Hiện nay, với một loạt công cụ thư điện tử xuất hiện, Gmail là công cụ được Việt Nam cũng như toàn thế giới sử dụng nhiều nhất vì tính ứng dụng, bảo mật cao của chúng.. Hiểu được vấn đề
Trang 1TÌM HIỂU CÁCH THỨC BẢO VỆ AN TOÀN CHO
TÀI KHOẢN GMAIL
Trang 2LỜI NÓI ĐẦU
Cuộc cách mạng công nghiệp lần thứ tư hay thời đại 4.0 dựa trên nền tảng của cuộc mạng số đang ở giai đoạn mới phát triển Ở Việt Nam, internet đã được xã hội hóa, máy tính cá nhân ngày càng phổ biến Việc giao tiếp qua văn bản tại các cơ quan, doanh nghiệp cũng cần có sự thay đổi để bắt nhịp với thời đại số.
Để gửi một văn bản bằng giấy tờ thông qua đường bưu điện sẽ tốn khoảng 1 – 2 tuần theo cách thông thường, 1 – 3 ngày với dịch vụ chuyển phát nhanh Tất cả những công việc này sẽ chỉ tốn vài giây nếu chúng ta mã hóa chúng dưới dạng văn bản điện tử, thư điện tử Hiện nay, với một loạt công cụ thư điện tử xuất hiện, Gmail là công cụ được Việt Nam cũng như toàn thế giới sử dụng nhiều nhất vì tính ứng dụng, bảo mật cao của chúng.
Ngày nay, các thông tin được trao đổi qua dịch vụ thư điện tử ngày càng trở nên đa dạng, phong phú và cũng kéo theo sự ra đời của nhiều cách thức, phương pháp tấn công mới nhằm phá hoại hệ thống, đánh cắp thông tin
Do vậy, việc đảm bảo An Toàn Thông Tin của thư điện tử là một vấn đề đang được quan tâm, đầu tư nghiên cứu của các nhà cung cấp dịch vụ thư điện tử Hiểu được vấn đề này, nhà phát triển của công cụ Gmail cũng đã thiết kế ra những tính năng giúp người dùng yên tâm về tính bảo mật thư điện tử trong quá trình sử dụng.
Trang 3MỤC LỤC
LỜI NÓI ĐẦU 1
LỜI CẢM ƠN 3
CHƯƠNG 1 Tổng quan về Gmail 4
1.1 Gmail là gì? 4
CHƯƠNG 2 Bảo vệ tải khoản gmail 4
2.1 Rủi ro đối với tài khoản gmail 4
2.2 Cách thức để giữ an toàn cho tài khoản gmail 6
2.2.1 Tổng quan một số mẹo giữ an toàn cho tài khoản gmail 6
2.2.2 Chi tiết cách giữ an toàn cho tài khoản Gmail 7
2.2.2.1 Đặt mật khẩu mạnh, đủ an toàn 7
2.2.2.2 Kiểm tra bảo mật trên gmail 7
2.2.2.3 Bảo mật tài khoản Gmail 12
2.2.2.4 Khôi phục tài khoản Gmail 19
2.2.2.5 Sao lưu Gmail qua tài khoản Gmail dự phòng 21
TÀI LIỆU THAM KHẢO 26
Trang 4LỜI CẢM ƠN
Ttrong quá trình thực hiện môn Cơ sở an toàn thông tin này, em đã nhậnđược sự giúp đỡ tận tình, chu đáo của giảng viên hướng dẫn – thầy NguyễnMạnh Thắng – khoa An toàn thông tin, Học viện Kĩ thuật Mật mã
Cảm ơn thầy với sự hướng dẫn chi tiết, cụ thể đã giúp em hoàn thành đềtài bộ môn Cơ sở an toàn thông tin này!
