Thuật ngữ “Metaverse” lần đầu tiên được biết đến vào năm 1992 bởi tác giả Neal Stephenson trong cuốn tiểu thuyết khoa học viễn tưởng “Snow Crash” của ông, trong đó Metaverse là thuật ngữ để mô tả một thế giới ảo - nơi con người tương tác với nhau và sử dụng hình ảnh số hóa của chính họ để khám phá thế giới trực tuyến.
Khi Metaverse phát triển, nó sẽ mở ra không gian trực tuyến tương tác của người dùng đa chiều hơn so với các công nghệ hiện tại. Theo thống kê của hãng nghiên cứu Gartner, doanh thu toàn cầu của các công nghệ nền tảng đối với Metaverse là AR/VR dự báo sẽ tăng từ 12 tỷ USD năm 2020 lên tới 72,8 tỷ USD năm 2024. Cũng theo Gartner dự báo, hơn 25% dân số sẽ dành ít nhất 1 giờ/ngày để thực hiện giao dịch hoặc giao lưu trong Metaverse vào năm 2026.
Hiện nay, nhiều doanh nghiệp, công ty công nghệ lớn trên thế giới đã và đang ứng dụng Metaverse vào nhiều lĩnh vực khác nhau như thương mại, giải trí, chăm sóc sức khỏe, giáo dục đào tạo,… Metaverse đặc biệt được chú ý hơn từ sự kiện đổi tên Facebook thành Meta vào cuối năm 2021, với tham vọng chuyển toàn bộ định hướng hoạt động của mình sang Metaverse trong vòng 10 năm tới. Một mục tiêu mà họ đặt ra cho chính mình: “Có 1 tỷ người dùng hoạt động trong Metaverse vào năm 2030”. Facebook cho biết sẽ đầu tư khoảng 10 tỷ đô la mỗi năm vào việc phát triển công nghệ để hướng tới mục tiêu này. Tầm nhìn của Giám đốc điều hành Meta, Mark Zuckerberg là tạo một thế giới thực tế ảo có thể thay đổi cách chúng ta kết nối hoặc làm việc với mọi người.
Những lợi ích và tiềm năng của Metaverse là điều mà mọi người luôn nhắc tới và nhận thấy rõ, tuy nhiên, trong bối cảnh các hình thức tấn công mạng đang trở nên nguy hiểm và tinh vi hơn, chúng ta cũng không nên đánh giá thấp những rủi ro và mối đe dọa bảo mật liên quan đến công nghệ mới này. Trong Metaverse, chuyển động của mọi người thực hiện đều là một điểm dữ liệu và nếu có thể truy cập vào nó vượt qua được sự bảo mật lỏng lẻo của hệ thống, thì đây chính là cơ hội lớn để tấn công đối với các tin tặc.
Mặc dù tấn công kỹ nghệ xã hội không phải là một kỹ thuật mới, nhưng nó cũng là một mối đe dọa cần phải chú ý trong thế giới Metaverse. Đây là một hình thức tấn công lừa đảo mà tin tặc tác động trực tiếp đến tâm lý người dùng để đánh lừa họ cung cấp các thông tin nhạy cảm. Ví dụ: tin tặc có thể xâm nhập vào Metaverse để mạo danh công ty, nhà cung cấp, quan chức,…
Lừa đảo qua email và tin nhắn là những hình thức tấn công phổ biến trên Internet ngày nay, trong đó là tấn công sử dụng kỹ nghệ xã hội để đánh cắp mật khẩu và dữ liệu thông tin cá nhân. Với Metaverse, điều đó có thể còn dễ dàng hơn, đặc biệt nếu mọi người nghĩ rằng đang nói chuyện và trao đổi với một người mà họ biết và tin tưởng, trong khi đó thực tế là một người hoàn toàn khác.
