Top 8 thủ thuật đánh cắp mật khẩu phổ biến

Khi nghe thấy cụm từ “bẻ khóa bảo mật”, điều gì hiện ra trong đầu bạn trước tiên? Một gã hacker ngồi cắm mặt trước màn hình máy tính với từng dòng ký tự xanh đỏ chạy rối rắm hệt như trong bộ phim Ma trận? Một gã thanh niên vọc vạch dưới tầng hầm của căn nhà, suốt nhiều tuần không chạm đến ánh sáng Mặt trời? Hay một siêu máy tính mạnh mẽ đang thực hiện mưu đồ hack toàn thế giới?

2130679

Thật ra, mọi thứ không quá đậm màu “điện ảnh” đến vậy, dù có muôn hình vạn trạng thế nào đi nữa thì về bản chất “bẻ khóa bảo mật” vẫn chỉ nhắm về một thứ: mật khẩu của bạn. Nếu ai đó có thể đoán được mật khẩu, họ sẽ không cần phải sử dụng đến các kỹ thuật hack có vẻ “màu mè” hay những siêu máy tính, đơn giản là chỉ cần đăng nhập và sử dụng tài khoản đó. Trong trường hợp mật khẩu của bạn lại ngắn và đơn giản, thì xin chúc mừng… bạn đang tự tay dâng tài khoản của mình cho hacker đấy.

Trong bài viết này, chúng ta sẽ cùng điểm qua 8 thủ thuật đánh cắp mật khẩu phổ biến nhất.

1. Dictionary Hack (Tấn công từ điển)

2130688

Ưu điểm: Nhanh chóng, dễ dàng mở khóa một số tài khoản bảo mật kém.

Nhược điểm: Tác dụng không cao với những mật khẩu phức tạp.

Cách đề phòng: Sử dụng một mật khẩu mạnh, riêng biệt cho từng tài khoản, kết hợp với các ứng dụng quản lý mật khẩu chuyên dụng. Trình quản lý mật khẩu cho phép bạn lưu trữ các mật khẩu của mình trong một kho lưu trữ an toàn và sử dụng một mật khẩu duy nhất, phức tạp, tự động điền khi đăng nhập vào các trang web.

2. Brute Force (Tấn công dò mật khẩu)

Với thủ thuật này, hacker sẽ cố gắng thử mọi tổ hợp ký tự có thể khớp nối để tìm ra mật mã của bạn với những quy luật cũng khá phức tạp như một chữ hoa, một chữ thường, số thập phân của số Pi, số đơn hàng order pizza của bạn…

Ngoài ra, tấn công Brute Force cũng ưu tiên thử các tổ hợp giữa ký tự chữ và số được người dùng sử dụng thường xuyên nhất. Có thể kể đến như những mật khẩu đã được liệt kê ở bảng trên: 1q2w3e4r5t, zxcvbnm, qwertyuiop… Để dò ra mật khẩu theo phương pháp này sẽ mất kha khá thời gian, nhưng điều đó còn hoàn toàn phụ thuộc vào mức độ phức tạp của mật khẩu.

Ưu điểm: Về mặt lý thuyết, có thể bẻ khóa bất kỳ mật khẩu nào bằng cách thử mọi tổ hợp.

Nhược điểm: Tốn thời gian vì phụ thuộc vào độ dài và độ phức tạp của mật khẩu. Hơn nữa, chỉ cần có một vài biến số như  $, &, { hoặc ] thì việc tìm ra mật khẩu sẽ cực kỳ “khó nhằn”.

Cách đề phòng: Luôn sử dụng kết hợp nhiều ký tự và chèn thêm các biểu tượng đặc biệt để tăng độ phức tạp của mật khẩu.

3. Phishing (Lừa đảo)

Đây chưa hẳn gọi là “hack”, nhưng những con mồi sập bẫy những vụ lừa đảo này vẫn thường nhận lấy hậu quả khá tồi tệ. Thủ đoạn được sử dụng là gửi hàng tỷ email lừa đảo đến người dùng internet trên toàn cầu.