SINH VIÊN THỰC HIỆN
DƯƠNG TRUNG ANH
Trang 5CHƯƠNG 1 Tổng quan về Gmail
1.1 Gmail là gì?
Gmail là một dịch vụ email được phát triển bởi Google Trong đó, người dùng
có thể khởi tạo tài khoản hoàn toàn miễn phí và sử dụng như một công cụ vậnchuyển / nhận thư điện tử giữa cá nhân với cá nhân, cá nhân và tập thể, thậm chí
là giữa doanh nghiệp với doanh nghiệp Các email sử dụng dịch vụ của Gmailthường có đuôi là @gmail.com
Gmail sở hữu nhiều chức năng ưu việt cực kì thuận tiện cho việc gửi / nhận thưcủa người dùng như đính kèm file (dung lượng tối đa 25 MB), soạn thảo văn bản
có các định dạng cụ thể như trong Word, chat trực tiếp giữa các người dùngGmail… Bên cạnh đó, đối với các định dạng file quá lớn hay quá nặng, Gmailcòn hỗ trợ tích hợp với Google Drive để bạn chèn link lưu trữ vào và gửi đi.Tốc độ gửi và nhận email của Gmail tương đối nhanh, chính xác, giao diện thânthiện với người dùng, vô cùng dễ sử dụng. Có thể nói đây là dịch vụ email tốtnhất hiện nay và bạn có thể đồng bộ sử dụng với rất nhiều tiện ích khác củaGoogle như Youtube, Google Photo, Google Driver…
Hiện nay, khi chúng ta sử dụng 1 dịch vụ nào đó như tài khoản ngân hàng, quỹbảo hiểm, thẻ tín dụng, mua hàng tuyến,… hệ thống đều yêu cầu khai báo địa
chỉ email Trên thực tế, rất nhiều người chỉ sử dụng 1 địa chỉ email duy nhất đối
với tất cả các tài khoản như trên. Do vậy sẽ rất nguy hiểm nếu họ để mất tàikhoản hoặc tin tặc đột nhập và lấy cắp thành công những dữ liệu cá nhân Emailđược dùng phổ biến nhất hiện nay là Gmail
CHƯƠNG 2 Bảo vệ tải khoản gmail
2.1 Rủi ro đối với tài khoản gmail
- Với sự phát triển vượt bậc của công nghệ, các loại rủi ro bảo mật trên Gmailcủa bạn có thể phải đối mặt đang gia tăng ở mức đáng báo động. Theo báo cáocủa keepnetlabs, đã có nhiều loại tấn công lừa đảo khác nhau, tấn công phầnmềm độc hại, tấn công ransomware với hơn 90% các cuộc tấn công mạng bắtđầu bằng email, theo báo cáo của Keepnetlabs
Trang 6- Google cung cấp cho bạn một khởi đầu thuận lợi khi nói đến việc bảo mậtemail của bạn. Gmail có một số biện pháp bảo vệ được tích hợp sẵn và các emailcủa bạn đã được sao lưu. Nhưng vì lỗi của con người là một trong những lý dohàng đầu dẫn đến vi phạm bảo mật, nên thật dễ dàng nhận thấy tầm quan trọngcủa việc học cách giữ thông tin của bạn an toàn.
Dưới đây là một số rủi ro hàng đầu mà tài khoản Gmail của bạn phải đối mặt:
Lừa đảo
Theo Kaspersky, gói ứng dụng của Google là mục tiêu phổ biến thứ sáucho các nỗ lực lừa đảo. Theo mục đích của nghiên cứu, Kaspersky đã kếthợp Gmail với YouTube và Google Drive, cùng với phần còn lại của GSuite. Kaspersky đã đo lường 1,5 triệu lần lừa đảo nhắm vào các giảipháp của Google
Phần mềm độc hại
Mỗi tuần, Google giám sát 300 tỷ tệp đính kèm trên các máy chủ củamình. Các tệp đính kèm đó là điểm nóng cho phần mềm độc hại. Tất cảnhững gì bạn phải làm là nhấp chuột và bạn đã tải vi-rút xuống thiết bịcủa mình. Công ty sử dụng trí thông minh nhân tạo để phát hiện tải xuốngđộc hại, nhưng chắc chắn sẽ có một số tải xuống. Theo Google, 56%phần mềm độc hại mà người dùng Gmail phải đối mặt đến từ các tài liệuMicrosoft Word, trong khi chỉ 2% đến từ các tệp PDF
Các cuộc tấn công DDoS
Các cuộc tấn công từ chối dịch vụ phân tán ngày càng trở nên phổ biến,khiến các trang web hàng đầu mất tiền hoa hồng trong nhiều giờ hoặcthậm chí vài ngày. Sự cố ngừng hoạt động của Google vào tháng 6 năm
2019 do tắc nghẽn mạng là một ví dụ về những gì người dùng có thể phảitrải qua nếu Gmail từng bị tấn công DDoS. Mặc dù bạn không thể làm gìnhiều để bảo vệ mình trước một cuộc tấn công như vậy, vì nó cố tìnhnhắm vào nhà cung cấp dịch vụ, điều quan trọng là bạn phải dừng lại vàsuy nghĩ về những gì bạn sẽ làm nếu Gmail ngừng hoạt động trong nhiềugiờ hoặc nhiều ngày. Bạn có bản sao lưu các số liên lạc quan trọng củamình không? Có cách nào khác để bạn có thể giao tiếp với các đối táckinh doanh không?
