5 cách hacker đánh cắp mật khẩu (và cách ngăn chặn chúng)

Reading Time: 7 minutes

Khái niệm về mật khẩu đã có từ nhiều thế kỷ trước và mật khẩu đã được đưa vào máy tính sớm hơn hầu hết chúng ta có thể nhớ được. Một lý do giải thích cho sự phổ biến lâu dài của mật khẩu đó là mọi người biết cách chúng hoạt động theo bản năng. 

Tuy nhiên, mật khẩu lại là gót chân Achilles trong cuộc sống kỹ thuật số của nhiều người, đặc biệt là khi chúng ta đang sống trong thời đại mà một người bình thường có tới 100 thông tin đăng nhập cần nhớ. Với việc con số này chỉ có xu hướng tăng lên trong những năm gần đây, không có gì ngạc nhiên khi nhiều người chọn lối đi tắt như sử dụng mật khẩu dễ nhớ/sử dụng một mật khẩu cho nhiều tài khoản và kết quả là bảo mật bị ảnh hưởng.

Với việc mật khẩu thường là thứ duy nhất đứng giữa tội phạm mạng với dữ liệu cá nhân và tài chính của bạn, kẻ gian thường muốn lấy cắp hoặc bẻ khóa các thông tin đăng nhập này.

Tin tặc có thể làm gì với mật khẩu của tôi?

Mật khẩu là chìa khóa ảo cho thế giới kỹ thuật số của bạn – cung cấp quyền truy cập vào các dịch vụ ngân hàng trực tuyến, email và mạng xã hội, tài khoản Netflix và Uber cũng như tất cả dữ liệu được lưu trữ trong bộ nhớ đám mây. Với thông tin đăng nhập, một hacker có thể:

• Đánh cắp thông tin nhận dạng cá nhân của bạn và rao bán trên các diễn đàn.
• Bán quyền truy cập vào tài khoản. Các trang dark web là nơi tội phạm mạng thực hiện giao dịch chớp nhoáng trong các thông tin đăng nhập này. Những người mua có thể sử dụng quyền truy cập để nhận mọi thứ từ đi taxi miễn phí và phát video trực tuyến đến du lịch giảm giá.
• Sử dụng mật khẩu để mở khóa các tài khoản khác mà bạn sử dụng chung một mật khẩu.

Tin tặc đánh cắp mật khẩu như thế nào?

Hãy làm quen với các kỹ thuật tội phạm mạng điển hình này để quản lý các mối đe dọa tốt hơn:

1. Phishing và tấn công phi kỹ thuật (Social Engineering)

Con người là những sinh vật dễ đưa ra những quyết định sai lầm khi vội vàng. Tội phạm mạng khai thác những điểm yếu này thông qua tấn công phi kỹ thuật, một thủ thuật đánh lừa tâm lý được thiết kế để khiến chúng ta làm điều mà chúng ta không nên làm. 

Lừa đảo phishing có lẽ là ví dụ nổi tiếng nhất của tấn công phi kỹ thuật. Trong trường hợp này, tin tặc giả dạng các nhân vật bạn bè, gia đình và các công ty mà bạn đã hợp tác kinh doanh, v.v. Chúng sẽ gửi các email hoặc văn bản giả mạo bao gồm một liên kết hoặc tệp đính kèm độc hại. Nếu người nhận nhấp vào, máy tính sẽ tải xuống mã độc hoặc điều hướng một trang web giả mạo để đánh cắp mật khẩu.

May mắn thay, có rất nhiều cách để phát hiện các dấu hiệu cảnh báo của một cuộc tấn công lừa đảo. Những kẻ lừa đảo thậm chí đang sử dụng các cuộc điện thoại để trực tiếp lấy thông tin đăng nhập và thông tin cá nhân khác từ nạn nhân của chúng, thường giả vờ là các kỹ sư hỗ trợ công nghệ. Điều này được mô tả là “lừa đảo trực quan” (vishing).

2. Malware

Một cách phổ biến khác mà tội phạm mạng sử dụng để đánh cắp mật khẩu của bạn là thông qua mã độc. Email lừa đảo là phương tiện chính cho loại tấn công này, tuy nhiên, bạn cũng có thể trở thành nạn nhân khi nhấp vào quảng cáo độc hại trực tuyến (malvertising) hoặc truy cập trang web đã bị xâm phạm. Theo chuyên gia Lukas Stefanko của ESET, mã độc thậm chí có thể được ẩn đi trong một ứng dụng di động hợp pháp, thường được tìm thấy trên các cửa hàng ứng dụng của bên thứ ba.

Ví dụ, vừa phát hiện một mã độc Android được phát tán trên cửa hàng Google Play để đánh cắp thông tin của người tải xuống.

Có rất nhiều loại malware ăn cắp thông tin khác nhau nhưng một số malware phổ biến nhất được thiết kế để ghi lại các lần gõ phím của bạn hoặc chụp ảnh màn hình thiết bị của bạn và gửi lại cho những tin tặc.

3. Tấn công Brute Force

Số lượng mật khẩu trung bình mà một người bình thường phải quản lý đã tăng ước tính khoảng 25% so với cùng kỳ năm 2020. Nhiều người trong chúng ta sử dụng mật khẩu dễ nhớ (và dễ đoán) và sử dụng lại chúng trên nhiều trang web. Tuy nhiên, điều này có thể mở ra cơ hội cho kỹ thuật tấn công mật khẩu brute-force.