Thủ thuật lừa đảo qua email thường được vận hành theo cách thức như sau:

1. Mục tiêu sẽ nhận được một email giả mạo danh tính một tổ chức hoặc doanh nghiệp lớn

2. Email giả mạo này thu hút sự chú ý của người nhận và có kèm theo liên kết đến một trang web

3. Liên kết này thật ra sẽ dẫn đến một cổng đăng nhập giả mạo, có thiết kế giao diện giống hệt như trang web gốc

4. Người dùng không mảy may nghi ngờ và điền thông tin đăng nhập của họ, sau đó sẽ được chuyển hướng đến trang web khác hoặc được yêu cầu thử lại

5. Thông tin người dùng bị hacker đánh cắp, bán hoặc phục vụ cho những mục đích bất chính.

Dù đã được kiểm soát nhưng số lượng email rác (spam) được gửi đi trên toàn thế giới vẫn rất lớn, chiếm hơn một nửa tổng số email được gửi đi trên toàn cầu. Hơn nữa, số lượng tập tin độc hại đính kèm cũng không ngừng tăng lên, theo Kaspersky ghi nhận là hơn 92 triệu tập tin nguy hiểm từ tháng 1 đến tháng 6 năm 2020. Và đây mới chỉ là số liệu được tổng hợp bởi Kaspersky, vì thế con số thực tế có thể lớn hơn rất nhiều.

2130682

Vào năm 2017, chiêu trò lừa đảo thịnh hành nhất là các hóa đơn giả. Tuy nhiên, đến năm 2020, ảnh hưởng từ đại dịch Covid-19 đã bị lợi dụng để tạo nên một hình thức lừa đảo mới.

Tháng 4 năm 2020, không lâu sau khi nhiều quốc gia trên thế giới buộc phải giãn cách xã hội vì đại dịch, Google thông báo họ đã chặn hơn 18 triệu email lừa đảo và spam độc hại mỗi ngày, lợi dụng chủ đề Covid-19. Trong đó, có một số lượng lớn các email mạo danh chính phủ hoặc các tổ chức y tế để đảm bảo tính hợp pháp và khiến nạn nhân mất cảnh giác.

Ưu điểm: Tỷ lệ tiếp cận đối tượng tương đối cao, lợi dụng sự chủ quan của người dùng để chiếm thông tin đăng nhập, mật khẩu, dễ dàng tinh chỉnh phù hợp với từng loại dịch vụ hoặc cá nhân cụ thể.

Nhược điểm: Email spam dễ dàng bị lọc, nằm trong danh sách đen, các nhà cung cấp dịch vụ email chính như Google thường xuyên cập nhật các công cụ bảo vệ.

Cách đề phòng: Tăng cấp độ lọc email spam lên cao nhất hoặc tốt hơn hết là chủ động lập ra whitelist (danh sách trắng). Sử dụng công cụ link checker để xác định liên kết email có hợp pháp hay không trước khi nhấp vào.

4. Social Engineering (Tấn công phi kỹ thuật)

Social Engineering về bản chất là tấn công lừa đảo trong thế giới thực thay vì qua màn hình.

Trong các giai đoạn kiểm định bảo mật thông tin, thì phần cốt lõi chính là đánh giá những thông tin mà người dùng nắm được. Vì thế, công ty an ninh mạng sẽ gọi điện trực tiếp cho cá nhân, doanh nghiệp mà họ đang kiểm định để tìm hiểu. Lợi dụng điều này, hacker sẽ gọi điện cho mục tiêu và mạo danh là đội ngũ hỗ trợ công nghệ mới và cần mật khẩu của nạn nhân để phục vụ cho một nhiệm vụ cụ thể. Khi đó, rất có thể nạn nhân sẽ không nghi ngờ gì và giao bí mật của mình.

