Theo MakeUseOf, thực tế về cụm từ "bẻ khoá bảo mật" không hề phức tạp và bí hiểm như bạn nghĩ, và nhìn chung mọi hành động liên quan đến việc này đều tập trung vào một vấn đề cốt lõi: bẻ khoá mật mã. Trong bài viết này, VnReview sẽ điểm qua 7 thủ đoạn đánh cắp mật khẩu phổ biến nhất thế giới.

Ảnh minh họa.

1. Tấn công "Từ điển"

Đây là thủ đoạn đơn giản và phổ biến nhất trong danh sách. Tại sao lại gọi là Tấn công "Từ điển"? Bởi hacker sẽ sử dụng một thuật toán để tự động thử tất cả các từ/cụm từ có sẵn trong một "Từ điển" - một tập tin nhỏ chứa các từ/cụm từ phổ biến mà người dùng trên toàn thế giới thường sử dụng để đặt mật mã. Ví dụ: 123456, qwerty, password, mynoob, princess, baseball, hunter2...

Ưu điểm: nhanh, thường thành công đối với một số tài khoản bảo mật lỏng lẻo

Nhược điểm: khả năng thành công thấp đối với các mật mã phức tạp

Cách phòng tránh: dùng các mật mã phức tạp hơn và riêng biệt cho mỗi tài khoản, có thể kết hợp với một ứng dụng quản lý mật mã để lưu trữ toàn bộ các mật mã của bạn và sử dụng một mật khẩu duy nhất (master password) phức tạp, khó đoán hơn để tự động điền các mật mã trên khi truy cập vào các trang web.

2. Tấn công Brute Force

Tương tự như Tấn công "Từ điển", nhưng trong Brute Force, hacker không sử dụng tập tin "Từ điển" mà sẽ cố gắng kết hợp mọi ký tự/từ/cụm từ có thể để tìm ra mật mã của bạn. Quy luật kết hợp cũng rất đa dạng và phức tạp, ví dụ 1 ký tự viết hoa, 1 ký tự viết thường, số lẻ của số Pi...

Tất nhiên, tấn công Brute Force trước tiên cũng sẽ cố kết hợp các từ/cụm từ phổ biến trong danh sách ở phần 1, như: 1q2w3e4r5t, zxcvbnm, qwertyuiop...

Ưu điểm: trên lý thuyết sẽ có thể bẻ khoá mọi mật mã

Nhược điểm: mật mã càng dài và phức tạp, thời gian bẻ khoá càng lâu. Đặc biệt nếu mật mã có các kí tự như $, &, { hay ] thì đến cả Brute Force cũng phải "toát mồ hôi hột"

Cách phòng tránh: kết hợp càng nhiều ký tự/từ/cụm từ khác nhau càng tốt, nên thêm vào các ký tự đặc biệt để tăng độ khó của mật mã.

3. Thủ đoạn "Lừa đảo" (Phishing)

Cách này không được xếp vào hàng "bẻ khoá", bởi hacker sẽ dụ dỗ người dùng thông qua một số mánh khoé lừa đảo. Thủ đoạn này thường gặp nhất dưới hình thức lừa đảo qua email.

- Đầu tiên, hacker sẽ gởi cùng lúc hàng tỉ email tới người dùng trên toàn cầu, dưới danh nghĩa một tập đoàn hay tổ chức lớn có danh tiếng

- Email này thường yêu cầu người nhận phải chú ý, và có kèm theo mộ đường dẫn đến một trang web

- Đường dẫn này thực ra liên kết đến một trang đăng nhập giả mạo, được thiết kế trông y hệt trang đăng nhập thực tế

- Người nhận không hề hay biết và điền các thông tin cá nhân vào đó, hoặc bị dẫn đến trang khác...

- Thông tin người dùng được gởi về cho hacker và bị đem bán hoặc sử dụng vào nhiều mục đích khác.

Mặc dù một số mạng lưới botnet lớn đã bị đánh sập vào năm 2016, nhưng số liệu cuối 2016 vẫn cho thấy số lượng email spam đã tăng gấp 4 lần. Hơn nữa, số lượng các tập tin đính kèm nguy hiểm cũng tăng với tốc độ chóng mặt, thể hiện trong biểu đồ bên dưới:

Ưu điểm: dụ dỗ người dùng trực tiếp giao mật mã, khả năng thành công cao, dễ dàng được thay đổi để tương thích với nhiều dịch vụ khác nhau (trong đó Apple ID là mục tiêu được nhắm đến nhiều nhất)

Nhược điểm: email spam dễ bị lọc bởi các dịch vụ email hoặc các máy lọc spam

Cách phòng tránh: hiện trên Internet có rất nhiều bài viết về phòng tránh lừa đảo qua email, hoặc bạn có thể tăng mức độ lọc spam trên dịch vụ mình đang sử dụng lên mức cao nhất, và luôn kiểm tra kỹ các đường dẫn trước khi click vào đó.

4. Tấn công Phi kỹ thuật (Social Engineering)

Tấn công Phi kỹ thuật là hình thức tương tự Phising nhưng diễn ra ngoài đời thực, không cần sử dụng bất kỳ biện pháp kỹ thuật nào.

