8 thủ thuật đánh cắp mật khẩu phổ biến nhất mà chúng ta thường gặp

Rate this post

Khi bạn nghe đến cụm từ “bẻ khóa bảo mật”, điều gì sẽ nghĩ đến đầu tiên? Một hacker ngồi trước màn hình máy tính với từng dòng ký tự xanh đỏ chạy lung tung như trong phim The Matrix? Một người đàn ông trẻ đang viết nguệch ngoạc trong tầng hầm của ngôi nhà, trong nhiều tuần mà không chạm vào ánh sáng mặt trời? Hay một siêu máy tính mạnh mẽ thực hiện một vụ hack trên toàn thế giới?

Thực tế, mọi thứ không mang màu sắc “điện ảnh” đến thế, dù có đa dạng đến đâu thì về bản chất “bẻ khóa bảo mật” vẫn chỉ nhắm vào một thứ duy nhất: mật khẩu của bạn. Nếu ai đó có thể đoán được mật khẩu, họ sẽ không phải dùng đến các kỹ thuật hack hay siêu máy tính lạ mắt, chỉ cần đăng nhập và sử dụng tài khoản đó. Trong trường hợp mật khẩu của bạn ngắn và đơn giản, xin chúc mừng… bạn đang giao tài khoản của mình cho một hacker.

Trong bài viết này, chúng ta sẽ xem xét 8 thủ thuật đánh cắp mật khẩu phổ biến nhất.

1. Hack từ điển

Mật khẩu bị rò rỉ nhiều nhất năm 2016.

Đầu tiên trong danh sách và cũng là một kiểu tấn công cực kỳ phổ biến: tấn công từ điển. Sở dĩ có tên gọi này là do hacker sẽ sử dụng một thuật toán để tự động thử tất cả các từ được tải sẵn trong “từ điển” và quy về mật khẩu cần đánh cắp. “Từ điển” này hoàn toàn không phải là công cụ mà chúng ta biết ở trường học, nó thực sự là một tệp nhỏ chứa các tổ hợp mật khẩu thường được người dùng sử dụng nhất, ví dụ: 123456, qwerty, password, iloveyou, hunter2…

Bảng dưới đây là danh sách các mật khẩu bị rò rỉ nhiều nhất của năm 2020. Hãy lưu ý hai bảng và tránh sử dụng những mật khẩu cực kỳ đơn giản này.

Thuận lợi: Mở khóa nhanh chóng và dễ dàng một số tài khoản được bảo mật kém.

Khuyết điểm: Hiệu quả không cao với những mật khẩu phức tạp.

Các biện pháp phòng ngừa: Sử dụng mật khẩu mạnh, riêng biệt cho từng tài khoản, kết hợp với các ứng dụng quản lý mật khẩu chuyên dụng. Trình quản lý mật khẩu cho phép bạn lưu trữ mật khẩu của mình trong một kho lưu trữ an toàn và sử dụng một mật khẩu phức tạp, duy nhất sẽ tự động điền khi đăng nhập vào các trang web.

2. Brute Force (Tấn công phát hiện mật khẩu)

Với thủ thuật này, hacker sẽ thử mọi cách kết hợp ký tự có thể để tìm ra mật khẩu của bạn với những quy tắc khá phức tạp như ký tự viết hoa, ký tự viết thường, số thập phân của Pi, số thứ tự pizza của bạn…

Ngoài ra, cuộc tấn công Brute Force cũng ưu tiên thử các tổ hợp ký tự chữ và số được người dùng sử dụng thường xuyên nhất. Có thể kể đến những mật khẩu được liệt kê trong bảng trên: 1q2w3e4r5t, zxcvbnm, qwertyuiop… Để dò mật khẩu bằng phương pháp này sẽ khá mất thời gian, tuy nhiên điều đó hoàn toàn phụ thuộc vào mức độ. độ phức tạp của mật khẩu.

Thuận lợi: Về mặt lý thuyết, có thể bẻ khóa bất kỳ mật khẩu nào bằng cách thử mọi cách kết hợp.

Khuyết điểm: Tốn thời gian vì phụ thuộc vào độ dài và độ phức tạp của mật khẩu. Hơn nữa, chỉ với một vài biến như; $, &, {hoặc]việc tìm kiếm mật khẩu sẽ vô cùng “vất vả”.

