Các cách Hack Password hiệu quả nhất để Hacker sử dụng đôi khi cũng khá đơn giản nhưng nhiều bạn chưa biết. Password là rào cản chống lại sự xâm nhập nhằm bảo vệ tài khoản. Mật khẩu có thể bị bẻ khóa, nếu người dùng không đặt Password có độ phức tạp cao. Hiện nay ngoài Password thì còn có nhiều công nghệ khác để bảo vệ tài khoản an toàn như sinh trắc học, token… Tuy nhiên Password được đánh giá cao hơn về độ tin cậy và bảo mật.
Cho đến nay Password vẫn là phương pháp xác thực người dùng chính, vì vậy điều cần thiết là tất cả chúng ta phải biết các cách Hack Password do Hacker sử dụng và truy cập vào mã ‘bí mật’ này. Sau cùng, cho dù bạn có nghĩ Password của mình thông minh đến đâu, thì Hacker cũng sẽ tìm cách phá hoại nó.
Cần lưu ý rằng hầu hết các kỹ thuật hack này đều vô dụng khi bạn dùng nhiều lớp xác thực mạnh mẽ và có kiến thức bảo mật tốt.
Phishing – lừa đảo
Phishing hay lừa đảo một trong các cách Hack Password sử dụng phổ biến nhất hiện nay. Lừa đảo liên quan đến việc sử dụng email để lừa một cá nhân nhấp vào tệp đính kèm hoặc liên kết được nhúng vào. Sau đó, điều này sẽ kích hoạt tải xuống phần mềm hoặc mã độc hại, sau đó có thể cho phép Hacker lấy cắp Password thông qua nhiều công cụ khác nhau hoặc thủ thuật người dùng nhập thông tin đăng nhập của họ vào một trang web giả mạo
Gần đây nhất, chúng ta đã chứng kiến sự gia tăng số lượng các vụ lừa đảo lừa đảo liên quan đến coronavirus, khi các Hacker tìm cách lợi dụng đại dịch và sự lo lắng của công chúng.
Social engineering
Social engineering thường đề cập đến quá trình lừa người dùng, khi họ quá tin tưởng một người nào đó và tiết lộ bị mất Password cho người đó. Một chiến thuật phổ biến là Hacker gọi điện cho nạn nhân và giả làm bộ phận hỗ trợ kỹ thuật, yêu cầu những thứ như Password truy cập mạng để hỗ trợ. Điều này có thể có hiệu quả tương tự nếu được thực hiện trực tiếp, sử dụng đồng phục giả và bằng chứng xác thực, mặc dù điều đó ngày nay ít phổ biến hơn nhiều.
Các cuộc tấn công kỹ thuật xã hội (Social engineering) là một trong các cách Hack Password thành công cực kỳ thuyết phục, như trường hợp Giám đốc điều hành của một công ty năng lượng có trụ sở tại Vương quốc Anh đã mất 201.000 bảng Anh cho Hacker sau khi họ lừa anh ta bằng một công cụ AI mô phỏng giọng nói của trợ lý của anh ta.
Phần mềm độc hại
Các cách Hack Password phổ biến là Hacker sẽ sử dụng Keylogger, rat, trojan và một loạt các công cụ độc hại khác bên trong nó chứa toàn những mã lệnh nguy hiểm để cài vào máy tính người dùng. Các phần mềm độc hại được thiết kế để lấy cắp dữ liệu cá nhân. Keylogger ghi lại hoạt động của người dùng, cho dù đó là thông qua các lần nhấn phím hay ảnh chụp màn hình, tất cả sau đó được gửi về cho hacker. Một số phần mềm độc hại thậm chí sẽ chủ động truy tìm từ điển Password hoặc dữ liệu được liên kết với trình duyệt web trong hệ thống của người dùng.
Brute force – vét cạn
Brute force là phương pháp đoán Password dựa trên danh sách Password mà bạn liệt kê sẵn. Cách này cần thời gian và độ may mắn.
Một ví dụ đơn giản của một cuộc tấn công này là một hacker chỉ đơn giản là đoán Password của một người dựa trên các manh mối liên quan, tuy nhiên, chúng có thể phức tạp hơn thế.
Ví dụ: Nhiều người sử dụng lại Password của họ, một số trong số đó sẽ bị lộ do trùng dữ liệu trước đó. Các cuộc tấn công ngược lại có liên quan đến việc Hacker lấy một số Password được sử dụng phổ biến nhất và cố gắng đoán tên người dùng liên quan. Hầu hết các cuộc tấn công này sử dụng một số loại xử lý tự động, cho phép một lượng lớn Password được đưa vào hệ thống.
Hệ thống từ điển Password
Cuộc tấn công này cũng là dạng tấn công Brute force nhưng quy trình lại phức tạp và cao cấp hơn.
Điều này sử dụng một quy trình tự động tạo ra danh sách các Password và cụm từ thường được sử dụng. Hầu hết các từ điển sẽ được tạo thành từ thông tin xác thực có được từ các lần hack trước đó, mặc dù chúng cũng sẽ chứa các Password và tổ hợp từ phổ biến nhất. Điều này lợi dụng thực tế là nhiều người sẽ sử dụng các cụm từ dễ nhớ làm Password, thường là toàn bộ các từ được gắn với nhau. Đây phần lớn là lý do tại sao các hệ thống sẽ thúc giục việc sử dụng nhiều loại ký tự khi tạo Password.
