Mọi người nói về việc tài khoản trực tuyến của họ bị “hack”, nhưng chính xác thì việc hack này xảy ra như thế nào? Thực tế là các tài khoản bị tấn công theo những cách khá đơn giản – những kẻ tấn công không sử dụng ma thuật đen.
Kiên thức là sức mạnh. Hiểu cách tài khoản thực sự bị xâm nhập có thể giúp bạn bảo mật tài khoản của mình và ngăn mật khẩu của bạn không bị “tấn công” ngay từ đầu.
Mục lục
Sử dụng lại mật khẩu, đặc biệt là mật khẩu bị rò rỉ
Nhiều người – thậm chí có thể là hầu hết mọi người – sử dụng lại mật khẩu cho các tài khoản khác nhau. Một số người thậm chí có thể sử dụng cùng một mật khẩu cho mọi tài khoản mà họ sử dụng. Đây là điều vô cùng bất an. Nhiều trang web – ngay cả những trang web lớn, nổi tiếng như LinkedIn và eHarmony – đã bị rò rỉ cơ sở dữ liệu mật khẩu trong vài năm qua. Cơ sở dữ liệu về mật khẩu bị rò rỉ cùng với tên người dùng và địa chỉ email có thể dễ dàng truy cập trực tuyến. Những kẻ tấn công có thể thử các tổ hợp địa chỉ email, tên người dùng và mật khẩu này trên các trang web khác và giành quyền truy cập vào nhiều tài khoản.
Việc sử dụng lại mật khẩu cho tài khoản email của bạn thậm chí còn khiến bạn gặp nhiều rủi ro hơn, vì tài khoản email của bạn có thể được sử dụng để đặt lại tất cả các mật khẩu khác của bạn nếu kẻ tấn công giành được quyền truy cập vào nó.
Dù bạn có giỏi bảo mật mật khẩu của mình hay không, bạn cũng không thể kiểm soát được mức độ bảo mật của các dịch vụ bạn sử dụng đối với mật khẩu của mình. Nếu bạn sử dụng lại mật khẩu và một công ty bị mất, tất cả tài khoản của bạn sẽ gặp rủi ro. Bạn nên sử dụng các mật khẩu khác nhau ở mọi nơi – trình quản lý mật khẩu có thể trợ giúp việc này .
Keylogger
Keylogger là những phần mềm độc hại có thể chạy trong nền, ghi lại mọi hành trình phím bạn thực hiện. Chúng thường được sử dụng để thu thập dữ liệu nhạy cảm như số thẻ tín dụng, mật khẩu ngân hàng trực tuyến và thông tin đăng nhập tài khoản khác. Sau đó, họ gửi dữ liệu này cho kẻ tấn công qua Internet.
Phần mềm độc hại như vậy có thể đến thông qua khai thác – ví dụ: nếu bạn đang sử dụng phiên bản Java lỗi thời , như hầu hết các máy tính trên Internet, bạn có thể bị xâm nhập thông qua một ứng dụng Java trên một trang web. Tuy nhiên, chúng cũng có thể được ngụy trang trong phần mềm khác. Ví dụ: bạn có thể tải xuống một công cụ của bên thứ ba cho một trò chơi trực tuyến. Công cụ này có thể độc hại, lấy mật khẩu trò chơi của bạn và gửi cho kẻ tấn công qua Internet.
Sử dụng một chương trình chống vi-rút phù hợp , luôn cập nhật phần mềm của bạn và tránh tải xuống phần mềm không đáng tin cậy.
Kỹ thuật xã hội
Những kẻ tấn công cũng thường sử dụng các thủ thuật kỹ thuật xã hội để truy cập vào tài khoản của bạn. Lừa đảo là một dạng kỹ thuật xã hội thường được biết đến – về cơ bản, kẻ tấn công mạo danh ai đó và yêu cầu mật khẩu của bạn. Một số người dùng chuyển giao mật khẩu của họ một cách dễ dàng. Dưới đây là một số ví dụ về kỹ thuật xã hội:
- Bạn nhận được một email tự nhận là từ ngân hàng của bạn, hướng bạn đến một trang web ngân hàng giả mạo có URL trông rất giống và yêu cầu bạn điền mật khẩu của mình.
- Bạn nhận được tin nhắn trên Facebook hoặc bất kỳ trang web xã hội nào khác từ người dùng tự nhận là tài khoản Facebook chính thức, yêu cầu bạn gửi mật khẩu để xác thực bản thân.
- Bạn truy cập một trang web hứa hẹn sẽ cung cấp cho bạn thứ gì đó có giá trị, chẳng hạn như trò chơi miễn phí trên Steam hoặc vàng miễn phí trong World of Warcraft. Để nhận được phần thưởng giả mạo này, trang web yêu cầu tên người dùng và mật khẩu của bạn cho dịch vụ.