Các biện pháp phòng ngừa: Luôn sử dụng kết hợp các ký tự và chèn các ký hiệu đặc biệt để tăng độ phức tạp của mật khẩu.

3. Lừa đảo (Scam)

Đây hoàn toàn không phải là một vụ “hack”, nhưng những con mồi sa vào những trò lừa đảo này thường nhận kết quả khá tệ. Thủ thuật được sử dụng là gửi hàng tỷ email lừa đảo tới người dùng internet trên toàn cầu.

Lừa đảo qua email thường hoạt động theo cách sau:

1. Target sẽ nhận được email mạo danh một tổ chức hoặc doanh nghiệp lớn

2. Email giả mạo này thu hút sự chú ý của người nhận và bao gồm một liên kết đến một trang web

3. Liên kết này thực sự sẽ dẫn đến một cổng đăng nhập giả mạo, với thiết kế giao diện giống với trang web gốc

4. Người dùng không nghi ngờ và điền vào thông tin đăng nhập của họ, sau đó được chuyển hướng đến một trang web khác hoặc được yêu cầu thử lại

5. Thông tin người dùng bị tin tặc đánh cắp, bán hoặc phục vụ cho các mục đích bất chính.

Dù đã được kiểm soát nhưng số lượng email rác được gửi đi trên toàn thế giới vẫn rất lớn, chiếm hơn một nửa tổng số email được gửi đi trên toàn cầu. Hơn nữa, số lượng tệp đính kèm độc hại cũng không ngừng tăng lên, theo Kaspersky, có hơn 92 triệu tệp nguy hiểm từ tháng 1 đến tháng 6 năm 2020. Và đây chỉ là những số liệu do Kaspersky tổng hợp. , vì vậy con số thực tế có thể lớn hơn nhiều.

Năm 2017, hình thức lừa đảo phổ biến nhất là giả mạo hóa đơn. Tuy nhiên, đến năm 2020, ảnh hưởng của đại dịch Covid-19 đã được sử dụng để tạo ra một hình thức lừa đảo mới.

Vào tháng 4 năm 2020, không lâu sau khi nhiều quốc gia trên thế giới buộc phải xa cách xã hội vì đại dịch, Google thông báo rằng họ đang chặn hơn 18 triệu email lừa đảo và spam độc hại mỗi ngày, lợi dụng chủ đề Covid 19. Trong số họ, có một số lượng lớn các email mạo danh chính phủ hoặc tổ chức y tế để đảm bảo tính hợp pháp và khiến nạn nhân mất cảnh giác.

Thuận lợi: Tỷ lệ tiếp cận đối tượng tương đối cao, lợi dụng sự chủ quan của người dùng để nắm bắt thông tin đăng nhập và mật khẩu, đồng thời dễ dàng tinh chỉnh phù hợp với từng loại hình dịch vụ hoặc cá nhân cụ thể.

Khuyết điểm: Email rác dễ dàng bị lọc, đưa vào danh sách đen, các nhà cung cấp dịch vụ email lớn như Google thường xuyên cập nhật các công cụ bảo vệ.

Các biện pháp phòng ngừa: Tăng mức lọc email spam lên cao nhất hoặc tốt hơn nữa là chủ động tạo danh sách trắng. Sử dụng công cụ kiểm tra liên kết để xác định xem liên kết email có hợp pháp hay không trước khi nhấp vào.

4. Kỹ thuật xã hội

Social Engineering về bản chất là một cuộc tấn công lừa đảo trong thế giới thực thay vì trên màn hình.

Trong các giai đoạn kiểm toán an toàn thông tin, phần cốt lõi là đánh giá thông tin mà người dùng biết. Do đó, công ty an ninh mạng sẽ trực tiếp gọi điện cho cá nhân, doanh nghiệp mà họ đang thanh tra để tìm hiểu. Lợi dụng điều này, hacker sẽ gọi cho mục tiêu và đóng giả là một nhóm hỗ trợ công nghệ mới và cần mật khẩu của nạn nhân để phục vụ một nhiệm vụ cụ thể. Khi đó, rất có thể nạn nhân sẽ không nghi ngờ gì và giao nộp bí mật của mình.