Brute-force attacks
Với một cuộc tấn công brute-force attack , một tin tặc xâm nhập vàomạng bằng cách đoán mật khẩu. Tin tốt về tài khoản Gmail là những nỗlực này thường không thành công. Gmail đã khiến cho các cuộc tấn côngbrute-force trở nên khó hiệu quả do công nghệ mà Google đã phát triểnđằng sau. Dịch vụ sử dụng nhiều phương pháp khác nhau để xác địnhxem có chặn nỗ lực đăng nhập hay không, bao gồm vị trí và địa chỉ IP
Trang 7 Đánh cắp mật khẩu
Lừa đảo là một cách duy nhất để mật khẩu của bạn có thể bị đánh cắp. Vídụ: nếu một virus keylogger được tải xuống một thiết bị, mật khẩu có thể
bị xóa sau khi bạn nhập. Mật khẩu của bạn cũng có thể bị đánh cắp cục
bộ. Nếu bạn viết nó vào một tờ giấy dính mà bạn đính kèm vào máy tínhcủa mình, nó có thể bị đánh cắp. Đăng nhập vào Wi-Fi công cộng màkhông sử dụng VPN cũng có thể dẫn đến đánh cắp mật khẩu. Cuối cùng,
ai đó có thể đơn giản đang theo dõi gần đó khi bạn nhập mật khẩu khi bạnđang ở một nơi công cộng
2.2 Cách thức để giữ an toàn cho tài khoản gmail
2.2.1 Tổng quan một số mẹo giữ an toàn cho tài khoản gmail
Xác định Lừa đảo và Giả mạo
Trong trường hợp giả mạo, tội phạm mạng sẽ gửi cho nạn nhân một
email dưới tên mà nạn nhân quen thuộc. Giả mạo email là một việc tươngđối dễ thực hiện và rất khó để tìm ra người gửi thực sự. Theo Báo cáođiều tra vi phạm dữ liệu năm 2018 của Verizon, tin tặc đã thực hiện các
cuộc tấn công phần mềm độc hại qua email Lừa đảo là một trong những
cuộc tấn công bằng phần mềm độc hại có nguy cơ cao và được những kẻtấn công mạng sử dụng để đánh lừa người dùng nhằm lấy thông tin nhạycảm như tài khoản ngân hàng hoặc mã bảo mật và Mật khẩu dùng một lần(OTP). Vì vậy, nếu bạn nhận được một email yêu cầu bạn cung cấp thôngtin cá nhân như số pin, chi tiết thẻ của bạn, v.v. chỉ cần bỏ qua email đó
và đánh dấu nó vào thư rác
Xác định các dấu hiệu tấn công ransomware có thể xảy ra
Các cuộc tấn công ransomware được gửi qua thư hoặc các con đườngkhác như các trang web. Nhưng các cuộc tấn công ransomware luôn phụthuộc vào hành động của người dùng cuối. Vì vậy, nếu bạn nhận đượcemail có tệp đính kèm trông khó chịu, đừng tải xuống. Luôn tắt tính năng
Tự động mở Tệp của bạn
Kiểm tra trước khi đăng thông tin đăng nhập email
Luôn chú ý đến việc kiểm tra nguồn email trước khi bạn tải xuống bất kỳtệp đính kèm nào. Lưu ý không nhập thông tin đăng nhập email trên trangweb hoặc nhấp vào quảng cáo có thể trở nên độc hại
Ghi nhãn
Luôn chú ý đến việc gắn nhãn các email của bạn cho phù hợp. Các emailquan trọng phải được lưu trữ hoặc chuyển vào một thư mục riêng. TrênGmail, tùy chọn bộ lọc có khả năng tự động gắn nhãn, lưu trữ, xóa, gắndấu sao và chuyển tiếp email đến của bạn, tạo quy tắc lọc email của bạn
Trang 8 Mật khẩu
Luôn giữ mật khẩu của bạn là duy nhất bằng cách sử dụng kết hợp cácbảng chữ cái, số và ký tự đặc biệt. Đây là nhiệm vụ cơ bản nhất để giữ antoàn cho email của bạn. Bạn sẽ ngạc nhiên nhưng một trong những lý dochính gây ra các cuộc tấn công mạng qua email là mật khẩu yếu. Theobáo cáo của SecureThoughts, có hơn hàng trăm và hàng nghìn người đãthực sự giữ mật khẩu của họ là "mật khẩu". Sử dụng một mật khẩu đơngiản hoặc kết hợp các mật khẩu tương tự cho các trang web khác nhau chỉ
là rủi ro rõ ràng
2.2.2 Chi tiết cách giữ an toàn cho tài khoản Gmail
“ Gmail có An toàn và Bảo mật không?