Hãy cẩn thận về việc bạn cung cấp mật khẩu cho ai – không nhấp vào liên kết trong email và truy cập trang web ngân hàng của bạn, không cung cấp mật khẩu của bạn cho bất kỳ ai liên hệ với bạn và yêu cầu mật khẩu cũng như không cung cấp thông tin đăng nhập tài khoản của bạn cho những người không đáng tin cậy các trang web, đặc biệt là những trang web xuất hiện quá tốt để trở thành sự thật.
Trả lời các câu hỏi bảo mật
Mật khẩu thường có thể được đặt lại bằng cách trả lời các câu hỏi bảo mật. Các câu hỏi bảo mật thường cực kỳ yếu – thường là những câu như “Bạn sinh ra ở đâu?”, “Bạn học trường cấp 3 nào?” Và “Tên thời con gái của mẹ bạn là gì?”. Thông thường rất dễ dàng để tìm thấy thông tin này trên các trang mạng xã hội có thể truy cập công khai và hầu hết những người bình thường sẽ cho bạn biết họ đã học trường trung học nào nếu họ được hỏi. Với thông tin dễ lấy này, những kẻ tấn công thường có thể đặt lại mật khẩu và giành quyền truy cập vào tài khoản.
Tốt nhất, bạn nên sử dụng câu hỏi bảo mật với câu trả lời không dễ bị phát hiện hoặc đoán. Các trang web cũng nên ngăn mọi người truy cập vào tài khoản chỉ vì họ biết câu trả lời cho một số câu hỏi bảo mật và một số thì có – nhưng một số vẫn không.
Đặt lại tài khoản email và mật khẩu
Nếu kẻ tấn công sử dụng bất kỳ phương pháp nào ở trên để truy cập vào tài khoản email của bạn , bạn sẽ gặp rắc rối lớn hơn. Tài khoản email của bạn thường hoạt động như tài khoản chính của bạn trực tuyến. Tất cả các tài khoản khác mà bạn sử dụng đều được liên kết với nó và bất kỳ ai có quyền truy cập vào tài khoản email đều có thể sử dụng nó để đặt lại mật khẩu của bạn trên bất kỳ số lượng trang web nào bạn đã đăng ký bằng địa chỉ email.
Vì lý do này, bạn nên bảo mật tài khoản email của mình càng nhiều càng tốt. Điều đặc biệt quan trọng là sử dụng một mật khẩu duy nhất cho nó và bảo vệ nó cẩn thận.
Phá mật khẩu bằng cách dò
Hầu hết mọi người có thể tưởng tượng những kẻ tấn công đang thử mọi mật khẩu có thể để đăng nhập vào tài khoản trực tuyến của họ. Điều này không xảy ra. Nếu bạn cố gắng đăng nhập vào tài khoản trực tuyến của ai đó và tiếp tục đoán mật khẩu, bạn sẽ bị chậm lại và không thể thử nhiều mật khẩu.
Nếu kẻ tấn công có thể xâm nhập vào tài khoản trực tuyến chỉ bằng cách đoán mật khẩu, thì có khả năng mật khẩu là thứ hiển nhiên có thể đoán được trong vài lần thử đầu tiên, chẳng hạn như “mật khẩu” hoặc tên thú cưng của người đó.
Những kẻ tấn công chỉ có thể sử dụng các phương pháp brute-force như vậy nếu chúng có quyền truy cập cục bộ vào dữ liệu của bạn – ví dụ: giả sử bạn đang lưu trữ một tệp được mã hóa trong tài khoản Dropbox của mình và những kẻ tấn công đã giành được quyền truy cập vào nó và tải xuống tệp được mã hóa. Sau đó, họ có thể cố gắng cưỡng bức mã hóa , về cơ bản là thử mọi tổ hợp mật khẩu cho đến khi một mật khẩu hoạt động.
Những người nói rằng tài khoản của họ đã bị “tấn công” có khả năng sử dụng lại mật khẩu, cài đặt trình ghi khóa hoặc cung cấp thông tin đăng nhập của họ cho kẻ tấn công sau các thủ đoạn kỹ thuật xã hội. Chúng cũng có thể đã bị xâm nhập do kết quả của các câu hỏi bảo mật dễ đoán.
Nếu bạn thực hiện các biện pháp phòng ngừa bảo mật thích hợp, sẽ không dễ dàng “hack” tài khoản của bạn. Sử dụng xác thực hai yếu tố cũng có thể hữu ích – kẻ tấn công sẽ không chỉ cần mật khẩu của bạn để truy cập.