Theo MakeUseOf, thực tế về cụm từ "bẻ khoá bảo mật" không hề phức tạp và bí hiểm như bạn nghĩ, và nhìn chung mọi hành động liên quan đến việc này đều tập trung vào một vấn đề cốt lõi: bẻ khoá mật mã. Trong bài viết này, VnReview sẽ điểm qua 7 thủ đoạn đánh cắp mật khẩu phổ biến nhất thế giới.
1. Tấn công "Từ điển"
Đây là thủ đoạn đơn giản và phổ biến nhất trong danh sách. Tại sao lại gọi là Tấn công "Từ điển"? Bởi hacker sẽ sử dụng một thuật toán để tự động thử tất cả các từ/cụm từ có sẵn trong một "Từ điển" - một tập tin nhỏ chứa các từ/cụm từ phổ biến mà người dùng trên toàn thế giới thường sử dụng để đặt mật mã. Ví dụ: 123456, qwerty, password, mynoob, princess, baseball, hunter2...
Ưu điểm: nhanh, thường thành công đối với một số tài khoản bảo mật lỏng lẻo
Nhược điểm: khả năng thành công thấp đối với các mật mã phức tạp
Cách phòng tránh: dùng các mật mã phức tạp hơn và riêng biệt cho mỗi tài khoản, có thể kết hợp với một ứng dụng quản lý mật mã để lưu trữ toàn bộ các mật mã của bạn và sử dụng một mật khẩu duy nhất (master password) phức tạp, khó đoán hơn để tự động điền các mật mã trên khi truy cập vào các trang web.
2. Tấn công Brute Force
Tương tự như Tấn công "Từ điển", nhưng trong Brute Force, hacker không sử dụng tập tin "Từ điển" mà sẽ cố gắng kết hợp mọi ký tự/từ/cụm từ có thể để tìm ra mật mã của bạn. Quy luật kết hợp cũng rất đa dạng và phức tạp, ví dụ 1 ký tự viết hoa, 1 ký tự viết thường, số lẻ của số Pi...
Tất nhiên, tấn công Brute Force trước tiên cũng sẽ cố kết hợp các từ/cụm từ phổ biến trong danh sách ở phần 1, như: 1q2w3e4r5t, zxcvbnm, qwertyuiop...
Ưu điểm: trên lý thuyết sẽ có thể bẻ khoá mọi mật mã
Nhược điểm: mật mã càng dài và phức tạp, thời gian bẻ khoá càng lâu. Đặc biệt nếu mật mã có các kí tự như $, &, { hay ] thì đến cả Brute Force cũng phải "toát mồ hôi hột"
Cách phòng tránh: kết hợp càng nhiều ký tự/từ/cụm từ khác nhau càng tốt, nên thêm vào các ký tự đặc biệt để tăng độ khó của mật mã.
3. Thủ đoạn "Lừa đảo" (Phishing)
Cách này không được xếp vào hàng "bẻ khoá", bởi hacker sẽ dụ dỗ người dùng thông qua một số mánh khoé lừa đảo. Thủ đoạn này thường gặp nhất dưới hình thức lừa đảo qua email.
- Đầu tiên, hacker sẽ gởi cùng lúc hàng tỉ email tới người dùng trên toàn cầu, dưới danh nghĩa một tập đoàn hay tổ chức lớn có danh tiếng
- Email này thường yêu cầu người nhận phải chú ý, và có kèm theo mộ đường dẫn đến một trang web
- Đường dẫn này thực ra liên kết đến một trang đăng nhập giả mạo, được thiết kế trông y hệt trang đăng nhập thực tế
- Người nhận không hề hay biết và điền các thông tin cá nhân vào đó, hoặc bị dẫn đến trang khác...
- Thông tin người dùng được gởi về cho hacker và bị đem bán hoặc sử dụng vào nhiều mục đích khác.
Mặc dù một số mạng lưới botnet lớn đã bị đánh sập vào năm 2016, nhưng số liệu cuối 2016 vẫn cho thấy số lượng email spam đã tăng gấp 4 lần. Hơn nữa, số lượng các tập tin đính kèm nguy hiểm cũng tăng với tốc độ chóng mặt, thể hiện trong biểu đồ bên dưới:
Theo báo cáo về những mối đe doạ trên Internet năm 2017 của Symantec, các hoá đơn giả mạo là phương thức lừa đảo hàng đầu.
Ưu điểm: dụ dỗ người dùng trực tiếp giao mật mã, khả năng thành công cao, dễ dàng được thay đổi để tương thích với nhiều dịch vụ khác nhau (trong đó Apple ID là mục tiêu được nhắm đến nhiều nhất)
Nhược điểm: email spam dễ bị lọc bởi các dịch vụ email hoặc các máy lọc spam
Cách phòng tránh: hiện trên Internet có rất nhiều bài viết về phòng tránh lừa đảo qua email, hoặc bạn có thể tăng mức độ lọc spam trên dịch vụ mình đang sử dụng lên mức cao nhất, và luôn kiểm tra kỹ các đường dẫn trước khi click vào đó.
4. Tấn công Phi kỹ thuật (Social Engineering)
Tấn công Phi kỹ thuật là hình thức tương tự Phising nhưng diễn ra ngoài đời thực, không cần sử dụng bất kỳ biện pháp kỹ thuật nào.
Một phần quan trọng trong công việc của một nhân viên kiểm toán bảo mật thông tin là kiểm tra các thông tin mà người dùng của họ nắm được. Để làm như vậy, các công ty an ninh mạng thường cho nhân viên của mình gọi điện thoại trực tiếp đến đối tượng mà họ đang thực hiện kiểm toán. Hacker sẽ gọi cho nạn nhân và thông báo rằng hắn ta là nhân viên hỗ trợ mới, và hắn cần mật mã của họ để phục vụ mục đích kiểm toán, kiểm tra hệ thống... Tất nhiên, nạn nhân không hề nghi ngờ gì và sẽ lập tức trao mật mã.
