Thật phiền toái mỗi khi mở một email tưởng như đến từ sếp, bạn bè hay ngân hàng thì hóa ra lại là mail lừa đảo. Bất kì email nào trong đống email trông có vẻ bình thường mà bạn nhận được mỗi ngày đều có thể đang cố lấy từ bạn thông tin đăng nhập hay trao cho kẻ đánh cắp danh tính hoặc dữ liệu cá nhân.
Hầu hết mọi người đều cho rằng mắc phải lừa đảo là do lỗi của người dùng, rằng họ đã click phải thứ gì đó. Để khắc phục, bạn chỉ cần đừng click lung tung nữa. Nhưng như các chuyên gia bảo mật nghiên cứu malware nhận định, có lẽ chúng ta đã nhầm.
Vấn đề thực sự của hệ thống mail web là những trường thông tin nhỏ mời gọi click vào và cuốn người dùng vào trải nghiệm web có tính tương tác cao. Không chỉ Gmail, Yahoo Mail hay các dịch vụ tương tự. Nhưng phần mềm email trên desktop như Outlook cũng hiển thị các tin nhắn như vậy.
Nói đơn giản thì email an toàn là email chỉ có văn bản, chỉ hiển thị chữ mà không nhúng link hay hình ảnh. Webmail rất tiện lợi để quảng cáo (và cho phép viết email đẹp mắt với hình ảnh và font chữ đẹp), nhưng đi kèm với chúng là những mối nguy không cần thiết và rất nguy hiểm bởi trang web (hoặc email) có thể hiển thị một thứ nhưng lại làm một thứ khác.
Đưa email trở về dạng văn bản (plain text) thôi dù nghe có vẻ sơ khai nhưng lại giúp bảo mật tốt hơn. Ngay cả các chuyên gia bảo mật hàng đầu của chính phủ cũng đã kết luận rằng bất kì ai, tổ chức hay chính phủ, quan tâm tới bảo mật web đều nên quay về dùng email plain text.
Hiểu sai vấn đề
Những năm gần đây, người dùng web mail được khuyến cáo phải hết sức chú ý tới từng email mà mình mở ra. Không mở email từ người lạ, không mở tập tin đính kèm mà không kiểm tra kĩ trước. Các tổ chức thuê công ty bảo mật để kiểm tra xem nhân viên của họ có làm đúng như vậy hay không. Nhưng lừa đảo vẫn tiếp diễn và ngày càng phổ biến.
Không thiếu những câu chuyện lừa đảo chỉ bằng một cú click trên email
Nhưng vấn đề thực sự với webmail - một sai lầm bảo mật trị giá tỉ đô - là cho rằng nếu email có thể gửi và nhận qua website, chúng có thể làm nhiều thứ hơn là chỉ hiển thị văn bản, ngay cả trang web.
Hiểm nguy sẵn có
Trình duyệt web là công cụ rất không an toàn. Trình duyệt được thiết kế để trộn mọi kiểu nội dung từ mọi nơi - văn bản từ một máy chủ, quảng cáo từ một nơi khác, hình ảnh, video từ một nơi thứ 3… Trang web là miếng vải chắp vá nhiều trang của bên thứ 3, có thể lên tới hàng tá. Để sự hòa trộn này thống nhất, trình duyệt không chỉ hiển thị mảnh này đến từ đâu hay sẽ đi về đâu khi bạn click vào.
Tệ hơn, nó cho phép trang web - ở đây là email - nói dối. Khi gõ google.com lên trình duyệt, bạn chắc chắn sẽ được đưa tới trang của Google. Nhưng khi click vào link hay nơi nào có gắn chữ Google, có thực sự bạn được tới trang Google hay không? Trừ phi cẩn thận đọc kĩ nguồn HTML, có nhiều cách để trình duyệt lừa bạn như vậy.
Khó mà biết được điều gì sẽ xảy ra sau khi click
Như thế không hề bảo mật chút nào. Người dùng không thể dự đoán hậu quả hành vi của mình hay quyết định trước liệu kết quả có chấp nhận được hay không. Một link an toàn có thể nằm ngay cạnh link có mã độc mà chẳng có khác biệt nào. Khi nhìn thấy một trang web và quyết định click vào thứ gì, chẳng cách nào biết được chuyện gì sẽ xảy ra, bạn sẽ tương tác với công ty, đơn vị nào sau đó. Trình duyệt được thiết kế để ẩn thông tin này. Nhưng ít nhất thì khi duyệt web, bạn có thể chọn bắt đầu với trang uy tín. Thế mà webmail lại đưa thẳng trang web mà kẻ tấn công tạo vào thẳng hộp thư của bạn.
Cách duy nhất để dùng webmail an toàn là học kĩ năng của nhà phát triển web. Chỉ khi đó, các đoạn code HTML, Javascript… mới trở nên rõ ràng, và chỉ khi đó bạn mới biết chuyện gì sẽ xảy ra khi click vào. Tất nhiên như vậy là phi lý khi đòi hỏi người dùng phải học những thứ phức tạp đó để tự bảo vệ mình.
Cho tới khi nhà thiết kế phần mềm, phát triển web sửa lại hệ thống webmail và trình duyệt, để người dùng biết được mình sẽ được dẫn đến đâu khi click vào, chúng ta nên làm theo lời khuyên của C.A.R. Hoare, một trong những người tiên phong của lĩnh vực an ninh máy tính: “Cái giá của sự tin cậy là theo đuổi những gì đơn giản nhất”.
Email an toàn là email chỉ có văn bản
Doanh nghiệp còn dễ bị ảnh hưởng hơn các cá nhân. Một người chỉ cần quan tâm tới khi bản thân mình click, nhưng mỗi một nhân viên lại là một điểm yếu. Chỉ làm phép tính đơn giản sẽ thấy: mỗi nhân viên có 1% bị lừa thì tổng rủi ro cho cả công ty sẽ lớn hơn nhiều. Các doanh nghiệp có 70 nhân viên trở lên thì rủi ro sẽ lớn hơn 50%. Họ phải lựa chọn kĩ càng nhà cung cấp webmail.
Từ lâu chúng ta đã thấy nhiều công nghệ thực ra lại là ý tưởng tồi dù trông có vẻ hay ho. Người dùng quan tâm tới bảo mật cần yêu cầu nhà cung cấp email đưa ra lựa chọn chỉ dùng email văn bản. Rất tiếc là những lựa chọn như thế lại rất ít.