Làm thế nào ai đó lấy được mật khẩu của tôi?

Bạn đã bao giờ nhận được email 'phân đoạn' thông báo rằng máy tính của bạn đã bị tấn công và cảnh báo rằng nếu bạn không trả tiền, họ sẽ tung ra các video có tính chất thân mật vào toàn bộ danh sách liên hệ của bạn? Email có bao gồm mật khẩu cũ của bạn để làm 'bằng chứng' rằng những tuyên bố của họ là đúng không? Bạn có tự hỏi làm thế nào họ có được mật khẩu của bạn?

Lừa đảo là gì?

Theo thống kê, đây có thể là từ một email lừa đảo. Vào năm 2018, 93% tất cả các vi phạm trên toàn cầu bắt đầu bằng một cuộc tấn công lừa đảo hoặc viết trước.

Email lừa đảo là cực kỳ phổ biến và có hiệu quả cao. Họ sử dụng cảm xúc như sợ hãi và xấu hổ (trong các email phân đoạn hoặc 'quảng cáo tăng cường đàn ông'), khẩn cấp (sếp của tôi cần điều này ngay bây giờ!) Hoặc tham lam (tôi đã giành được một chiếc xe mới ??).

Chúng cũng có thể được gửi qua tin nhắn văn bản (SMiShing), giọng nói (hiển thị), email (lừa đảo) và lừa đảo qua mạng xã hội.

Càng nhiều người thích nghi, các tin tặc càng thay đổi phản ứng - chiến thuật của họ không ngừng phát triển.  

Thông thường các email lừa đảo có chứa một liên kết hoặc một tệp đính kèm. Khi bạn nhấp vào liên kết hoặc mở tệp đính kèm, chúng có thể cài đặt phần mềm độc hại trên thiết bị của bạn hoặc lừa bạn nhập thông tin đăng nhập của mình vào một trang web giả mạo (trông giống như trang web thật). Phần mềm độc hại sẽ kiểm tra xem liệu nó có thể khai thác các lỗ hổng chưa được vá hay không để cài đặt thêm phần mềm độc hại vào hệ thống của bạn (sau đó có thể lấy cắp mật khẩu, cài đặt keylogger để ghi lại tất cả các lần gõ phím của bạn - và do đó là mật khẩu của bạn! - v.v.).

Khi tin tặc đã đánh cắp thông tin đăng nhập của bạn, chúng có thể làm những việc như lấy cắp dữ liệu tài chính cá nhân hoặc thông tin tài khoản của bạn hoặc của khách hàng nếu điều này xảy ra trên thiết bị của công ty bạn.

Lừa đảo hoàn toàn xứng đáng với bài viết của riêng nó, vì vậy nếu bạn muốn tìm hiểu cách lừa đảo, hãy xem bài viết này.

Làm cách nào để ngăn lừa đảo ảnh hưởng đến bạn?

Bảo vệ chống lại lừa đảo cũng rất khó khăn. Với tư cách cá nhân, điều tốt nhất bạn có thể làm là thận trọng khi mở email - cảnh giác với những email tác động đến cảm xúc của bạn, yêu cầu bạn đưa ra quyết định nhanh chóng hoặc có vẻ quá tốt để trở thành sự thật.

Để ý những người gửi bất thường (bạn có nhận ra người gửi email cho bạn không? Đây có phải là địa chỉ email mà họ đã sử dụng trước đây không?), Hoặc các liên kết hoặc tệp đính kèm không mong muốn. Nếu bạn không chắc liệu một email có hợp pháp hay không, hãy xác nhận rằng email đó đến với người gửi thông qua một phương thức liên lạc khác.

Bạn cũng nên sử dụng phần mềm chống vi-rút và bảo vệ điểm cuối. Phiên bản trả phí tốt hơn phiên bản miễn phí vì nó được cập nhật khi phần mềm độc hại mới được xác định. Nhưng phiên bản miễn phí thường tốt hơn là không có gì. Tôi thích Malwarebytes cho máy tính xách tay.

Các nhóm bảo mật sẽ sử dụng vô số công cụ:

  • các cơ chế lọc email cố gắng giảm các email lừa đảo và spam đến hộp thư đến của người dùng,
  • các biện pháp như SPF, DKIM và DMARC có thể giúp cung cấp xác thực rằng email đang nói sự thật về nguồn gốc của nó,
  • đào tạo nâng cao nhận thức của người dùng,
  • và các cơ chế bảo vệ điểm cuối.