Một phần quan trọng trong công việc của một nhân viên kiểm toán bảo mật thông tin là kiểm tra các thông tin mà người dùng của họ nắm được. Để làm như vậy, các công ty an ninh mạng thường cho nhân viên của mình gọi điện thoại trực tiếp đến đối tượng mà họ đang thực hiện kiểm toán. Hacker sẽ gọi cho nạn nhân và thông báo rằng hắn ta là nhân viên hỗ trợ mới, và hắn cần mật mã của họ để phục vụ mục đích kiểm toán, kiểm tra hệ thống... Tất nhiên, nạn nhân không hề nghi ngờ gì và sẽ lập tức trao mật mã.

Tấn công Phi kỹ thuật đã tồn tại từ hàng thế kỷ. Thông qua thủ thuật mạo danh để đi vào những khu vực cấm là một ví dụ điển hình, và chỉ có thể bị phát hiện nếu nạn nhân có một số kiến thức cụ thể. Bởi trong thủ thuật tấn công này, hacker không nhất thiết phải hỏi trực tiếp mật mã, chúng có thể đóng vai một người thợ sửa nước hay sửa điện để đi vào khu vực bảo mật...

Ưu điểm: các hacker chuyên nghiệp có thể thu thập được nhiều thông tin có giá trị rất cao từ một nhóm đối tượng người dùng. Thủ đoạn này có thể được áp dụng với bất kỳ ai, trong bất kỳ hoàn cảnh nào, và cực kỳ bí mật.

Nhược điểm: nếu bị lộ sẽ "rút dây động rừng", đồng thời thông tin thu được chưa chắc đã hoàn toàn đúng.

Cách phòng tránh: rất khó để phòng tránh. Hầu hết nạn nhân chỉ nhận ra mình đã bị lừa sau khi hacker đã hoàn thành công việc. Bạn cần phải nắm được những kiến thức và những lưu ý về mặt an ninh, và hạn chế đưa ra các thông tin cá nhân có thể ảnh hưởng đến mình sau này.

5. Phương thức Bảng cầu vồng (Rainbow Table)

Bảng cầu vòng là hình thức tấn công mật mã ngoại tuyến, trong đó hacker nắm được một danh sách username và mật mã, nhưng đã bị mã hoá. Mật mã mã hoá đã bị băm (hashed), do đó nó sẽ hiển thị ra khác hoàn toàn với mật mã gốc. Ví dụ: mật mã logmein sẽ bị băm ra thành 8f4047e3233b39e4444e1aef240e80aa.

Để bẻ khoá mật khẩu này, hacker sẽ chạy một thuật toán băm, trong đó băm một danh sách các mật mã phổ biến và so sánh chúng với các mật mã mã hoá. Nếu mật mã được băm bằng MD5 thì còn dễ dàng hơn, vì thuật toán MD5 hiện có thể bị giải mã khá dễ dàng.

Tất nhiên, thay vì phải xử lý hàng trăm ngàn mật mã và sau đó mang chúng ra so sánh, hacker có thể sử dụng một Bảng cầu vồng - vốn là một danh sách các giá trị đã được giải mã từ trước, giúp giảm thời gian bẻ khoá đi nhiều lần.

Ưu điểm: có thể bẻ khoá một lượng lớn mật mã trong thời gian ngắn.

Nhược điểm: cần ổ cứng lớn để lưu trữ các Bảng cầu vồng, và các giá trị được lưu trong Bảng cầu vồng cũng hạn chế (trừ khi có bảng khác bổ sung)

Cách phòng tránh: tránh sử dụng các trang web băm mật mã bằng SHA1 hay MD5, hoặc các trang web giới hạn mật mã của bạn trong một chuỗi ký tự ngắn, hoặc cấm sử dụng một số ký tự. Luôn sử dụng mật mã càng phức tạp càng tốt.

6. Malware/Keylogger

Đây là thủ đoạn quá phổ biến và nhiều người gặp phải.

Ảnh minh họa.

Sự việc được chia sẻ gần đây nhất diễn ra ở tài khoản của một người bán hàng trực tuyến trên mạng xã hội Facebook, thu hút hàng nghìn lượt share, comment. "Đầu tiên vào lúc 15h47 có 1 số lạ 088 8501xxx và 028 71098xxx‬ gọi cho mình tự xưng là nhân viên của T., nó đọc đúng 100% tất cả các giao dịch của mình ngày hôm qua, đọc đúng cả số thẻ của mình luôn. Nó lựa chọn đúng giao dịch nhiều tiền nhất của mình, đọc đúng số tiền mình đã nhận lẫn lời nhắn gửi “ck mua tom 5,2kg”. Và bảo là hiện tại không xác định được người gửi số tiền này, bên nó sẽ gửi 1 mã OTP cho mình, mình hãy cung cấp mã OTP cho nó, nếu không tài khoản sẽ bị phong toả 72h và số tiền 2.652.000 kia sẽ chuyển hoàn vào tài khoản của người gửi cho mình . ‬Mình không chịu cung cấp mã OTP thì đúng là tài khoản ngân hàng của mình đã bị treo mất 10 phút không giao dịch được" - nữ khách hàng kể lại sự việc trên MXH. ‬‬‬‬‬‬‬‬

May mắn là nữ khách hàng này đã không chịu cung cấp mã OTP nên kẻ lừa đảo đã không thể chiếm đoạt được tiền trong tài khoản. Hiện tại, nội dung trên đã được nữ khách hàng xóa trên Facebook cá nhân chuyên bán thực phẩm nhập khẩu, song vụ việc vẫn tiếp tục được lan truyền rộng khắp trên mạng xã hội và các diễn đàn, thu hút sự quan tâm của dư luận.