Điều đáng sợ là tần suất mà thủ thuật này tái diễn, Social Engineering đã tồn tại hàng thế kỷ dưới nhiều hình thức khác nhau. Mạo danh đi vào khu vực cấm là phương thức tấn công phổ biến và chỉ có thể ngăn chặn khi nạn nhân nhận thức được. Bởi với thủ thuật này, hacker không phải trực tiếp nhắc đến mật khẩu mà có thể nhập vai, chẳng hạn như thợ sửa ống nước hoặc thợ điện để được phép vào khu vực cấm …

Thuận lợi: Tin tặc chuyên nghiệp có thể thu thập thông tin có giá trị cao từ nhiều mục tiêu. Áp dụng cho hầu hết các cá nhân, địa điểm và cực kỳ kín đáo.

Khuyết điểm: Không chắc chắn trong việc thu thập thông tin cần thiết, dễ bị lộ khi có sai sót.

Các biện pháp phòng ngừa: Khá khó để phát hiện ra bởi vì hầu hết các cuộc tấn công hoàn tất trước khi nạn nhân nhận ra điều gì đó không ổn. Vì vậy, bạn cần nâng cao ý thức, cảnh giác và tránh đăng thông tin cá nhân dễ bị lợi dụng về sau.

5. Rainbow Table (Bàn cầu vồng)

Rainbow Table là một hình thức tấn công mật khẩu ngoại tuyến. Ví dụ: Hacker đã lấy được danh sách tên người dùng và mật khẩu, nhưng chúng đã được mã hóa. Mật khẩu được mã hóa đã được băm, vì vậy nó sẽ xuất hiện hoàn toàn khác với mật khẩu ban đầu.

Ví dụ: mật khẩu “logmein”, khi được mã hóa bằng băm MD5 sẽ dẫn đến “8f4047e3233b39e4444e1aef240e80aa”, một chuỗi ký tự dường như vô nghĩa.

Trong trường hợp này để giải quyết vấn đề, tin tặc sẽ chạy một thuật toán băm để băm danh sách các mật mã phổ biến được lưu trữ dưới dạng văn bản thuần túy, sau đó tham chiếu chéo kết quả với tệp. mật khẩu được mã hóa. Trên thực tế, thuật toán mã hóa khá dễ giải mã, và nếu băm bằng MD5 thì càng đơn giản hơn (đó là lý do tại sao chúng ta biết được hàm băm cụ thể của “logmein”).

Tuy nhiên, để tiết kiệm thời gian, thay vì phải xử lý hàng trăm nghìn mật khẩu tiềm năng và khớp chúng với hàm băm, hacker có thể sử dụng Bảng cầu vồng – là một tập kết quả của các giá trị được băm. được xử lý trước, giảm đáng kể thời gian cần thiết để giải mã mật khẩu đã băm. Hơn nữa, tin tặc vẫn có thể mua thêm Bàn cầu vồng đã được lấp đầy với hàng triệu tổ hợp tiềm năng.

Thuận lợi: Có thể bẻ khóa các mật khẩu phức tạp trong một khoảng thời gian ngắn, ngoài ra, tin tặc có thể gia tăng giá trị.

Khuyết điểm: Yêu cầu ổ cứng lớn để lưu Rainbow Table (đôi khi vài terabyte). Ngoài ra, hacker cũng bị giới hạn bởi số lượng giá trị đặt trước trong Bảng (nếu không muốn thì bạn phải thêm bảng khác).

Các biện pháp phòng ngừa: Tránh bất kỳ trang web nào sử dụng thuật toán băm SHA1 hoặc MD5 hoặc các trang web hạn chế mật mã trong chuỗi ký tự ngắn hoặc chỉ được phép sử dụng một số ký tự nhất định. Và tất nhiên, luôn sử dụng mật khẩu phức tạp.

6. Phần mềm độc hại / Keylogger

Đây là một thủ thuật cực kỳ phổ biến khác vì phần mềm độc hại có thể nằm rải rác khắp nơi, có khả năng gây ra thiệt hại lớn. Nếu biến thể phần mềm độc hại có tính năng keylogger, thì tình huống là tài khoản của bạn có thể “không cánh mà bay”.