Cơ chế bảo vệ điểm cuối có thể bao gồm từ chống vi-rút đơn giản đến các tác nhân được cài đặt trên mọi thiết bị. Những điều này sẽ cố gắng ngăn phần mềm độc hại đã biết chạy, xác định hành vi bất thường và ngăn các quy trình độc hại chạy bằng cách cảnh báo cho nhóm hoạt động bảo mật hoặc buộc chương trình phải thoát.

Bằng cách này, ngay cả khi email vượt qua các bộ lọc và người dùng không nhận thấy bất kỳ điều gì sai trái, thì bảo vệ điểm cuối sẽ giữ cho phần mềm độc hại không thực sự gây thiệt hại cho máy.

Làm thế nào người khác có thể lấy được mật khẩu của tôi?

Thông thường, khi một hacker xâm phạm một công ty, họ sẽ bán tên người dùng và mật khẩu mà họ có được trên dark web.

Surface Web: Những gì bạn có thể tìm thấy trên Google hoặc các công cụ tìm kiếm phổ biến khác. Đây có lẽ là hầu hết những gì bạn nghĩ về Internet. So với web sâu, đây là một phần rất nhỏ của thông tin 'trực tuyến'. Deep Web: Thông tin trực tuyến nhưng không được Google và các trình duyệt phổ biến khác lập chỉ mục (có thể tìm kiếm). Đây là thông tin có trong cơ sở dữ liệu của chính phủ hoặc trường đại học. Thường thì thông tin này được ẩn sau tường phí hoặc cơ chế hạn chế khác. Web đen:Dark web yêu cầu một số trình duyệt nhất định, chẳng hạn như 'trình duyệt TOR' để truy cập. Một số, mặc dù không phải tất cả, nội dung này là bất hợp pháp. Đây thường là nơi bọn tội phạm tụ tập nói chuyện trên các diễn đàn, bán các dịch vụ và hàng hóa bất hợp pháp, và đôi khi các nhà hoạt động sống dưới chế độ đàn áp tụ tập để giao lưu.

Nếu bạn đang sử dụng lại mật khẩu và tên người dùng giữa các trang web khác nhau (đặc biệt vì email của bạn có thể được sử dụng làm tên người dùng của bạn cho nhiều trang web), một tin tặc có thể đã có tên người dùng và mật khẩu của bạn.

Sau đó, hacker sẽ thực hiện một thứ gọi là 'nhồi nhét thông tin xác thực'. Nhồi nhét thông tin xác thực là khi kẻ tấn công lấy những tên người dùng và mật khẩu này và cắm chúng vào một 'trình kiểm tra tài khoản' tự động, về cơ bản sẽ thử kết hợp tên người dùng / mật khẩu trên nhiều, nhiều trang web khác nhau trên internet, từ đăng nhập mạng xã hội đến tài khoản ngân hàng. Nếu mật khẩu hoạt động, tin tặc bây giờ có quyền truy cập vào tài khoản và có thể tiêu hao tài khoản, bán dữ liệu, v.v.

Để mô tả rõ hơn, hãy xem truyện tranh của XKCD dưới đây.

Làm thế nào để bạn bảo vệ chống lại việc nhồi nhét thông tin đăng nhập?

Không sử dụng lại mật khẩu của bạn. Sử dụng trình quản lý mật khẩu như 1Password hoặc LastPass. KeePass (theo ý kiến ​​của tôi) ít thân thiện với người dùng hơn, nhưng nó miễn phí!

Trình quản lý mật khẩu có thể lưu trữ mật khẩu của bạn một cách an toàn và thường có tiện ích mở rộng trình duyệt và ứng dụng để họ có thể tự động điền mật khẩu của bạn trên nhiều tài khoản. Ngoài ra, bạn chỉ phải nhớ một mật khẩu chính theo cách này. Nhưng mật khẩu chính của bạn hiện cấp quyền truy cập vào tất cả các mật khẩu khác của bạn, vì vậy hãy đảm bảo rằng nó rất mạnh!

Chúng cũng có thể giúp bạn tự động tạo mật khẩu rất mạnh và một số thậm chí còn có hầm để bạn có thể lưu trữ thông tin nhạy cảm khác (chi tiết tài khoản ngân hàng, thông tin bảo hiểm, v.v.).

Cá nhân tôi sử dụng 1Password vì tôi thích tùy chọn tài khoản gia đình - nếu bất kỳ ai trong gia đình bạn bị khóa, người khác có thể đặt lại mật khẩu tài khoản của họ (nhưng sẽ không có quyền truy cập vào kho tiền cá nhân của bạn).

