|
Với sự phát triển không ngừng công nghệ tin học của TG đă có rất nhiều bước đột phá giúp cả TG phát triển nhanh chóng. Thế nhưng cùng với điều này là đă xuất hiện không ít các hacker chuyên đi ăn cắp cá thông tin của người sử dụng để trục lợi. Đây chính là điều mà bài viết dưới đây muốn đề cập tới các phương pháp ăn cắp phổ biến của chúng.
Theo MakeUseOf, thực tế về cụm từ "bẻ khoá bảo mật" không hề phức tạp và bí hiểm như bạn nghĩ, và nh́n chung mọi hành động liên quan đến việc này đều tập trung vào một vấn đề cốt lơi: bẻ khoá mật mă. Trong bài viết này, VnReview sẽ điểm qua 7 thủ đoạn đánh cắp mật khẩu phổ biến nhất thế giới.
1. Tấn công "Từ điển"
Đây là thủ đoạn đơn giản và phổ biến nhất trong danh sách. Tại sao lại gọi là Tấn công "Từ điển"?
Bởi hacker sẽ sử dụng một thuật toán để tự động thử tất cả các từ/cụm từ có sẵn trong một "Từ điển" - một tập tin nhỏ chứa các từ/cụm từ phổ biến mà người dùng trên toàn thế giới thường sử dụng để đặt mật mă. Ví dụ: 123456, qwerty, password, mynoob, princess, baseball, hunter2...
Ưu điểm: nhanh, thường thành công đối với một số tài khoản bảo mật lỏng lẻo
Nhược điểm: khả năng thành công thấp đối với các mật mă phức tạp
Cách pḥng tránh: dùng các mật mă phức tạp hơn và riêng biệt cho mỗi tài khoản, có thể kết hợp với một ứng dụng quản lư mật mă để lưu trữ toàn bộ các mật mă của bạn và sử dụng một mật khẩu duy nhất (master password) phức tạp, khó đoán hơn để tự động điền các mật mă trên khi truy cập vào các trang web.
2. Tấn công Brute Force
Tương tự như Tấn công "Từ điển", nhưng trong Brute Force, hacker không sử dụng tập tin "Từ điển" mà sẽ cố gắng kết hợp mọi kư tự/từ/cụm từ có thể để t́m ra mật mă của bạn. Quy luật kết hợp cũng rất đa dạng và phức tạp, ví dụ 1 kư tự viết hoa, 1 kư tự viết thường, số lẻ của số Pi...
Tất nhiên, tấn công Brute Force trước tiên cũng sẽ cố kết hợp các từ/cụm từ phổ biến trong danh sách ở phần 1, như: 1q2w3e4r5t, zxcvbnm, qwertyuiop...
Ưu điểm: trên lư thuyết sẽ có thể bẻ khoá mọi mật mă
Nhược điểm: mật mă càng dài và phức tạp, thời gian bẻ khoá càng lâu. Đặc biệt nếu mật mă có các kí tự như $, &, { hay ] th́ đến cả Brute Force cũng phải "toát mồ hôi hột"
Cách pḥng tránh: kết hợp càng nhiều kư tự/từ/cụm từ khác nhau càng tốt, nên thêm vào các kư tự đặc biệt để tăng độ khó của mật mă
3. Thủ đoạn "Lừa đảo" (Phishing)
Cách này không được xếp vào hàng "bẻ khoá", bởi hacker sẽ dụ dỗ người dùng thông qua một số mánh khoé lừa đảo. Thủ đoạn này thường gặp nhất dưới h́nh thức lừa đảo qua email.
- Đầu tiên, hacker sẽ gởi cùng lúc hàng tỉ email tới người dùng trên toàn cầu, dưới danh nghĩa một tập đoàn hay tổ chức lớn có danh tiếng
- Email này thường yêu cầu người nhận phải chú ư, và có kèm theo mộ đường dẫn đến một trang web
- Đường dẫn này thực ra liên kết đến một trang đăng nhập giả mạo, được thiết kế trông y hệt trang đăng nhập thực tế
- Người nhận không hề hay biết và điền các thông tin cá nhân vào đó, hoặc bị dẫn đến trang khác...
