Tổng cộng, có 500 triệu tài khoản Zoom được rao bán trên web đen nhờ “nhồi nhét thông tin xác thực”. Đây là cách phổ biến để bọn tội phạm xâm nhập vào tài khoản trực tuyến. Đây là ý nghĩa thực sự của thuật ngữ này và cách bạn có thể tự bảo vệ mình.
Nó bắt đầu với một rò rỉ cơ sở dữ liệu mật khẩu
Các cuộc tấn công vào các dịch vụ trực tuyến là phổ biến. Tội phạm thường khai thác lỗ hổng hệ thống để lấy cơ sở dữ liệu tên người dùng và mật khẩu. Cơ sở dữ liệu đăng nhập bị đánh cắp thường được bán trực tuyến trên dark web, với tội phạm thanh toán bằng Bitcoin để có đặc quyền truy cập cơ sở dữ liệu.
Giả sử bạn có tài khoản diễn đàn Avast đã bị xâm phạm vào năm 2014. Tài khoản này đã bị xâm phạm và bọn tội phạm có thể có tên người dùng và mật khẩu diễn đàn Avast của bạn. Avast đã liên hệ với bạn và bạn đã thay đổi mật khẩu diễn đàn, vậy có vấn đề gì không?
Thật không may, vấn đề là nhiều người sử dụng cùng một mật khẩu trên các trang web khác nhau. Giả sử thông tin đăng nhập diễn đàn Avast của bạn là “[email protected]và “Mật khẩu tuyệt vời.” Nếu bạn đã đăng nhập vào các trang web khác có cùng tên người dùng (địa chỉ email) và mật khẩu, bất kỳ tên tội phạm nào lấy được mật khẩu bị xâm phạm của bạn đều có thể truy cập vào các tài khoản khác này.
Đẩy thông tin xác thực trong hành động
“Đẩy thông tin xác thực” liên quan đến việc sử dụng các cơ sở dữ liệu này chứa thông tin xác thực đăng nhập bị rò rỉ và cố gắng đăng nhập bằng chúng vào các dịch vụ trực tuyến khác.
Tội phạm tải xuống cơ sở dữ liệu lớn về kết hợp tên người dùng và mật khẩu bị rò rỉ – thường là hàng triệu chi tiết đăng nhập – và cố gắng đăng nhập bằng chúng trên các trang web khác. Một số người sử dụng cùng một mật khẩu trên nhiều trang web, vì vậy một số sẽ khớp. Điều này thường có thể được tự động hóa bằng phần mềm bằng cách nhanh chóng thử nhiều kết hợp đăng nhập.
Đối với một thứ nguy hiểm nghe có vẻ kỹ thuật, tất cả chỉ là cố gắng đưa thông tin xác thực cho các dịch vụ khác và xem dịch vụ nào hiệu quả. Nói cách khác, “tin tặc” đưa tất cả các chi tiết đăng nhập này vào biểu mẫu đăng nhập và xem điều gì sẽ xảy ra. Một số trong số họ chắc chắn sẽ làm việc.
Đây hiện là một trong những cách phổ biến nhất mà kẻ tấn công “hack” tài khoản trực tuyến. Chỉ riêng trong năm 2018, mạng phân phối nội dung Akamai đã ghi nhận gần 30 tỷ cuộc tấn công nhồi thông tin xác thực.
Làm thế nào để bảo vệ chính mình
Bảo vệ chống nhồi nhét thông tin xác thực khá đơn giản và yêu cầu bạn tuân theo cùng một phương pháp bảo mật mật khẩu mà các chuyên gia đã khuyến nghị trong nhiều năm. Không có giải pháp kỳ diệu nào – chỉ cần vệ sinh mật khẩu tốt. Đây là một mẹo:
Tránh sử dụng lại mật khẩu: Sử dụng mật khẩu duy nhất cho mọi tài khoản bạn sử dụng trực tuyến. Bằng cách này, ngay cả khi mật khẩu của bạn bị rò rỉ, bạn sẽ không thể sử dụng nó để đăng nhập vào các trang web khác. Những kẻ tấn công có thể cố gắng chuyển các chi tiết đăng nhập của bạn vào các biểu mẫu đăng nhập khác, nhưng chúng sẽ không hoạt động.