Gmail sử dụng nhiều công nghệ hiện đại để giữ an toàn cho dữ liệu trên mạngcủa mình. Mã hóa Bảo mật tầng truyền tải (TLS) có nghĩa là email của bạn antoàn trong quá trình vận chuyển và khi chúng ở trạng thái nghỉ trên máy chủ củabạn. Nếu bạn bật xác thực hai yếu tố, tài khoản của bạn sẽ được bảo vệ khỏinhững lần đăng nhập tài khoản trái phép. Google cũng thường xuyên điều chỉnhmọi thứ để đảm bảo rằng tin tặc không thể truy cập vào dữ liệu của bạn ”
2.2.2.1 Đặt mật khẩu mạnh, đủ an toàn
Dài ít nhất 12 ký tự Mật khẩu càng dài - càng tốt
Sử dụng chữ hoa và chữ thường, số và các ký hiệu đặc biệt Mật khẩu baogồm các ký tự hỗn hợp sẽ khó bị bẻ khóa hơn
Không chứa các thứ tự bàn phím dễ nhớ
Không dựa trên thông tin cá nhân của bạn
Mật khẩu là duy nhất cho mỗi tài khoản bạn có
2.2.2.2 Kiểm tra bảo mật trên gmail
- Nếu gần đây bạn chưa sử dụng, bạn nên tiến hành kiểm tra bảo mật trên tài
khoản của mình. Google sẽ xem xét nhanh tài khoản của bạn và cho bạn biết vềbất kỳ vấn đề nào bạn cần giải quyết. Công cụ này được thiết kế để xem mậtkhẩu bạn đã lưu trong Chrome, các thiết bị không hoạt động có quyền truy cậpvào tài khoản của bạn và các vấn đề với cài đặt Gmail của bạn cần được giảiquyết. Bạn có thể chạy kiểm tra bảo mật tại đây:
https://myaccount.google.com/security-checkup
Trang 9- Bạn cũng có thể kiểm tra cài đặt bảo mật của mình theo cách thủ công Trong cửa sổ Gmail của bạn, chọn Cài đặt ở góc trên bên phải. Kiểmtra các tab sau:
Trang 10 Tài khoản và Nhập - Cuộn xuống “Gửi thư bằng địa chỉ” và đảm bảo
rằng địa chỉ là địa chỉ bạn muốn hiển thị khi gửi email. Bên dưới đó, bạn
sẽ thấy “Cấp quyền truy cập vào tài khoản của bạn”. Xác minh rằng
những người được cấp quyền đọc email của bạn là được cho phép Cuối
cùng, nhấp vào tab “Kiểm tra thư từ các tài khoản khác ” và đảm bảo
rằng tất cả các email được liệt kê ở đó là của bạn
Bộ lọc và Địa chỉ bị Chặn - Xem lại danh sách này và đảm bảo rằng bạnkhông chuyển tiếp email đến bất kỳ nơi nào mà bạn không muốn chúngchuyển đi. Đồng thời kiểm tra các bộ lọc xóa một số email nhất định
Trang 11 Chuyển tiếp và POP / IMAP - Kiểm tra tại đây để đảm bảo rằng emailkhông bị chuyển tiếp đến một tài khoản không mong muốn. Đồng thờiđảm bảo cài đặt POP và IMAP của bạn là chính xác.