- Thông tin người dùng được gởi về cho hacker và bị đem bán hoặc sử dụng vào nhiều mục đích khác.
Mặc dù một số mạng lưới botnet lớn đă bị đánh sập vào năm 2016, nhưng số liệu cuối 2016 vẫn cho thấy số lượng email spam đă tăng gấp 4 lần. Hơn nữa, số lượng các tập tin đính kèm nguy hiểm cũng tăng với tốc độ chóng mặt, thể hiện trong biểu đồ bên dưới:
Theo báo cáo về những mối đe doạ trên Internet năm 2017 của Symantec, các hoá đơn giả mạo là phương thức lừa đảo hàng đầu.
Ưu điểm: dụ dỗ người dùng trực tiếp giao mật mă, khả năng thành công cao, dễ dàng được thay đổi để tương thích với nhiều dịch vụ khác nhau (trong đó Apple ID là mục tiêu được nhắm đến nhiều nhất)
Nhược điểm: email spam dễ bị lọc bởi các dịch vụ email hoặc các máy lọc spam
Cách pḥng tránh: hiện trên Internet có rất nhiều bài viết về pḥng tránh lừa đảo qua email, hoặc bạn có thể tăng mức độ lọc spam trên dịch vụ ḿnh đang sử dụng lên mức cao nhất, và luôn kiểm tra kỹ các đường dẫn trước khi click vào đó.
4. Tấn công Phi kỹ thuật (Social Engineering)
Tấn công Phi kỹ thuật là h́nh thức tương tự Phising nhưng diễn ra ngoài đời thực, không cần sử dụng bất kỳ biện pháp kỹ thuật nào.
Một phần quan trọng trong công việc của một nhân viên kiểm toán bảo mật thông tin là kiểm tra các thông tin mà người dùng của họ nắm được. Để làm như vậy, các công ty an ninh mạng thường cho nhân viên của ḿnh gọi điện thoại trực tiếp đến đối tượng mà họ đang thực hiện kiểm toán.
Hacker sẽ gọi cho nạn nhân và thông báo rằng hắn ta là nhân viên hỗ trợ mới, và hắn cần mật mă của họ để phục vụ mục đích kiểm toán, kiểm tra hệ thống... Tất nhiên, nạn nhân không hề nghi ngờ ǵ và sẽ lập tức trao mật mă.
Tấn công Phi kỹ thuật đă tồn tại từ hàng thế kỷ. Thông qua thủ thuật mạo danh để đi vào những khu vực cấm là một ví dụ điển h́nh, và chỉ có thể bị phát hiện nếu nạn nhân có một số kiến thức cụ thể.
Bởi trong thủ thuật tấn công này, hacker không nhất thiết phải hỏi trực tiếp mật mă, chúng có thể đóng vai một người thợ sửa nước hay sửa điện để đi vào khu vực bảo mật...
Đoạn video dưới đây cho chúng ta thấy phương thức hoạt động của Tấn công Phi kỹ thuật:
Ưu điểm: các hacker chuyên nghiệp có thể thu thập được nhiều thông tin có giá trị rất cao từ một nhóm đối tượng người dùng. Thủ đoạn này có thể được áp dụng với bất kỳ ai, trong bất kỳ hoàn cảnh nào, và cực kỳ bí mật.
Nhược điểm: nếu bị lộ sẽ "rút dây động rừng", đồng thời thông tin thu được chưa chắc đă hoàn toàn đúng.
Cách pḥng tránh: rất khó để pḥng tránh. Hầu hết nạn nhân chỉ nhận ra ḿnh đă bị lừa sau khi hacker đă hoàn thành công việc. Bạn cần phải nắm được những kiến thức và những lưu ư về mặt an ninh, và hạn chế đưa ra các thông tin cá nhân có thể ảnh hưởng đến ḿnh sau này.