Sử dụng trình quản lý mật khẩu: ghi nhớ mật khẩu mạnh, duy nhất là nhiệm vụ gần như bất khả thi nếu bạn có tài khoản trên một số trang web và hầu hết mọi người đều làm như vậy. Chúng tôi khuyên bạn nên sử dụng trình quản lý mật khẩu như 1Password (trả phí) hoặc Bitwarden (miễn phí và mã nguồn mở) để ghi nhớ mật khẩu của bạn. Nó thậm chí có thể tạo những mật khẩu mạnh này từ đầu.
Bật xác thực hai yếu tố: Với xác thực hai yếu tố, bạn sẽ cần nhập một thứ khác – chẳng hạn như mã do ứng dụng tạo hoặc được gửi cho bạn qua SMS – mỗi khi bạn đăng nhập vào một trang web. Ngay cả khi kẻ tấn công có tên người dùng và mật khẩu của bạn, họ sẽ không thể đăng nhập vào tài khoản của bạn nếu họ không có mã đó.
Nhận thông báo rò rỉ mật khẩu: Với một dịch vụ như Tôi đã bị Pwned chưa?, bạn có thể nhận được thông báo khi thông tin đăng nhập của bạn bị rò rỉ.
Làm thế nào các dịch vụ có thể bảo vệ chống lại mục nhập thông tin xác thực
Mặc dù các cá nhân phải chịu trách nhiệm bảo mật tài khoản của mình, nhưng có nhiều cách để các dịch vụ trực tuyến có thể bảo vệ chống lại các cuộc tấn công nhồi thông tin xác thực.
Quét cơ sở dữ liệu bị rò rỉ để tìm mật khẩu người dùng: Facebook và Netflix đã quét cơ sở dữ liệu mật khẩu bị rò rỉ, so sánh chúng với chi tiết đăng nhập trên các dịch vụ của chính họ. Nếu có tương đương, Facebook hoặc Netflix có thể yêu cầu người dùng của chính họ thay đổi mật khẩu của họ. Đây là cách để đánh bại những người tham khảo cú đấm.
Cung cấp xác thực hai yếu tố: Người dùng có thể bật xác thực hai yếu tố để bảo mật tài khoản trực tuyến của họ. Các dịch vụ đặc biệt nhạy cảm có thể khiến nó trở thành bắt buộc. Họ cũng có thể yêu cầu bạn nhấp vào liên kết xác minh đăng nhập trong email để xác nhận yêu cầu đăng nhập của bạn.
Yêu cầu CAPTCHA: Nếu nỗ lực đăng nhập có vẻ lạ, dịch vụ có thể yêu cầu bạn nhập mã CAPTCHA được hiển thị trong hình ảnh hoặc nhấp vào biểu mẫu khác để xác minh rằng con người – không phải bot – đang cố đăng nhập.
Giảm số lần đăng nhập lặp lại: Các dịch vụ nên cố gắng chặn rô bốt cố gắng thực hiện một số lượng lớn các lần đăng nhập trong một khoảng thời gian ngắn. Các bot tinh vi, hiện đại có thể cố gắng đăng nhập từ nhiều địa chỉ IP cùng một lúc để che giấu các nỗ lực đẩy thông tin đăng nhập của chúng.
Thực hành mật khẩu kém – và thẳng thắn mà nói, các hệ thống trực tuyến được bảo mật kém thường quá dễ bị bẻ khóa – khiến việc nhồi nhét thông tin xác thực trở thành mối đe dọa nghiêm trọng đối với bảo mật tài khoản trực tuyến. Không có gì ngạc nhiên khi nhiều công ty công nghệ muốn xây dựng một thế giới an toàn hơn mà không cần mật khẩu.