Bạn cũng có thể thiết lập cảnh báo miễn phí với Have I Been Pwned. Trang web này tổng hợp thông tin từ các vụ vi phạm dữ liệu và cung cấp cho người tiêu dùng khả năng sử dụng thông tin đó để tự bảo vệ mình. Bạn có thể điều hướng đến tab 'Thông báo cho tôi' ở trên cùng và nhập địa chỉ email của bạn.

Sau khi bạn xác nhận địa chỉ email bạn đã nhập (nơi nó sẽ cung cấp thông tin hiển thị hiện tại của bạn), trang web sẽ gửi email cho bạn bất kỳ lúc nào email của bạn có liên quan đến vi phạm dữ liệu. Đó là, bất kỳ vi phạm nào mà trang web đều được cảnh báo - phạm vi bảo hiểm của chúng rất tốt, nhưng không có nguồn duy nhất nào chứa mọi vi phạm dữ liệu bị rò rỉ. Bằng cách này, bạn có thể chỉ cần thay đổi mật khẩu bị ảnh hưởng và sẽ không phải lo lắng về việc nó ảnh hưởng đến bất kỳ tài khoản nào khác của bạn.

Nếu bạn đang làm việc về bảo mật cho một tổ chức lớn, thì phần mềm quản lý mật khẩu doanh nghiệp (cùng một công ty được liệt kê ở trên cung cấp các dịch vụ này) là một ý tưởng tuyệt vời, cũng như các chính sách mật khẩu mạnh (yêu cầu nhân viên của bạn sử dụng mật khẩu đủ mạnh). Have I Been Pwned cũng có một dịch vụ cho phép chủ sở hữu miền giám sát các vi phạm liên quan đến bất kỳ email nào trên miền (và hoàn toàn miễn phí!).

Làm thế nào khác để tin tặc lấy được mật khẩu?

Có một vài khả năng khác - lướt qua vai hoặc về cơ bản là xem bạn nhập mật khẩu của mình - mặc dù điều này không chắc vì người đó phải theo dõi bạn.

Sau đó, có hành vi trộm cắp mật khẩu đã được viết ra, hoặc chỉ là hình ảnh của mật khẩu được viết ra có thể nhìn thấy trong ảnh. Một lần nữa, điều này ít xảy ra hơn nhiều so với bất kỳ tùy chọn nào ở trên vì nó thường xuất phát từ một cuộc tấn công có chủ đích (vốn dĩ ít phổ biến hơn so với tội phạm cơ hội).

Tránh hai điều này khá đơn giản - không cho phép ai đó xem bạn nhập mật khẩu và không ghi lại mật khẩu của bạn. Sử dụng trình quản lý mật khẩu để thay thế! Nếu bạn chỉ đơn giản là phải viết nó ra, hãy lưu trữ nó ở một nơi nào đó mà ai đó khó có thể tìm kiếm hoặc tình cờ tìm thấy. Tôi muốn đề nghị đáy của một hộp băng vệ sinh. An toàn hơn nhiều so với ghi chú dán trên màn hình của bạn.

Nó có vẻ thực sự dễ dàng để bị tấn công. Tôi có nên quan tâm không?

Điều quan trọng nhất cần nhớ về hack là không ai muốn làm nhiều việc hơn họ phải làm. Ví dụ, đột nhập vào nhà để lấy cắp sổ ghi chép mật khẩu của bạn khó hơn nhiều so với việc gửi email lừa đảo từ bên kia thế giới. Nếu có một cách dễ dàng hơn để lấy mật khẩu của bạn, đó có thể là điều mà một kẻ bất chính sẽ thử trước.

Điều đó có nghĩa là kích hoạt các phương pháp hay nhất về bảo mật mạng cơ bản có lẽ là cách dễ nhất để ngăn chặn việc bị tấn công. Trên thực tế, Microsoft gần đây đã báo cáo rằng chỉ cần bật Xác thực hai yếu tố sẽ chặn được 99,9% các cuộc tấn công tự động.  

Vì vậy, hãy bật 2FA, sử dụng trình quản lý mật khẩu để tự động tạo mật khẩu dài, phức tạp, duy nhất cho mọi tài khoản và suy nghĩ trước khi bạn nhấp vào! Tránh nhấp vào các liên kết và tệp đính kèm sơ sài hoặc không mong muốn và luôn cảnh giác.