Điều đáng sợ chính là tần suất mà thủ thuật này tái diễn, Social Engineering đã tồn tại trong nhiều thế kỷ dưới nhiều hình thức khác nhau. Mạo danh để xâm nhập vào một khu vực hạn chế là một phương thức tấn công phổ biến và chỉ có thể ngăn ngừa khi nạn nhân hiểu biết về nó. Bởi với thủ thuật này, hacker không nhất thiết phải đề cập trực tiếp đến mật khẩu, mà có thể vào một vai nào đó, chẳng hạn như thợ sửa ống nước hay thợ điện để được phép đi vào khu vực hạn chế…

Ưu điểm: Hacker chuyên nghiệp có thể thu thập thông tin có giá trị cao từ một loạt các mục tiêu. Áp dụng được với hầu hết cá nhân, địa điểm và cực kỳ kín kẽ.

Nhược điểm: Không chắc chắn thu được thông tin cần thiết, dễ bị lộ khi xảy ra lỗi.

Cách đề phòng: Khá khó nhận biết vì hầu hết vụ tấn công đều hoàn tất trước khi nạn nhân kịp nhận ra có thứ gì đó không ổn. Vì thế bạn cần nâng cao nhận thức, cảnh giác và tránh đăng những thông tin cá nhân dễ bị lợi dụng sau này.

5. Rainbow Table (Bảng cầu vồng)

Rainbow Table là một dạng tấn công mật khẩu ngoại tuyến. Ví dụ: Hacker đã chiếm được một danh sách tên người dùng và mật khẩu, nhưng chúng lại bị mã hóa. Mật khẩu mã hóa đã được băm (hashed), vì thế sẽ hiển thị khác hoàn toàn so với mật khẩu gốc.

Ví dụ: mật khẩu “logmein”, khi mã hóa dùng hàm băm MD5 sẽ cho kết quả là “8f4047e3233b39e4444e1aef240e80aa”, một dãy ký tự trông có vẻ vô nghĩa.

2130676

Trong trường hợp này để giải quyết vấn đề, hacker sẽ chạy một thuật toán hàm băm để băm một danh sách mật mã phổ biến được lưu trữ ở dạng plain-text (văn bản thuần), sau đó tham chiếu chéo kết quả với file mật khẩu đã được mã hóa. Thực tế, thuật toán mã hóa khá dễ giải mã và nếu được băm bằng MD5 thì lại càng đơn giản (đó là lý do tại sao chúng ta lại biết hàm băm cụ thể của “logmein”).

Dù vậy, để tiết kiệm thời gian, thay vì phải xử lý hàng trăm nghìn mật khẩu tiềm năng và đem chúng ra khớp nối với kết quả băm, hacker có thể sử dụng Rainbow Table – là một bộ kết quả  các giá trị băm đã được xử lý trước, giúp giảm đáng kể thời gian cần thiết để giải mã mật khẩu đã được băm. Hơn nữa, các hacker vẫn có thể mua thêm các Rainbow Table đã được điền sẵn hàng triệu tổ hợp tiềm năng.

Ưu điểm: Có thể bẻ khóa các mật khẩu phức tạp trong khoảng thời gian ngắn, ngoài ra hacker còn có thể tăng thêm các giá trị.

Nhược điểm: Đòi hỏi ổ cứng dung lượng lớn để lưu trữ Rainbow Table (đôi khi là vài terabyte). Ngoài ra, hacker còn bị giới hạn bởi lượng giá trị định sẵn trong Table (nếu không muốn như thế thì buộc phải thêm một bảng khác).

Cách đề phòng: Tránh bất kỳ trang web nào sử dụng thuật toán băm SHA1 hoặc MD5, hay các trang web giới hạn mật mã trong chuỗi ký tự ngắn hoặc chỉ được phép sử dụng các ký tự nhất định. Và dĩ nhiên, luôn sử dụng mật khẩu phức tạp.

6. Malware/Keylogger

2130691

Đây lại là một thủ thuật cực kỳ phổ biến khác vì malware có thể rải ở khắp mọi nơi, với khả năng gây thiệt hại lớn. Nếu biến thể malware sở hữu tính năng keylogger, thì tình hình là tài khoản của bạn có thể “không cánh mà bay”.