Một trong những biện pháp phổ biến nhất trong kỹ thuật đánh cắp mật khẩu này là sử dụng thông tin xác thực. Cụ thể, những kẻ tấn công chèn một lượng lớn các tổ hợp tên người dùng / mật khẩu từng bị đánh cắp trước đó vào phần mềm tự động. Sau đó, công cụ này sẽ thử những thông tin này trên một số lượng lớn các trang web với mục tiêu tìm thấy kết quả phù hợp. Bằng cách này, tin tặc có thể mở khóa một số tài khoản của bạn chỉ bằng một mật khẩu. Ước tính có khoảng 193 tỷ nỗ lực như vậy trên toàn cầu vào năm ngoái. Trong đó một nạn nhân đáng chú ý gần đây là Chính phủ Canada.

1/5 The GC has taken action in response to credential stuffing attacks mounted on the GCKey service and the CRA. pic.twitter.com/KZhvFKFQot

— Digital Government (@DigitalCDN) August 15, 2020

Một kỹ thuật brute-force khác được là phun mật khẩu (spraying). Trong trường hợp này, tin tặc sử dụng phần mềm tự động để thử danh sách các mật khẩu thường được sử dụng để đánh cắp tài khoản của bạn.

4. Đoán mò

Mặc dù tin tặc đã sử dụng công cụ tự động để tấn công brute-force mật khẩu của bạn, tuy nhiên đôi khi những điều này thậm chí không cần thiết. Ngay cả những phỏng đoán đơn giản, hoàn toàn trái ngược với cách tiếp cận có hệ thống hơn cũng có thể thành công. Mật khẩu phổ biến nhất của năm 2020 là “123456”, tiếp theo là “123456789”. Đứng ở vị trí thứ 4 là “password”.

Vừa rồi, đã có một công ty trở thành nạn nhân của một vụ tống tiền do đặt mật khẩu là ‘Password”.

Và nếu bạn giống như hầu hết mọi người đang sử dụng cùng một mật khẩu hoặc sử dụng mật khẩu gần giống nhau trên nhiều tài khoản, thì bạn đang khiến mọi thứ trở nên dễ dàng hơn đối với những kẻ tấn công và tự đặt mình vào nguy hiểm bị đánh cắp danh tính dễ dàng hơn.

5. Nhìn trộm

Tất cả các cách đánh cắp mật khẩu mà chúng tôi đã khám phá cho đến nay đều là trên môi trường ảo. Tuy nhiên, khi việc cách ly xã hội bắt đầu nới lỏng và nhiều công nhân bắt đầu quay trở lại văn phòng, cần nhớ rằng một số kỹ thuật nghe trộm hoặc nhìn trộm cũng có nguy cơ gây ra rủi ro.

Một phiên bản công nghệ cao hơn, được gọi là cuộc tấn công “man-in-the-middle” liên quan đến việc nghe trộm Wi-Fi. Kỹ thuật này có thể cho phép tin tặc rình rập trên các kết nối Wi-Fi công cộng nhằm đánh cắp mật khẩu của bạn khi bạn nhập mật khẩu trong khi kết nối với cùng một Wi-Fi. Cả hai kỹ thuật này đều đã tồn tại trong nhiều năm, nhưng điều đó không có nghĩa là chúng không còn là mối đe dọa.

Cách bảo vệ thông tin đăng nhập của bạn

Bạn có thể làm nhiều điều để chặn những kỹ thuật đánh cắp mật khẩu này. Hãy tham khảo những cách sau:

• Chỉ sử dụng mật khẩu hoặc cụm mật khẩu mạnh và khác nhau trên tất cả các tài khoản trực tuyến của bạn. Đặc biệt là tài khoản ngân hàng, email và tài khoản mạng xã hội. Cách tốt nhất để tạo mật khẩu mạnh là sử dụng một công cụ tạo mật khẩu ngẫu nhiên.
• Tránh sử dụng lại thông tin đăng nhập của bạn trên nhiều tài khoản và mắc các lỗi mật khẩu phổ biến khác.
• Sử dụng xác thực hai lớp (2FA) trên tất cả các tài khoản của bạn.
• Sử dụng trình quản lý mật khẩu. Công cụ này sẽ lưu trữ mật khẩu mạnh và khác nhau cho mọi trang web và tài khoản, giúp việc đăng nhập đơn giản và an toàn.
• Thay đổi mật khẩu của bạn ngay lập tức nếu nhà cung cấp cho bạn biết dữ liệu của bạn có thể đã bị xâm phạm.
• Chỉ sử dụng các trang web HTTPS để đăng nhập.
• Không nhấp vào liên kết hoặc mở file đính kèm trong các email đáng nghi.
• Chỉ tải xuống ứng dụng từ các cửa hàng ứng dụng chính thức.
• Đầu tư vào phần mềm bảo mật từ một nhà cung cấp uy tín cho tất cả các thiết bị của bạn.
• Đảm bảo tất cả các hệ điều hành và ứng dụng đều ở phiên bản mới nhất.
• Cẩn thận với những kẻ nhìn lén ở không gian công cộng.
• Không bao giờ đăng nhập vào tài khoản nếu bạn đang sử dụng Wi-Fi công cộng. Nếu bạn phải sử dụng một mạng như vậy, hãy sử dụng VPN.

Sự sụp đổ của mật khẩu đã được dự đoán trong hơn một thập kỷ. Nhưng các giải pháp thay thế mật khẩu vẫn thường gặp khó khăn trong việc thay thế chính mật khẩu đó, có nghĩa là người dùng phải tự giải quyết vấn đề. Hãy luôn cảnh giác và giữ an toàn cho dữ liệu đăng nhập của bạn.

Theo We live security