Một trong những khía cạnh quan trọng của Metaverse là người dùng được đại diện trong môi trường ảo bằng các hình ảnh đại diện tùy chỉnh. Tin tặc có thể tạo một hình đại diện giống một người dùng bất kỳ, sau đó sử dụng chính hình đại diện này để phục vụ cho các cuộc tấn công kỹ nghệ xã hội, hoặc như với bất kỳ tài khoản trực tuyến nào khác, chúng có thể đột nhập vào tài khoản thật. Trong một bài đăng vào cuối tháng 3/2022, Charlie Bell - Phó Chủ tịch điều hành Microsoft đã thảo luận về những thách thức đối với Metaverse, trong đó đề cập đến việc người dùng có thể bị lừa đảo trên Metaverse dựa trên những thông tin định danh, đó có thể là hình đại diện của một giao dịch viên, người thân, bạn bè, hay là hành vi mạo danh lãnh đạo của người dùng mời họ tham gia vào một phòng họp ảo chứa những payload độc hại.
Andrew Newman, người sáng lập và CTO tại công ty an ninh mạng ReasonLabs chia sẻ: “Một tỷ lệ lớn tài khoản người dùng luôn bị xâm phạm. Đó là điều chắc chắn sẽ mở rộng sang thế giới ảo Metaverse”. Việc sử dụng hình đại diện ảo cũng mang đến một vấn đề khác, đó là làm cách nào để xác minh rằng bạn đang nói chuyện với con người? Các bot trò chuyện dựa trên văn bản đã phổ biến để giúp cung cấp cho mọi người các dịch vụ khách hàng. Sự phát triển của trí tuệ nhân tạo có nghĩa là bot sẽ chỉ tương tác và phản hồi với mọi người tốt hơn. Lewis Duke, kỹ sư của công ty an ninh mạng Trend Micro cho biết: “Bạn có thể đang tương tác với ai đó và không biết đó là người hay bot hay AI”.
Trên thực tế, bề mặt tấn công của Metaverse khá rộng, có thể mở rộng phạm vi với các phần mềm dựa trên web, API và các cổng thanh toán trực tuyến.
Các nhà nghiên cứu bảo mật từ Đại học Rutgers cho biết vào đầu năm nay, họ đã kiểm tra cách các tính năng ra lệnh bằng giọng nói trên tai nghe thực tế ảo có thể dẫn đến vi phạm quyền riêng tư nghiêm trọng, được gọi là “tấn công nghe trộm”. Mối đe dọa này cho thấy tin tặc có khả năng sử dụng một số tai nghe thực tế ảo (AR/VR) có cảm biến chuyển động tích hợp để ghi lại cử chỉ khuôn mặt liên quan đến lời nói, dẫn đến khả năng đánh cắp thông tin nhạy cảm được truyền thông qua điều khiển kích hoạt bằng giọng nói, bao gồm thông tin thẻ tín dụng và mật khẩu. Nguyên nhân cốt lõi của vấn đề dường như là do thiếu xác thực người dùng.
Bên cạnh đó, tai nghe thực tế ảo chỉ là một loại thiết bị và việc cài đặt phần mềm độc hại trên đó sẽ cho phép tin tặc có quyền truy cập vào hệ thống, đánh cắp thông tin cá nhân. Trong thế giới Metaverse, có các lớp bổ sung để phần mềm độc hại có thể tương tác. “Rõ ràng là nó có quyền truy cập vào toàn bộ hệ thống tệp thiết bị của bạn. Nhưng điều đáng sợ hơn nữa là nó có quyền truy cập vào một số tính năng như chụp màn hình, xem màn hình và tất cả những thông tin rất nhạy cảm về quyền riêng tư”, Newman cảnh báo.