Ngoài ra, malware có thể chọn mục tiêu cụ thể là các dữ liệu cá nhân hoặc gửi đi một Trojan điều khiển từ xa để lấy cắp thông tin đăng nhập của bạn.

Ưu điểm: Có hàng ngàn biến thể malware với rất nhiều tùy chỉnh khác nhau, kèm theo vô vàn cách thức để xâm nhập hệ thống. Dù chỉ một biến thể malware cũng có khả năng phá hoại rất cao, khó nhận diện, cho phép “càn quét” dữ liệu cá nhân và thông tin đăng nhập.

Nhược điểm: Có thể bị vô hiệu hóa hoặc cách ly trước khi truy xuất đến dữ liệu, không đảm bảo dữ liệu đánh cắp sẽ có ích.

Cách đề phòng: Cài đặt và thường xuyên cập nhật các phần mềm diệt virus và bảo mật. Kiểm tra cẩn thận các nguồn tải xuống. Không nhấp vào các gói cài đặt chứa phần mềm rác và những thứ khác. Tránh xa các trang web không an toàn. Sử dụng các công cụ chặn các script độc hại.

7. Spidering (Thu thập dữ liệu)

2130694

Spidering liên kết với tấn công dạng từ điển mà chúng ta đã đề cập ở trên. Nếu hacker nhắm đến mục tiêu là một tổ chức hoặc doanh nghiệp cụ thể, hắn sẽ thử một loạt các mật khẩu có liên quan đến chính doanh nghiệp đó. Hacker có thể đọc và đối chiếu một loạt các thuật ngữ liên quan hoặc sử dụng công cụ thu thập thông tin “con nhện tìm kiếm” để làm việc.

“Con nhện tìm kiếm” này sẽ bò khắp internet, thu thập thông tin liên quan đến mục tiêu và lập thành danh sách. Danh sách này sau đó sẽ được sử dụng để khớp nối nhằm đánh cắp mật mã tài khoản.

Ưu điểm: Có thể mở khóa tài khoản của các cá nhân cấp cao trong tổ chức. Tương đối dễ dàng để kết hợp với tấn công từ điển và tăng sức mạnh của cả hai.

Nhược điểm: Không hiệu quả với những hệ thống tổ chức bảo mật nghiêm ngặt.

Cách đề phòng: Sử dụng những mật khẩu mạnh, dùng riêng cho mỗi tài khoản, bao gồm các chuỗi ký tự ngẫu nhiên, không liên quan đến cá nhân, doanh nghiệp, tổ chức…

8. Shoulder surfing

 

Điều gì sẽ xảy ra nếu ai đó nhìn vào màn hình trong khi bạn đang nhập mật khẩu của mình?

Shoulder surfing nghe có vẻ hơi vô lý, nhưng nó vẫn luôn xảy ra. Nếu bạn đang làm việc trong một quán cà phê đông đúc nằm ở trung tâm thành phố và không để ý đến xung quanh, ai đó có thể đến gần để lén ghi lại mật khẩu khi bạn đang nhập nó.

Ưu điểm: Đơn giản, không yêu cầu về công nghệ.

Nhược điểm: Phải xác định được mục tiêu trước khi tìm ra mật khẩu, có thể bị lộ trong quá trình thực hiện hành vi.

Cách đề phòng: Hãy chú ý quan sát xung quanh khi nhập mật khẩu, che bàn phím trong khi nhập.

Luôn sử dụng mật khẩu mạnh, duy nhất, riêng biệt

Vậy làm cách nào để có thể ngăn chặn hacker đánh cắp mật khẩu của bạn? Đáng tiếc là không có cách nào để đảm bảo bạn luôn được an toàn 100% vì những công cụ và thủ thuật mà giới hacker sử dụng luôn không ngừng thay đổi. Nhưng bạn vẫn có cách để giảm thiểu nguy cơ, đó là: luôn sử dụng mật khẩu mạnh, duy nhất và dùng riêng cho mỗi tài khoản.