Những mục tiêu hoàn hảo cho hacker

•   Mỹ trước nguy cơ trở thành kho dữ liệu khổng lồ cho hacker  
• Hacker làm gì với máy tính và Wi-Fi trong khách sạn?
• 5 sai lầm lớn nhất trong bảo mật doanh nghiệp
• Giải pháp truyền thông và bảo mật doanh nghiệp thế hệ mới
• Vụ hack Sony Pictures: Tấn công mạng mang sắc thái mới

Mật khẩu quá dễ đoán

Trong quá trình tạo tài khoản người dùng trên các dịch vụ trực tuyến, ở bước bảo mật tài khoản, hay nói đơn giản là việc khởi tạo (hoặc đổi mật khẩu) thì nhiều người thường tỏ ra lười biếng và làm cho xong. Phần lớn người dùng mới thường chọn giải pháp là đặt mật khẩu dễ đoán , thậm chí là một dãy số thứ tự… Hàng năm, công ty nghiên cứu số liệu SplashData đưa ra danh sách những mật khẩu dễ bị mất cắp nhất, và kết quả khiến chúng ta phải bất ngờ. Hiện tại, vẫn còn nhiều người dùng mật khẩu cho các tài khoản trên Internet chỉ thuần là một dãy số ngắn hoặc một cụm từ rất dễ đoán.

Chẳng hạn như theo danh sách của SplashData thì mật khẩu “123456” đứng đầu trong danh sách, dãy số “12345678” xếp thứ 3. Riêng với mật khẩu với các chữ cái thì từ “password” ở vị trí thứ 2, “qwerty” xếp thứ 4. Với những mật khẩu là cụm của những chữ số và chữ cái thì “abc123” xếp thứ 5 về mức độ dễ bị hacker tấn công. Ngoài ra, những mật khẩu đại loại như “111111”, “222222” hoặc ‘iloveyou” hay các dãy số liên quan đến ngày sinh, số chứng minh thư hay các giấy tờ khác… cũng là mồi ngon cho giới hacker, kể cả những hacker không chuyên.

Danh sách mật khẩu “tệ hại” nhất. Nguồn: SplashData

Lời khuyên cho bạn là nên đặt những mật khẩu với độ dài tương đối, kết hợp cả số, chữ cái (chữ hoa + chữ thường), ký tự đặc biệt và hãy cố tạo ra một quy luật riêng của bản thân để nhớ mật khẩu đó mà hacker khó đoán được. Nên nhớ rằng, những tài khoản có mật khẩu dễ nhớ với bạn thì cũng cực kỳ dễ tấn công với hacker.

Mật khẩu dễ đoán sẽ khiến tài khoản dễ mất hơn chúng ta tưởng.

Tài khoản không dùng xác thực hai bước

Với kỹ thuật tấn công ngày càng hiện đại thì có thể nói mật khẩu dù có phức tạp đến đâu thì cũng đều có thể bị hacker tìm ra và đánh cắp. Do đó, có một giải pháp tiếp theo mà bạn nên áp dụng ngay cho mọi tài khoản trên các dịch vụ, ngân hàng trực tuyến của mình là “vệ sĩ” xác thực hai bước (two-step authentication).

Xác thực hai bước sẽ cần cả mật khẩu lẫn mã được gửi qua số điện thoại đã đăng ký trước đó.

Xác thực hai bước sẽ khiến cho việc tấn công và đánh cắp tài khoản trở nên khó khăn hơn, nếu không muốn nói là “bất khả thi”. Đa số các dịch vụ trên Internet hiện nay đều hỗ trợ chức năng hữu ích này. Khi bạn nhập mật khẩu và đăng nhập vào tài khoản thì có một tin nhắn SMS kèm mã đăng nhập của nhà cung cấp dịch vụ sẽ được gửi đến điện thoại di động của chủ nhân. Chỉ chủ nhân có được mã khóa này mới có thể vào được tài khoản.

Sử dụng mạng Wi-Fi miễn phí

Dùng Wi-Fi “chùa” ở các quán cà phê, nhà hàng hay các tụ điểm công cộng đôi khi rất tiện lợi, nhưng các chuyên gia bảo mật cho biết đây cũng là con đường ngắn nhất để hacker có được tài khoản của bạn. Chẳng hạn như mới đây các chuyên gia tại tập đoàn bảo mật Cylance đã phát hiện ra những lỗ hổng nghiêm trọng trên các router InnGate sử dụng trong chuỗi khách sạn trên khắp thế giới. Rất nhiều hacker đã lợi dụng những lỗ hổng trong mạng Wi-Fi miễn phí để phát tán những công cụ nhằm thực hiện các cuộc tấn công DDOS trên diện rộng. Bên cạnh đó, việc sử dụng mạng Wi-Fi miễn phí để đăng nhập vào tài khoản cá nhân, ngân hàng, tín dụng… là vô cùng nguy hiểm.