Các nhà nghiên cứu an ninh mạng tại ReasonLabs đã xác định một cuộc tấn công nhằm vào người dùng Metaverse. Còn được gọi là “Big Brother”, nó dựa trên việc tải xuống phần mềm độc hại khai thác chế độ nhà phát triển (Developer Mode) và có thể được sử dụng để ghi lại màn hình, cũng như tải các tệp độc hại hoặc giả mạo những gì người dùng có thể nhìn thấy trong giới hạn của tai nghe. Điều đó có nghĩa là các cuộc tấn công có thể không chỉ bị hạn chế thực hiện các hoạt động độc hại trong chính Metaverse – nếu tin tặc có thể kiểm soát hoàn toàn tai nghe thì chúng có thể gây tổn hại về thể chất của người dùng.
Ngoài ra, khi đặt vấn đề rủi ro về quyền riêng tư trong Metaverse, chúng ta cũng cần quan tâm lượng dữ liệu nhạy cảm được thu thập. Nhà cung cấp Metaverse sẽ kiểm soát tất cả các khía cạnh của không gian ảo của họ, thu thập lượng lớn dữ liệu người dùng và kiếm tiền từ dữ liệu được thu thập.
Các chuyên gia bảo mật nhận định các nhóm tin tặc sẽ bị thu hút vào Metaverse vì khối lượng giao dịch thương mại điện tử khổng lồ diễn ra trong thế giới này. Chúng sẽ cố gắng lợi dụng người dùng để đánh cắp tiền và chiếm đoạt tài sản số của họ.
Giống như nhiều loại tiền tệ đã tồn tại trong thế giới thực, Metaverse sẽ sử dụng loại tiền tệ hoặc tiền điện tử của riêng nó. Cần chú ý rằng, tiền điện tử cũng có thể dẫn đến sự gia tăng đáng kể các hoạt động rửa tiền trong nền kinh tế ảo của không gian số Metaverse. Khi các loại tiền số này được thiết lập để phát triển, việc thiếu các quy định về trao đổi an toàn giữa người mua và người bán có thể dẫn đến những mối đe dọa liên quan đến trao đổi tiền tệ.
NFT có thể gặp vấn đề về tính toàn vẹn. NFT quy định quyền sở hữu những khối tài sản nhưng lại không cung cấp lưu trữ cho các tài sản. Điều này có thể dẫn đến tấn công mã độc tống tiền hoặc các cuộc tấn công khác. Nếu các tệp dữ liệu NFT bị mã hóa trong các cuộc tấn công bằng mã độc tống tiền thì người dùng sẽ vẫn giữ được quyền sở hữu, nhưng họ có thể bị chặn truy cập vào tài sản nếu họ không trả tiền chuộc.
Trong bản báo cáo về Metaverse vào tháng 8/2022, hãng bảo mật Trend Micro đã đưa ra một số nguy cơ và mối đe dọa bảo mật khác. Trong đó có một số rủi ro có thể bao gồm: Các tác động môi trường của Metaverse, ví dụ khai thác bitcoin sử dụng lượng điện rất lớn; Các vấn đề về thực thi các chính sách và vi phạm bản quyển; Kiểm duyệt lời nói và các hoạt động trong Metaverse như tin tức giả, thù địch, chủ nghĩa cực đoan, bắt nạt, quấy rối, phân biệt chủng tộc; Các sự cố ngắt mạng do đường truyền uplink (kết nối có dây hoặc không dây từ mạng cục bộ đến mạng diện rộng) hoặc mất điện cần được xử lý an toàn.
Mặc dù là một công nghệ với những tiềm năng lớn và được dự báo một tương lai đầy hứa hẹn, tuy nhiên những rủi ro bảo mật của Metaverse đã hiện hữu và chúng ta cần phải nhận thức rõ ràng trước những mối đe dọa như vậy. Bài báo đã chỉ ra những thách thức bảo mật liên quan đến Metaverse, từ thực tế đó cho thấy sự cấp thiết đối với các tổ chức, doanh nghiệp trong giai đoạn bắt đầu triển khai các mô hình bảo mật mới nhằm bảo vệ những ứng dụng được thiết kế cho Metaverse. Để hạn chế các mối đe dọa tiềm tàng trong thế giới Metaverse, các tổ chức, doanh nghiệp nên áp dụng chiến lược phòng thủ chuyên sâu, với nhiều lớp kiểm soát bảo mật trong toàn bộ hệ thống công nghệ thông tin.