Tấn công Phi kỹ thuật đã tồn tại từ hàng thế kỷ. Thông qua thủ thuật mạo danh để đi vào những khu vực cấm là một ví dụ điển hình, và chỉ có thể bị phát hiện nếu nạn nhân có một số kiến thức cụ thể. Bởi trong thủ thuật tấn công này, hacker không nhất thiết phải hỏi trực tiếp mật mã, chúng có thể đóng vai một người thợ sửa nước hay sửa điện để đi vào khu vực bảo mật...
Đoạn video dưới đây cho chúng ta thấy phương thức hoạt động của Tấn công Phi kỹ thuật:
Ưu điểm: các hacker chuyên nghiệp có thể thu thập được nhiều thông tin có giá trị rất cao từ một nhóm đối tượng người dùng. Thủ đoạn này có thể được áp dụng với bất kỳ ai, trong bất kỳ hoàn cảnh nào, và cực kỳ bí mật.
Nhược điểm: nếu bị lộ sẽ "rút dây động rừng", đồng thời thông tin thu được chưa chắc đã hoàn toàn đúng.
Cách phòng tránh: rất khó để phòng tránh. Hầu hết nạn nhân chỉ nhận ra mình đã bị lừa sau khi hacker đã hoàn thành công việc. Bạn cần phải nắm được những kiến thức và những lưu ý về mặt an ninh, và hạn chế đưa ra các thông tin cá nhân có thể ảnh hưởng đến mình sau này.
5. Phương thức Bảng cầu vồng (Rainbow Table)
Bảng cầu vòng là hình thức tấn công mật mã ngoại tuyến, trong đó hacker nắm được một danh sách username và mật mã, nhưng đã bị mã hoá. Mật mã mã hoá đã bị băm (hashed), do đó nó sẽ hiển thị ra khác hoàn toàn với mật mã gốc. Ví dụ: mật mã logmein sẽ bị băm ra thành 8f4047e3233b39e4444e1aef240e80aa.
Để bẻ khoá mật khẩu này, hacker sẽ chạy một thuật toán băm, trong đó băm một danh sách các mật mã phổ biến và so sánh chúng với các mật mã mã hoá. Nếu mật mã được băm bằng MD5 thì còn dễ dàng hơn, vì thuật toán MD5 hiện có thể bị giải mã khá dễ dàng.
Tất nhiên, thay vì phải xử lý hàng trăm ngàn mật mã và sau đó mang chúng ra so sánh, hacker có thể sử dụng một Bảng cầu vồng - vốn là một danh sách các giá trị đã được giải mã từ trước, giúp giảm thời gian bẻ khoá đi nhiều lần.
Ưu điểm: có thể bẻ khoá một lượng lớn mật mã trong thời gian ngắn.
Nhược điểm: cần ổ cứng lớn để lưu trữ các Bảng cầu vồng, và các giá trị được lưu trong Bảng cầu vồng cũng hạn chế (trừ khi có bảng khác bổ sung)
Cách phòng tránh: tránh sử dụng các trang web băm mật mã bằng SHA1 hay MD5, hoặc các trang web giới hạn mật mã của bạn trong một chuỗi ký tự ngắn, hoặc cấm sử dụng một số ký tự. Luôn sử dụng mật mã càng phức tạp càng tốt.
6. Malware/Keylogger
Đây là thủ đoạn quá phổ biến và nhiều người gặp phải.
Các malware có thể nhắm vào các dữ liệu cá nhân, hoặc thả một con Trojan điều khiển từ xa để ăn cắp thông tin người dùng.
Ưu điểm: có quá nhiều malware với nhiều phương thức hoạt động khác nhau, rất khó bị phát hiện
Nhược điểm: có thể bị các phần mềm bảo vệ ngăn chặn.
Cách phòng tránh: cài đặt các phần mềm antivirus hoặc antimalware, hạn chế download từ các nguồn chưa xác định, chú ý trong khâu cài đặt phần mềm, tránh xa các trang web có nội dung nguy hiểm (như trang web cung cấp crack, keygen...), cài các phần mở rộng chặn mã trên các trình duyệt.
7. Phương thức Spidering
Phương thức này liên kết với phương thức "Từ điển" ở đầu bài. Nếu một hacker tìm cách xâm nhập một tổ chức hay công ty nhất định, chúng sẽ thử một loạt các mật mã có liên quan tới công ty đó - có thể là các cụm từ được thu thập thông qua một con nhện tìm kiếm.
"Con nhện tìm kiếm" sẽ "bò" quanh Internet, len lỏi vào các bộ máy tìm kiếm, các trang web để thu thập thông tin và lập thành một danh sách - tức là tập tin "Từ điển".
Ưu điểm: có thể bẻ khoá các mật mã của các cá nhân cấp cao trong công ty, kết hợp với tấn công "Từ điển" tạo thành một cặp đôi nguy hiểm
Nhược điểm: vô hiệu với các mạng lươí bảo mật phức tạp
Cách phòng tránh: sử dụng mật khẩu phức tạp không liên quan đến cá nhân, công việc, cơ quan...
Tóm lại, hãy nhớ điều này để giữ mật mã của bạn luôn an toàn: sử dụng một mật khẩu duy nhất cho từng tài khoản khác nhau, mật khẩu này cần dài, với nhiều ký tự đặc biệt, không liên quan đến cá nhân bạn hay bất kỳ ai bạn biết.
Theo Vnreview