Ghi chú Password
Đây là cách các Hacker đánh vào thế chủ quan của người dùng. Bởi vì họ sợ quên mất Password khá dài nên người dùng hay ghi chú lại độ dài và độ phức tạp theo cách của họ, thậm chí là ghi lại cả Password và đương nhiên các Hacker hoàn toàn có thể tấn công vào những dữ liệu này để phân tích cho 2 cách vừa nêu trên.
Giải mã các thuật toán mã hóa Password
Bất cứ khi nào một Password được lưu trữ trên một hệ thống, Password đó thường được mã hóa bằng cách sử dụng ‘băm’ hoặc bí danh mật mã, khiến cho việc xác định Password ban đầu không có hàm băm tương ứng là không thể. Ví dụ khi bạn nhập Password là 123456, thì lúc lưu trữ xuống database, số 123456 sẽ bị mã hóa thành một chuỗi khác và theo 1 công thức khác, như mỗi số sẽ cộng thêm 1 là thành 23456…., hoặc dùng mã hóa md5 để thay đổi dạng rõ của số 123456.
Để vượt qua điều này, Hacker duy trì và chia sẻ các thư mục ghi lại Password và các hàm băm tương ứng của chúng, thường được xây dựng từ các lần hack trước đó, giảm thời gian xâm nhập vào hệ thống (được sử dụng trong các cuộc tấn công bạo lực).
Các bảng băm được Hacker chế tạo ra từ trước, vì thay vì chỉ cung cấp Password và hàm băm của nó, các bảng này lưu trữ danh sách được biên dịch trước của tất cả các phiên bản văn bản thuần túy có thể có của Password được mã hóa dựa trên thuật toán băm. Sau đó, Hacker có thể so sánh các danh sách này với bất kỳ Password được mã hóa nào mà chúng phát hiện được trong hệ thống của công ty.
Phần lớn việc tính toán xâm nhập được các tổ chức thực hiện trước khi cuộc tấn công diễn ra. Nhược điểm đối với tội phạm mạng là khối lượng các bảng băm có thể rất lớn, thường có kích thước hàng trăm gigabyte.
Phân tích dữ liệu người qua thông qua Internet
Công cụ bắt gói tin cho phép Hacker giám sát và bắt các gói dữ liệu được gửi qua mạng và gỡ bỏ Password văn bản thuần túy chứa bên trong. Các công cụ thường dùng như wireshark, Solarwinds Bandwidth Analyzer 2-Pack, Tcpdump.org, Kismetwireless.net, EtherApe, SteelCentral Packet Analyzer, SolarWinds Packet Analysis Bundle…
Một cuộc tấn công như vậy yêu cầu sử dụng phần mềm độc hại hoặc quyền truy cập vật lý vào một bộ chuyển mạng (switch, router), nhưng nó có thể mang lại hiệu quả cao. Nó không dựa vào việc khai thác lỗ hổng hệ thống hoặc lỗi mạng và như vậy có thể áp dụng cho hầu hết các mạng nội bộ. Người ta cũng thường sử dụng Công cụ bắt gói tin như một phần của giai đoạn đầu, sau đó là các cuộc tấn công đột ngột. Đây là các cách Hack Password có sự đầu tư về thời gian và theo dõi đối tượng.
Cách duy nhất để ngăn chặn cuộc tấn công này là bảo mật lưu lượng bằng cách định tuyến nó thông qua VPN hoặc một cách khác tương tự.
Thu thập thông tin
Việc thu thập này triển khai các kỹ thuật rất giống với các kỹ thuật được sử dụng trong các cuộc tấn công dựa trên giả mạo nhân viên kĩ thuật, chẳng hạn như lừa đảo.
Cách này mô tả quá trình một hacker biết được mục tiêu của người dùng, đến mức họ có thể nhận được thông tin xác thực dựa trên hoạt động của họ. Ví dụ: nhiều tổ chức sử dụng Password liên quan đến doanh nghiệp của họ theo một cách nào đó, chẳng hạn như Password trên mạng Wi-Fi hoặc mạng nội bộ của tổ chức đó. Hacker có thể nghiên cứu một doanh nghiệp và các sản phẩm mà nó tạo ra để xây dựng một danh sách các tổ hợp từ khả thi, có thể được sử dụng sau này trong một cuộc tấn công đột ngột.
Giống như nhiều cách trên, quá trình này thường được củng cố bởi tự động hóa.
Bẻ khóa ngoại tuyến
Điều quan trọng cần nhớ là không phải tất cả các vụ hack đều diễn ra qua kết nối internet. Trên thực tế, hầu hết các hoạt động hack diễn ra ngoại tuyến, đặc biệt là khi hầu hết các hệ thống đặt giới hạn về số lần đoán cho phép trước khi tài khoản bị khóa.
Hack ngoại tuyến thường bao gồm quá trình giải mã Password bằng cách sử dụng danh sách các hàm băm có thể được lấy từ dữ liệu trước đó. Nếu không có mối đe dọa bị phát hiện hoặc các hạn chế về Password, hacker sẽ bị mất nhiều thời gian hơn.
Đoán mò – là các cách Hack Password hên xui
Nếu vẫn thất bại, Hacker luôn có thể thử và đoán Password của bạn. Trong khi có nhiều trình quản lý Password có sẵn để tạo ra các chuỗi không thể đoán được, nhiều người dùng vẫn dựa vào các cụm từ dễ nhớ. Những thông tin này thường dựa trên sở thích, vật nuôi hoặc gia đình, phần lớn trong số đó thường được chứa trong chính các trang hồ sơ mà Password đang cố gắng bảo vệ.