Ngoài ra, phần mềm độc hại có thể nhắm mục tiêu cụ thể vào dữ liệu cá nhân của bạn hoặc gửi ra một Trojan điều khiển từ xa để lấy cắp thông tin đăng nhập của bạn.

Thuận lợi: Có hàng nghìn biến thể phần mềm độc hại với nhiều tùy chỉnh khác nhau, cùng với đó là vô số cách thức xâm nhập vào hệ thống. Ngay cả một biến thể của phần mềm độc hại cũng có khả năng phá hoại rất cao, khó xác định, cho phép “càn quét” dữ liệu cá nhân và thông tin đăng nhập.

Khuyết điểm: Có thể bị vô hiệu hóa hoặc cách ly trước khi truy cập vào dữ liệu, không có gì đảm bảo rằng dữ liệu bị đánh cắp sẽ hữu ích.

Các biện pháp phòng ngừa: Cài đặt và cập nhật thường xuyên phần mềm chống vi rút và bảo mật. Kiểm tra cẩn thận các nguồn tải xuống. Không nhấp vào các gói cài đặt có chứa phần mềm rác và những thứ khác. Tránh xa các trang web không an toàn. Sử dụng các công cụ chặn các đoạn mã độc hại.

7. Thêu (Thu thập thông tin)

Thêu có liên quan đến cuộc tấn công từ điển mà chúng tôi đã đề cập ở trên. Nếu một hacker nhắm mục tiêu vào một tổ chức hoặc doanh nghiệp cụ thể, anh ta sẽ thử một loạt mật khẩu liên quan đến chính doanh nghiệp đó. Tin tặc có thể đọc và so khớp một loạt các thuật ngữ có liên quan hoặc sử dụng công cụ thu thập thông tin “tìm kiếm nhện” để thực hiện công việc.

“Con nhện tìm kiếm” này sẽ thu thập thông tin trên internet, thu thập thông tin liên quan đến mục tiêu và lập danh sách. Danh sách này sau đó sẽ được sử dụng để so khớp để lấy cắp mật khẩu tài khoản.

Thuận lợi: Tài khoản của các cá nhân cấp cao trong tổ chức có thể được mở khóa. Tương đối dễ kết hợp với tấn công từ điển và tăng sức mạnh của cả hai.

Khuyết điểm: Không hiệu quả với các hệ thống tổ chức an toàn cao.

Các biện pháp phòng ngừa: Sử dụng mật khẩu mạnh, duy nhất cho từng tài khoản, bao gồm các chuỗi ký tự ngẫu nhiên, không liên quan đến cá nhân, doanh nghiệp, tổ chức …

8. Lướt sóng vai

Điều gì sẽ xảy ra nếu ai đó nhìn vào màn hình khi bạn đang nhập mật khẩu của mình?

Lướt qua vai nghe có vẻ hơi nực cười, nhưng nó luôn xảy ra. Nếu bạn đang làm việc trong một quán cà phê đông đúc ở trung tâm thành phố và không chú ý, ai đó có thể đến đủ gần để ghi lại mật khẩu của bạn trong khi bạn đang nhập mật khẩu.

Thuận lợi: Đơn giản, không cần công nghệ.

Khuyết điểm: Mục tiêu phải được xác định trước khi tìm thấy mật khẩu, mật khẩu này có thể bị lộ trong quá trình thực hiện hành vi.

Các biện pháp phòng ngừa: Chú ý đến môi trường xung quanh khi nhập mật khẩu, che bàn phím khi nhập.

Luôn sử dụng mật khẩu mạnh, duy nhất, duy nhất

Vì vậy, làm thế nào bạn có thể ngăn chặn tin tặc đánh cắp mật khẩu của bạn? Thật không may, không có cách nào để đảm bảo bạn luôn an toàn 100% vì các công cụ và thủ thuật mà tin tặc sử dụng liên tục thay đổi. Nhưng bạn vẫn có cách để giảm thiểu rủi ro, đó là: luôn sử dụng mật khẩu mạnh, duy nhất và duy nhất cho từng tài khoản.

Giang Vu theo Tận dụng

Thanh Thuy

Leave a Reply

Your email address will not be published.