương (T/h)