Hồng Đạt
23:00 | 02/09/2022
08:45 | 28/12/2015
08:00 | 15/03/2024
Bảo mật công nghệ trí tuệ nhân tạo (AI) đặt ra nhiều thách thức và luôn thay đổi trong bối cảnh chuyển đổi số hiện nay. Khi công nghệ AI phát triển, rủi ro và bề mặt tấn công cùng các mối đe dọa mới ngày càng tăng cao. Điều này đặt ra yêu cầu đối với các nhà phát triển, tổ chức và doanh nghiệp phải có cách tiếp cận chủ động, thường xuyên đánh giá và cập nhật các biện pháp bảo mật.
08:00 | 21/12/2023
Theo số liệu của DataReportal, hiện Việt Nam đang có khoảng 49,9 triệu người sử dụng mạng xã hội TikTok, xếp thứ 6 trên 10 quốc gia có số người sử dụng TikTok nhiều nhất thế giới. Đáng chú ý là mạng xã hội này đang dần chiếm lĩnh thị trường nhờ vào những đoạn video có nội dung đa dạng mang tính "gây nghiện", thu hút mọi lứa tuổi trong đó có trẻ em. Tuy nhiên không như những mạng xã hội khác, TikTok thường xuyên bị cáo buộc việc gây ra những rủi ro nghiêm trọng về bảo mật và quyền riêng tư của người dùng. Thời gian qua đã có ít nhất 10 quốc gia cấm sử dụng ứng dụng này, trong đó có những nguyên nhân là do Tiktok gây ảnh hưởng nghiêm trọng tới suy nghĩ và hành động của trẻ em.
10:00 | 20/09/2023
ChatGPT và các mô hình ngôn ngữ lớn (LLM) tương tự đã làm tăng thêm độ phức tạp trong bối cảnh mối đe dọa trực tuyến ngày càng gia tăng. Tội phạm mạng không còn cần các kỹ năng mã hóa nâng cao để thực hiện gian lận và các cuộc tấn công gây thiệt hại khác chống lại các doanh nghiệp và khách hàng trực tuyến nhờ vào bot dưới dạng dịch vụ, residential proxy, CAPTCHA và các công cụ dễ tiếp cận khác. Giờ đây, ChatGPT, OpenAI và các LLM khác không chỉ đặt ra các vấn đề đạo đức bằng cách đào tạo các mô hình của họ về dữ liệu thu thập trên Internet mà LLM còn đang tác động tiêu cực đến lưu lượng truy cập web của doanh nghiệp, điều này có thể gây tổn hại lớn đến doanh nghiệp đó.
15:00 | 03/09/2023
Để bảo vệ thông tin dữ liệu được an toàn và tránh bị truy cập trái phép, mã hóa là một trong những cách thức hiệu quả nhất đảm bảo dữ liệu không thể đọc/ghi được, ngay cả trong trường hợp bị xâm phạm. Trong số 1 (065) 2022 của Tạp chí An toàn thông tin đã hướng dẫn về cách mã hóa ổ đĩa cứng sử dụng Bitlocker. Tuy nhiên, với người dùng phiên bản Windows 10 Home thì giải pháp này lại không được hỗ trợ. Bài viết sau sẽ giới thiệu đến độc giả VeraCrypt, một công cụ mã hóa miễn phí đa nền tảng với khả năng hỗ trợ nhiều thuật toán mật mã và hàm băm, cho phép người dùng mã hóa các tệp tin, phân vùng hệ thống và tạo ổ đĩa ảo mã hóa với tùy chọn phù hợp.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