Sử dụng mạng Wi-Fi miễn phí tại các nơi công cộng ẩn chứa nhiều nguy cơ tiềm tàng.

Nhập thông tin riêng tư trên các trang web không an toàn

Đừng bao giờ bất cẩn mà thực hiện các giao dịch trực tuyến hay nhập những thông tin nhạy cảm vào các dịch vụ trên Internet không được bảo mật. Các trang web an toàn (secure) thường được sử dụng giao thức HTTPS và đã được xác minh nhận dạng bởi các tổ chức bảo mật. Dấu hiệu nhận biết trang web này là ở đầu thanh địa chỉ có biểu tượng chìa khóa màu xanh (hoặc màu đen tùy trình duyệt). Bạn có thể an tâm với các trang web đã đạt chứng nhận này.

Thực hiện giao dịch từ các trang đấu giá không tin cậy

Bạn chỉ nên tham gia đấu giá tại trang trang thương mại điện tử có uy tín, có giấy phép hoạt động của cơ quan chức năng (Bộ Công thương tại Việt Nam) mà thôi. Ngoài ra, tuyệt đối không được tham gia đấu giá tại các trang giả mạo có giao diện tương tự như trang bán hàng qua mạng nổi tiếng. Nên tìm hiểu kỹ địa chỉ tên miền, cách thức đấu giá và những phản hồi của thành viên trước khi tham gia. Đừng vì ham rẻ mà bị lừa bởi những dịch vụ không đáng tin cậy dạng này.

Khi thực hiện giao dịch trên các trang mua bán, đấu giá online, cần thận trọng với tính pháp lí của trang. Ảnh minh họa.

Mở một tập tin đính kèm

Thư điện tử lừa đảo (phishing email) hiện đang tấn công tràn lan trên mọi dịch vụ email với những thủ đoạn ngày càng tinh vi. Thay vì phải thực hiện những thuật toán phức tạp để hack tài khoản của người dùng Internet thì tin tặc sử dụng cách thức đơn giản hơn là gửi hàng loạt email với nội dung hấp dẫn mời chào, mà nằm bên trong đó là mã độc đính kèm . Chỉ cần tò mò hoặc nhẹ dạ cả tin mà bạn nhấn vào để xem thì hacker đã đạt được mục đích.

Một mẫu email lừa đảo với tập tin đính kèm chứa virus.

Nhiều email lừa đảo còn giả mạo cả địa chỉ email có tên miền giống với các cơ quan, tổ chức có uy tín để lấy lòng người xem. Một số email có file đính kèm dạng ZIP, RAR hay thậm chí là PDF, DOC, nhưng khi mở file bạn sẽ nhận được một tập tin thực thi. Do đó, nếu không chắc chắn thì bạn tuyệt đối không được mở bất cứ tập tin đính kèm nào.

Nhấn vào các liên kết lạ

Gần đây xuất hiện nhiều email giả mạo gửi đến người dùng các dịch vụ email, mạng xã hội, ngân hàng… đề nghị thay đổi mật khẩu, gia hạn dịch vụ… với đường link đi kèm. Khi nhấn vào các liên kết này sẽ dẫn tới một trang web yêu cầu bạn nhập thông tin cá nhân, tín dụng để hoàn tất một tác vụ nào đó. Nếu người dùng làm theo thì hacker sẽ có được mọi thông tin cần thiết để xâm nhập vào tài khoản thực. Chẳng hạn, một email đòi hỏi thay đổi mật khẩu Facebook, nếu bạn làm theo thì tài khoản Facebook hiện đang dùng sẽ lọt vào tay tin tặc.

Một mẫu thư điện tử lừa đảo chứa liên kết độc hại.

Trước khi nhấn vào liên kết nào, bạn nên kiểm tra liên kết đó có tên miền ra sao, nếu nhận thấy bất thường thì nên xóa email đó đi.

Sử dụng chung một mật khẩu cho nhiều tài khoản

Việc dùng một mật khẩu cho tất cả các dịch vụ thực tế rất nguy hiểm khi một tài khoản bất kỳ bị mất mật khẩu thì hacker dễ dàng sử dụng chính mật khẩu này để cướp những tài khoản còn lại. Do đó, bạn nên sử dụng nhiều mật khẩu cho những tài khoản khác nhau và hãy đặt cho chúng những quy tắc để có thể nhớ được. Bạn cũng có thể sử dụng các ứng dụng như 1Password (https://agilebits.com/onepassword) và LastPass (https://lastpass.com) để tạo và quản lý những mật khẩu phức tạp và khó hacker nào có thể phá được.

Nên sử dụng các công cụ hỗ trợ tạo và quản lý mật khẩu mà không sợ quên.

PC World VN, 06/2015