7 thủ đoạn đánh cắp mật mã phổ biến nhất thế giới

Theo MakeUseOf, thực tế về cụm từ "bẻ khoá bảo mật" không hề phức tạp và bíhiểm như bạn nghĩ, và nhìn chung mọi hành động liên quan đến việc này đều tậptrung vào một vấn đề cốt lõi: bẻ khoá mật mã. Trong bài viết này, VnReview sẽđiểm qua 7 thủ đoạn đánh cắp mật khẩu phổ biến nhất thế giới.

1. Tấn công "Từ điển"

Đây là thủ đoạn đơn giản và phổ biến nhất trong danh sách. Tại sao lại gọi làTấn công "Từ điển"? Bởi hacker sẽ sử dụng một thuật toán để tự động thử tất cảcác từ/cụm từ có sẵn trong một "Từ điển" - một tập tin nhỏ chứa các từ/cụm từphổ biến mà người dùng trên toàn thế giới thường sử dụng để đặt mật mã. Ví dụ:123456, qwerty, password, mynoob, princess, baseball, hunter2...

Ưu điểm: nhanh, thường thành công đối với một số tài khoản bảo mật lỏnglẻo

Nhược điểm: khả năng thành công thấp đối với các mật mã phức tạp

Cách phòng tránh: dùng các mật mã phức tạp hơn và riêng biệt cho mỗi tàikhoản, có thể kết hợp với một ứng dụng quản lý mật mã để lưu trữ toàn bộ các mậtmã của bạn và sử dụng một mật khẩu duy nhất (master password) phức tạp, khó đoánhơn để tự động điền các mật mã trên khi truy cập vào các trang web.


 
2. Tấn công Brute Force

Tương tự như Tấn công "Từ điển", nhưng trong Brute Force, hacker không sửdụng tập tin "Từ điển" mà sẽ cố gắng kết hợp mọi ký tự/từ/cụm từ có thể để tìmra mật mã của bạn. Quy luật kết hợp cũng rất đa dạng và phức tạp, ví dụ 1 ký tựviết hoa, 1 ký tự viết thường, số lẻ của số Pi...

Tất nhiên, tấn công Brute Force trước tiên cũng sẽ cố kết hợp các từ/cụm từphổ biến trong danh sách ở phần 1, như: 1q2w3e4r5t, zxcvbnm, qwertyuiop...

Ưu điểm: trên lý thuyết sẽ có thể bẻ khoá mọi mật mã

Nhược điểm: mật mã càng dài và phức tạp, thời gian bẻ khoá càng lâu. Đặc biệtnếu mật mã có các kí tự như $, &, { hay ] thì đến cả Brute Force cũng phải"toát mồ hôi hột"

Cách phòng tránh: kết hợp càng nhiều ký tự/từ/cụm từ khác nhau càng tốt, nênthêm vào các ký tự đặc biệt để tăng độ khó của mật mã

3. Thủ đoạn "Lừa đảo" (Phishing)

Cách này không được xếp vào hàng "bẻ khoá", bởi hacker sẽ dụ dỗ người dùngthông qua một số mánh khoé lừa đảo. Thủ đoạn này thường gặp nhất dưới hình thứclừa đảo qua email.

- Đầu tiên, hacker sẽ gởi cùng lúc hàng tỉ email tới người dùng trên toàncầu, dưới danh nghĩa một tập đoàn hay tổ chức lớn có danh tiếng

- Email này thường yêu cầu người nhận phải chú ý, và có kèm theo mộ đường dẫnđến một trang web

- Đường dẫn này thực ra liên kết đến một trang đăng nhập giả mạo, được thiếtkế trông y hệt trang đăng nhập thực tế

- Người nhận không hề hay biết và điền các thông tin cá nhân vào đó, hoặc bịdẫn đến trang khác...

- Thông tin người dùng được gởi về cho hacker và bị đem bán hoặc sử dụng vàonhiều mục đích khác.