* POP - POP hoạt động bằng cách liên hệ với dịch vụ email của bạn và tảixuống tất cả các thư mới của bạn từ đó Sau khi được tải xuống PC hoặcmáy Mac của bạn, chúng sẽ bị xóa khỏi Dịch vụ email Điều này có nghĩa
là sau khi tải xuống email, ứng dụng này chỉ có thể truy nhập bằng cùng
một máy tính Nếu bạn tìm cách truy nhập email của mình từ một thiết bị
khác, các thư đã được tải về trước đó sẽ không khả dụng cho bạn
Thư đã gửi được lưu trữ cục bộ trên PC hoặc máy Mac của bạn, chứkhông phải trên máy chủ email
Rất nhiều nhà cung cấp dịch vụ Internet (ISP) cung cấp cho bạn các tàikhoản email sử dụng POP
* IMAP - IMAP cho phép bạn truy nhập email của mình ở bất kỳ đâu, từmọi thiết bị Khi bạn đọc thư email bằng IMAP, bạn không thực sự tảixuống hoặc lưu trữ nó trên máy tính của bạn; thay vào đó, bạn đang đọc
nó từ dịch vụ email Kết quả là, bạn có thể kiểm tra email của bạn từ cácthiết bị khác nhau, bất kỳ đâu trên thế giới: điện thoại của bạn, máy tính,máy tính của bạn
IMAP chỉ tải xuống thư khi bạn bấm vào đó và phần đính kèm khôngđược tự động tải xuống Bằng cách này, bạn có thể kiểm tra các tin nhắncủa bạn nhanh hơn nhiều so với POP
Trang 12 Kiểm tra đường dẫn URL khi đăng nhập gmail - Nạn lừa đảo qua hìnhthức Fishing – là khi tin tặc khéo léo “dụ dỗ” người dùng vào những trangquen thuộc và yêu cầu họ cung cấp địa chỉ email, mật khẩu cũng như cácthông tin cá nhân khác Quy luật ở đây là không nên truy cập vào nhữngđường dẫn lạ được gửi tới hòm thư email của bạn, luôn kiểm tra đườngdẫn URL thực sự trên thanh Address để chắc chắn rằng đó là domainchính thức của Gmail:
Kiểm tra Gmail để phát hiện những hành động bất thường Khoảng
hơn 1 năm trước, Google đã cung cấp thêm tính năng cảnh báo về nhữnghành động khác lạ trong tài khoản đến người dùng Do vậy, các bạn có thểkiểm tra các thao tác xảy ra gần đây nhất, chức năng này sẽ hiển thị đầy
đủ tác vụ trong 10 lần đăng nhập mới nhất Và dựa vào vị trí địa lý, địachỉ IP cũng như thời gian truy cập, người sử dùng sẽ biết được chuyện gìđang xảy ra Để xem được, bạn kéo chuột xuống cuối cùng màn hình,
nhấp vào Chi tiết/Details như hình dưới:
Trang 13Các hoạt động Gmail gần đây sẽ được liệt kê, nếu thấy những hoạt động bấtthường hãy chọn Đăng xuất khỏi tất cả các phiên web khác và đổi mật khẩungay lập tức.
2.2.2.3 Bảo mật tài khoản Gmail
Đảm bảo email khôi phục và số điện thoại của bạn được cập nhật. Nếu tài khoảncủa bạn bị xâm phạm, Gmail sẽ sử dụng thông tin này để xác nhận bạn là chính
Trang 14mình. Để kiểm tra thông tin này , hãy truy cập và xác minh rằng địa chỉ email
và số điện thoại thay thế của bạn là chính xác
- Bạn cần bật xác minh 2 bước bằng cách truy cập vào đây :
https://myaccount.google.com/signinoptions/two-step-verification
Bạn sẽ cần có thiết bị phụ được kết nối với tài khoản Google của mình, thường
là điện thoại di động để xác minh rằng bạn là người đang cố gắng đăng nhập vàotài khoản của mình
Trang 15Thêm 1 số điện thoại cá nhân mình hay sử dụng vào đó:
Có 2 hình thức chính để nhận mã đăng nhập: qua tin nhắn văn bản hoặc qua cuộc gọi điện thoại, tùy người dùng chọn.
Trang 16Ngoài ra, để phòng trừ tình huống người dùng không đem theo điện thoại cánhân có số điện thoại đó bên cạnh, google có hỗ trợ thêm 1 tùy chọn nhận mãkhác:
Trang 17Sau khi thêm được số điện thoại và hình thức nhận mã xong, chuyển sang bước tiếp theo Lúc này hệ thống sẽ gửi mã qua số điện thoại: