Nhiều trang web và ứng dụng đặt câu hỏi bảo mật khi bạn đăng ký lần đầu tiên. Sau đó, họ sử dụng câu trả lời bạn cung cấp để xác minh danh tính của bạn bất cứ khi nào bạn yêu cầu thay đổi mật khẩu đã mất. Nhưng những kẻ tấn công mạng thường tìm cách xoay quanh các câu hỏi bảo mật.
Làm cách nào để họ mở ra các câu trả lời bí mật của bạn và truy cập vào tài khoản của bạn? Làm cách nào để họ vượt qua những câu hỏi này để hack hồ sơ của bạn?
1. Lừa đảo trên mạng xã hội
Một khía cạnh tiêu cực của mạng xã hội là rất khó để phân biệt ai là người thật. Việc tội phạm mạng sử dụng nó để đánh lừa nạn nhân tiết lộ câu trả lời cho các câu hỏi bảo mật của họ không phải là điển hình.
Một cách phổ biến mà tin tặc đạt được là họ hiển thị với tư cách là bạn bè hoặc người theo dõi nạn nhân của họ trên các nền tảng truyền thông xã hội như Facebook, LinkedIn, Instagram hoặc Twitter. Sử dụng các hình thức thao túng tâm lý xã hội, chúng lừa nạn nhân tin tưởng chúng. Đây là một cấp độ khác của kỹ thuật xã hội.
Một khi kẻ tấn công mạng trở thành bạn của mục tiêu trên mạng xã hội, chúng sẽ trò chuyện với nạn nhân và tiết lộ thông tin giả mạo về bản thân trước để tỏ ra đáng tin cậy. Trông giống một trong những trò gian lận trong ứng dụng hẹn hò đó, chúng tham gia vào các cuộc trò chuyện về sở thích và sở thích của nạn nhân.
Đôi khi, kẻ tấn công có thể giả vờ chia sẻ cùng mối quan tâm, sở thích và sở thích với nạn nhân, người có thể vô tình chia sẻ thông tin bí mật — tất nhiên, có khả năng bao gồm câu trả lời cho các câu hỏi bảo mật. Điều này có thể bao gồm từ những thứ họ sử dụng để truy cập tài nguyên tại nơi làm việc đến những tài nguyên được sử dụng để mua sắm trực tuyến hoặc các giao dịch trực tuyến nhạy cảm khác.
2. Lừa đảo
Lừa đảo và kỹ thuật xã hội song hành với nhau. Lừa đảo xảy ra khi tin tặc thể hiện mình là một người khác, tức là một nhân cách giả. Ví dụ:kẻ tấn công có thể nói với bạn trong một cuộc gọi, SMS hoặc email rằng chúng đại diện cho công ty nắm giữ một trong các hồ sơ của bạn.
Họ có thể yêu cầu bạn trả lời một số câu hỏi trong một khung thời gian cụ thể để tăng cường bảo mật cho bạn. Hoặc họ thậm chí có thể gửi cho bạn một liên kết đến một biểu mẫu trực tuyến — hầu hết là bản sao giả mạo của trang web gốc mà bạn có hồ sơ. Thậm chí có những trường hợp tin tặc yêu cầu nạn nhân điền vào Google Biểu mẫu hoặc bất kỳ bảng câu hỏi trực tuyến nào với lý do là họ đang tiến hành nghiên cứu.
Tin tặc thường sử dụng kỹ thuật này để khai thác những cá nhân ít hiểu biết về bảo mật. Tất nhiên, khi họ nhận được thông tin cần thiết, sẽ dễ dàng bỏ qua các câu hỏi bảo mật và giành quyền kiểm soát không hạn chế đối với tài khoản của mục tiêu.
3. Thông tin từ hồ sơ trực tuyến của bạn
Trong khi các câu hỏi bảo mật được cho là riêng tư và chỉ bạn mới biết, bạn có thể đã để lại rất nhiều manh mối cho câu trả lời của chúng trên internet. Tin tặc có thể dễ dàng giải mã câu trả lời cho các câu hỏi bảo mật của bạn nếu bạn thường để lại thông tin nhạy cảm về bản thân trên hồ sơ mạng xã hội của mình.
Kỹ thuật này thường liên quan đến việc hacker tiến hành nghiên cứu chuyên sâu về thông tin chi tiết của bạn trực tuyến. Để đạt được điều này, họ tìm kiếm bạn trên các công cụ tìm kiếm như Google và kiểm tra các xử lý truyền thông xã hội của bạn, bao gồm LinkedIn, Facebook, Twitter, Instagram, v.v., để biết càng nhiều gợi ý càng tốt.
Lần đó bạn trả lời một câu hỏi đùa trên Facebook ghép tên thời con gái của mẹ bạn với tên con vật cưng đầu tiên của bạn? Điều đó thực sự hữu ích đối với tội phạm mạng.
Tại thời điểm này, kẻ tấn công quay lại các câu hỏi bảo mật để trả lời chúng dựa trên thông tin chúng thu thập từ hồ sơ công khai của bạn.