Mặc dù một số mạng lưới botnet lớn đã bị đánh sập vào năm 2016, nhưng số liệucuối 2016 vẫn cho thấy số lượng email spam đã tăng gấp 4 lần. Hơn nữa, số lượngcác tập tin đính kèm nguy hiểm cũng tăng với tốc độ chóng mặt, thể hiện trongbiểu đồ bên dưới:
 
Theo báo cáo về những mối đe doạ trên Internet năm2017 của Symantec, các hoá đơn giả mạo là phương thức lừa đảo hàngđầu.
 
Ưu điểm: dụ dỗ người dùng trực tiếp giao mật mã, khả năng thànhcông cao, dễ dàng được thay đổi để tương thích với nhiều dịch vụ khác nhau(trong đó Apple ID là mục tiêu được nhắm đến nhiều nhất)

Nhược điểm: email spam dễ bị lọc bởi các dịch vụ email hoặc các máy lọcspam

Cách phòng tránh: hiện trên Internet có rất nhiều bài viết về phòng tránh lừađảo qua email, hoặc bạn có thể tăng mức độ lọc spam trên dịch vụ mình đang sửdụng lên mức cao nhất, và luôn kiểm tra kỹ các đường dẫn trước khi click vàođó.

4. Tấn công Phi kỹ thuật (Social Engineering)

Tấn công Phi kỹ thuật là hình thức tương tự Phising nhưng diễn ra ngoài đờithực, không cần sử dụng bất kỳ biện pháp kỹ thuật nào.

Một phần quan trọng trong công việc của một nhân viên kiểm toán bảo mật thôngtin là kiểm tra các thông tin mà người dùng của họ nắm được. Để làm như vậy, cáccông ty an ninh mạng thường cho nhân viên của mình gọi điện thoại trực tiếp đếnđối tượng mà họ đang thực hiện kiểm toán. Hacker sẽ gọi cho nạn nhân và thôngbáo rằng hắn ta là nhân viên hỗ trợ mới, và hắn cần mật mã của họ để phục vụ mụcđích kiểm toán, kiểm tra hệ thống... Tất nhiên, nạn nhân không hề nghi ngờ gì vàsẽ lập tức trao mật mã.

Tấn công Phi kỹ thuật đã tồn tại từ hàng thế kỷ. Thông qua thủ thuật mạo danhđể đi vào những khu vực cấm là một ví dụ điển hình, và chỉ có thể bị phát hiệnnếu nạn nhân có một số kiến thức cụ thể. Bởi trong thủ thuật tấn công này,hacker không nhất thiết phải hỏi trực tiếp mật mã, chúng có thể đóng vai mộtngười thợ sửa nước hay sửa điện để đi vào khu vực bảo mật...

Đoạn video dưới đây cho chúng ta thấy phương thức hoạt động của Tấn công Phikỹ thuật:

Ưu điểm: các hacker chuyên nghiệp có thể thu thập được nhiều thông tin có giátrị rất cao từ một nhóm đối tượng người dùng. Thủ đoạn này có thể được áp dụngvới bất kỳ ai, trong bất kỳ hoàn cảnh nào, và cực kỳ bí mật.

Nhược điểm: nếu bị lộ sẽ "rút dây động rừng", đồng thời thông tin thu đượcchưa chắc đã hoàn toàn đúng.

Cách phòng tránh: rất khó để phòng tránh. Hầu hết nạn nhân chỉ nhận ra mìnhđã bị lừa sau khi hacker đã hoàn thành công việc. Bạn cần phải nắm được nhữngkiến thức và những lưu ý về mặt an ninh, và hạn chế đưa ra các thông tin cá nhâncó thể ảnh hưởng đến mình sau này.

5. Phương thức Bảng cầu vồng (Rainbow Table)

Bảng cầu vòng là hình thức tấn công mật mã ngoại tuyến, trong đó hacker nắmđược một danh sách username và mật mã, nhưng đã bị mã hoá. Mật mã mã hoá đã bịbăm (hashed), do đó nó sẽ hiển thị ra khác hoàn toàn với mật mã gốc. Ví dụ: mậtmã logmein sẽ bị băm ra thành 8f4047e3233b39e4444e1aef240e80aa.

Để bẻ khoá mật khẩu này, hacker sẽ chạy một thuật toán băm, trong đó băm mộtdanh sách các mật mã phổ biến và so sánh chúng với các mật mã mã hoá. Nếu mật mãđược băm bằng MD5 thì còn dễ dàng hơn, vì thuật toán MD5 hiện có thể bị giải mãkhá dễ dàng.

Tất nhiên, thay vì phải xử lý hàng trăm ngàn mật mã và sau đó mang chúng raso sánh, hacker có thể sử dụng một Bảng cầu vồng - vốn là một danh sách các giátrị đã được giải mã từ trước, giúp giảm thời gian bẻ khoá đi nhiều lần.

Ưu điểm: có thể bẻ khoá một lượng lớn mật mã trong thời gian ngắn.

Nhược điểm: cần ổ cứng lớn để lưu trữ các Bảng cầu vồng, và các giá trị đượclưu trong Bảng cầu vồng cũng hạn chế (trừ khi có bảng khác bổ sung)

Cách phòng tránh: tránh sử dụng các trang web băm mật mã bằng SHA1 hay MD5,hoặc các trang web giới hạn mật mã của bạn trong một chuỗi ký tự ngắn, hoặc cấmsử dụng một số ký tự. Luôn sử dụng mật mã càng phức tạp càng tốt.

6. Malware/Keylogger

Đây là thủ đoạn quá phổ biến và nhiều người gặp phải.
 
Các malware cóthể nhắm vào các dữ liệu cá nhân, hoặc thả một con Trojan điều khiển từ xa để ăncắp thông tin người dùng.

Ưu điểm: có quá nhiều malware với nhiều phương thức hoạt động khác nhau, rấtkhó bị phát hiện

Nhược điểm: có thể bị các phần mềm bảo vệ ngăn chặn.

Cách phòng tránh: cài đặt các phần mềm antivirus hoặc antimalware, hạn chếdownload từ các nguồn chưa xác định, chú ý trong khâu cài đặt phần mềm, tránh xacác trang web có nội dung nguy hiểm (như trang web cung cấp crack, keygen...),cài các phần mở rộng chặn mã trên các trình duyệt.

7. Phương thức Spidering

Phương thức này liên kết với phương thức "Từ điển" ở đầu bài. Nếu một hackertìm cách xâm nhập một tổ chức hay công ty nhất định, chúng sẽ thử một loạt cácmật mã có liên quan tới công ty đó - có thể là các cụm từ được thu thập thôngqua một con nhện tìm kiếm.

"Con nhện tìm kiếm" sẽ "bò" quanh Internet, len lỏi vào các bộ máy tìm kiếm,các trang web để thu thập thông tin và lập thành một danh sách - tức là tập tin"Từ điển".

Ưu điểm: có thể bẻ khoá các mật mã của các cá nhân cấp cao trong công ty, kếthợp với tấn công "Từ điển" tạo thành một cặp đôi nguy hiểm

Nhược điểm: vô hiệu với các mạng lươí bảo mật phức tạp

Cách phòng tránh: sử dụng mật khẩu phức tạp không liên quan đến cá nhân, côngviệc, cơ quan...

 

Tóm lại, hãy nhớ điều này để giữ mật mã của bạn luôn an toàn: sử dụng một mậtkhẩu duy nhất cho từng tài khoản khác nhau, mật khẩu này cần dài, với nhiều kýtự đặc biệt, không liên quan đến cá nhân bạn hay bất kỳ ai bạn biết.


Số lượt đọc: 123
Đánh giá:
Đánh dấu tin này:
In tin này:

 Kiến thức căn bản

 Liên kết trang web