5. Phương thức Bảng cầu vồng (Rainbow Table)
Bảng cầu ṿng là h́nh thức tấn công mật mă ngoại tuyến, trong đó hacker nắm được một danh sách username và mật mă, nhưng đă bị mă hoá. Mật mă mă hoá đă bị băm (hashed), do đó nó sẽ hiển thị ra khác hoàn toàn với mật mă gốc.
Ví dụ: mật mă logmein sẽ bị băm ra thành 8f4047e3233b39e4444e1aef240e80aa.
Để bẻ khoá mật khẩu này, hacker sẽ chạy một thuật toán băm, trong đó băm một danh sách các mật mă phổ biến và so sánh chúng với các mật mă mă hoá. Nếu mật mă được băm bằng MD5 th́ c̣n dễ dàng hơn, v́ thuật toán MD5 hiện có thể bị giải mă khá dễ dàng.
Tất nhiên, thay v́ phải xử lư hàng trăm ngàn mật mă và sau đó mang chúng ra so sánh, hacker có thể sử dụng một Bảng cầu vồng - vốn là một danh sách các giá trị đă được giải mă từ trước, giúp giảm thời gian bẻ khoá đi nhiều lần.
Ưu điểm: có thể bẻ khoá một lượng lớn mật mă trong thời gian ngắn.
Nhược điểm: cần ổ cứng lớn để lưu trữ các Bảng cầu vồng, và các giá trị được lưu trong Bảng cầu vồng cũng hạn chế (trừ khi có bảng khác bổ sung)
Cách pḥng tránh: tránh sử dụng các trang web băm mật mă bằng SHA1 hay MD5, hoặc các trang web giới hạn mật mă của bạn trong một chuỗi kư tự ngắn, hoặc cấm sử dụng một số kư tự. Luôn sử dụng mật mă càng phức tạp càng tốt.
6. Malware/Keylogger
Đây là thủ đoạn quá phổ biến và nhiều người gặp phải.
Các malware có thể nhắm vào các dữ liệu cá nhân, hoặc thả một con Trojan điều khiển từ xa để ăn cắp thông tin người dùng.
Ưu điểm: có quá nhiều malware với nhiều phương thức hoạt động khác nhau, rất khó bị phát hiện
Nhược điểm: có thể bị các phần mềm bảo vệ ngăn chặn.
Cách pḥng tránh: cài đặt các phần mềm antivirus hoặc antimalware, hạn chế download từ các nguồn chưa xác định, chú ư trong khâu cài đặt phần mềm, tránh xa các trang web có nội dung nguy hiểm (như trang web cung cấp crack, keygen...), cài các phần mở rộng chặn mă trên các tŕnh duyệt.
7. Phương thức Spidering
Phương thức này liên kết với phương thức "Từ điển" ở đầu bài. Nếu một hacker t́m cách xâm nhập một tổ chức hay công ty nhất định, chúng sẽ thử một loạt các mật mă có liên quan tới công ty đó - có thể là các cụm từ được thu thập thông qua một con nhện t́m kiếm.
"Con nhện t́m kiếm" sẽ "ḅ" quanh Internet, len lỏi vào các bộ máy t́m kiếm, các trang web để thu thập thông tin và lập thành một danh sách - tức là tập tin "Từ điển".
Ưu điểm: có thể bẻ khoá các mật mă của các cá nhân cấp cao trong công ty, kết hợp với tấn công "Từ điển" tạo thành một cặp đôi nguy hiểm
Nhược điểm: vô hiệu với các mạng lươí bảo mật phức tạp
Cách pḥng tránh: sử dụng mật khẩu phức tạp không liên quan đến cá nhân, công việc, cơ quan...
Tóm lại, hăy nhớ điều này để giữ mật mă của bạn luôn an toàn: sử dụng một mật khẩu duy nhất cho từng tài khoản khác nhau, mật khẩu này cần dài, với nhiều kư tự đặc biệt, không liên quan đến cá nhân bạn hay bất kỳ ai bạn biết.
|
|
News
Library
Technology
Giải Trí
Portals
Tin Sốt
Home