4. Cưỡng ép vũ phu
Mặc dù tin tặc thường sử dụng các cuộc tấn công brute-force để bẻ khóa mật khẩu, nhưng có rất ít điều để ngăn chúng làm điều tương tự với các câu hỏi bảo mật. Mặc dù hành vi cưỡng bức thủ công cần thời gian và sự kiên nhẫn để đạt được, các thuật toán cưỡng bức vũ phu hiện đại đơn giản hóa quy trình.
Hơn nữa, trong khi bẻ khóa các câu hỏi bảo mật, kẻ tấn công mạng chỉ cần tập trung vào các tổ hợp từ hơn là thao tác ký tự như đã làm với mật khẩu. Điều này làm cho các câu hỏi bảo mật ít khó bẻ khóa hơn vì dễ dàng tạo các mục nhập có ý nghĩa bằng cách kết hợp các từ khác nhau.
Bên cạnh đó, một khi hacker biết những câu hỏi mà một trang web yêu cầu, tất cả những gì họ cần làm là xử lý tất cả các câu trả lời có thể có dành riêng cho nạn nhân. Bạn có thể nghĩ rằng điều này khó hơn đối với tin tặc nếu trang web chỉ cho phép người dùng đưa ra câu hỏi của họ. Thật không may, điều đó khác xa sự thật, vì các câu hỏi do người dùng tạo thường kém an toàn hơn. Do đó, câu trả lời có thể dễ đoán hơn.
Cách Giữ An toàn
Vì vậy, bạn đã thấy cách những kẻ tấn công mạng có thể vượt qua các câu hỏi bảo mật và truy cập vào tài khoản của bạn. Nhưng làm thế nào bạn có thể giữ an toàn khi trực tuyến? Dưới đây là một số điểm có thể hữu ích.
1. Sử dụng xác thực hai yếu tố
Mặc dù tin tặc có thể vượt qua xác thực hai yếu tố, nhưng việc bẻ khóa thường mang tính kỹ thuật hơn là các câu hỏi bảo mật. Hơn nữa, việc kết hợp nó với các câu hỏi bảo mật sẽ củng cố thêm tài khoản của bạn. Việc hợp nhất giao thức bảo mật như vậy khiến kẻ tấn công gặp nhiều câu đố khó giải hơn. Trong những trường hợp như vậy, họ có xu hướng từ bỏ sớm.
Bạn thật may mắn nếu nhà cung cấp dịch vụ của bạn hỗ trợ cả hai phương pháp. Nhưng nếu không, có rất nhiều nhà cung cấp xác thực hai yếu tố bên thứ ba.
2. Tránh sử dụng các câu hỏi và câu trả lời chung chung
Nhiều câu hỏi bảo mật rất dễ đoán vì nạn nhân thường đưa ra những câu trả lời chung chung. Điều đó trở nên tồi tệ hơn khi một trang web hoặc một ứng dụng cho phép người dùng tạo câu hỏi bảo mật của riêng họ.
Câu trả lời cho các câu hỏi như sở thích, màu sắc yêu thích, thú cưng, phim, âm nhạc hoặc thức ăn của bạn tương đối dễ đoán. Vì vậy, bạn có thể muốn tránh chúng. Và đối với những câu hỏi cụ thể hơn như tên thời con gái của mẹ bạn, v.v., bạn cũng có thể cố gắng đưa ra những câu trả lời độc đáo hơn; ví dụ:những thứ này thậm chí không cần phải là những thứ chính xác, mà thay vào đó là thứ mà bạn liên kết với chúng.
Nếu bạn có khả năng quên những câu trả lời bạn đã cung cấp cho một câu hỏi cụ thể vì nó là duy nhất, bạn có thể phác thảo chúng trong một ứng dụng ghi chú được mã hóa để tra cứu bất cứ khi nào bạn cần.
3. Xóa thông tin nhạy cảm khỏi hồ sơ của bạn
Thông tin cá nhân trên mạng xã hội và các hồ sơ trực tuyến khác của bạn có thể cung cấp manh mối cho câu trả lời bảo mật của bạn. Tốt nhất bạn nên xóa các chi tiết nổi bật như vậy khỏi hồ sơ của mình để kiểm tra vi phạm câu hỏi bảo mật. Cuối cùng, điều tốt lành nào đến từ việc trả lời những câu chuyện cười vòng vo trên Facebook, Twitter và ilk?
Bảo vệ thông tin của bạn trực tuyến
Giống như xác thực hai yếu tố, các câu hỏi bảo mật thêm một lớp bảo vệ khác vào hồ sơ của bạn trực tuyến. Một số dịch vụ yêu cầu câu hỏi bảo mật trước khi họ cung cấp liên kết đặt lại mật khẩu. Và đối với một số người, họ làm như vậy sau khi bạn đặt lại mật khẩu của mình. Tất cả những điều này nhằm mục đích bảo mật tài khoản của bạn hơn nữa.
Dù là gì đi nữa, các lá chắn lớp thứ hai như câu hỏi bảo mật là điều mà các hacker thường gặp phải khi cố gắng truy cập vào tài khoản của bạn. Bên cạnh đó, cách chúng ta sử dụng Internet ảnh hưởng đến sức mạnh của các câu hỏi bảo mật.