Đó là một trong những cảm giác tồi tệ nhất.
Bạn đang sử dụng máy tính Mac của mình và bắt đầu nhận thấy một số tính năng đang tắt. Các tập tin xuất hiện mà bạn chưa từng thấy trước đây. Có thể bạn nhận thấy các ứng dụng bạn chưa bao giờ cài đặt. Hoặc có thể chuột của bạn thậm chí bắt đầu tự di chuyển.
Máy Mac của bạn có bị tấn công không?
Tôi là Andrew, cựu quản trị viên Mac với mười lăm năm kinh nghiệm trong lĩnh vực Công nghệ thông tin và tôi sẽ chỉ cho bạn những điều cần kiểm tra nếu bạn nghi ngờ MacBook, iMac hoặc bất kỳ thiết bị nào khác chạy macOS của mình đã bị xâm phạm.
Trong bài viết này, chúng tôi sẽ xem xét ba trường hợp khác nhau. Chúng ta sẽ xem xét cách để biết liệu ai đó có đang tích cực theo dõi máy Mac của bạn hay không, cách biết liệu máy Mac của bạn đã bị xâm phạm trong quá khứ hay chưa và cách tăng cường hệ điều hành của bạn để giúp ngăn truy cập trái phép từ xa trong tương lai.
Hãy đi sâu vào.
Làm cách nào để biết nếu ai đó đang truy cập từ xa vào máy Mac của tôi?
Nếu bạn nghi ngờ ai đó có thể đang truy cập từ xa vào máy Mac của bạn khi đang sử dụng nó, thì có một số dấu hiệu cho thấy.
1. Kiểm tra ánh sáng máy ảnh
Bạn có thể đã nghe những câu chuyện kinh hoàng về việc tin tặc bật webcam mà chủ sở hữu không hề hay biết và theo dõi — hoặc tệ hơn là ghi âm — mọi thứ mà camera có thể nhìn thấy.
May mắn thay, các máy Mac có máy ảnh tích hợp như iMac và MacBook có đèn báo chuyển sang màu xanh lục khi máy ảnh của bạn đang được sử dụng.
Ánh sáng có phải là một điều dễ hiểu không?
Apple tuyên bố các máy ảnh được nối tiếp với máy ảnh, có nghĩa là nếu đèn tắt, máy ảnh cũng sẽ tắt. Theo cách nói riêng của công ty,
“Máy ảnh được thiết kế để không thể kích hoạt mà không bật đèn báo máy ảnh. Đây là cách bạn có thể biết máy ảnh của mình có đang bật hay không. ”
Tuy nhiên, đèn webcam đã bị tắt trước đây và không nằm ngoài khả năng tin tặc có thể tìm cách bật máy ảnh của bạn trong khi vẫn giữ đèn LED chỉ báo mờ.
Đừng phụ thuộc 100% vào đèn LED, nhưng nếu bạn nhận thấy nó đang bật và bạn không chạy bất kỳ chương trình nào truy cập vào máy ảnh, thì có thể ai đó đang truy cập vào nó.
2. Tìm Biểu tượng Chia sẻ Màn hình hoặc Máy tính Từ xa của Apple
Phần mềm điều khiển từ xa của Apple được gọi là Apple Remote Desktop (viết tắt là ARD) cho phép giáo viên, chuyên gia CNTT hoặc bất kỳ ai có quyền giám sát, thao tác và thậm chí điều khiển các máy tính Macintosh khác.
Chia sẻ màn hình là một phương pháp khác để cấp cho ai đó hoặc thiết bị khác quyền truy cập vào máy tính của bạn.
Nhưng khi ai đó kết nối với máy Mac của bạn bằng ARD hoặc thông qua chia sẻ màn hình, macOS sẽ hiển thị biểu tượng chia sẻ màn hình ở góc trên cùng bên phải của màn hình.
Nếu máy Mac của bạn ở màn hình khóa (hoặc màn hình đăng nhập), bạn cũng sẽ thấy thông báo cho biết “ Màn hình của bạn đang được quan sát . ”
Tùy thuộc vào phiên bản hệ điều hành của bạn, biểu tượng này sẽ nằm trên cùng bên phải bên cạnh biểu tượng chia sẻ màn hình trong macOS 12 Monterey hoặc gần chính giữa phía trên tài khoản người dùng trong các phiên bản cũ hơn.
Đây là giao diện của nó trong macOS Monterey:
Nếu bạn thấy biểu tượng này, máy Mac của bạn có thể đang bị giám sát.
Có hai trường hợp khi biểu tượng này không có nghĩa là ai đó đang theo dõi màn hình của bạn từ xa.
Đầu tiên là nếu bạn đang sử dụng AirPlay để phản chiếu không dây màn hình máy Mac của mình. Khi bạn làm như vậy bằng cách kết nối với Apple TV hoặc thiết bị tương thích với AirPlay khác, macOS sẽ hiển thị biểu tượng Chia sẻ màn hình giống như hệ điều hành làm với ARD và chia sẻ màn hình từ xa.
Tất nhiên, nếu bạn không bắt đầu phiên phản chiếu màn hình, thì vẫn có khả năng ai đó đã khởi động AirPlay từ xa. Nhưng nếu ai đó có quyền truy cập vào máy Mac của bạn, thì không chắc người đó sẽ có bất kỳ động cơ nào để sử dụng AirPlay.
Tình huống thứ hai xảy ra khi ghi màn hình của bạn. Bạn có biết rằng có thể quay màn hình trên macOS? Đó là.
Cách dễ nhất để bắt đầu phiên quay màn hình là sử dụng phím tắt, shift + lệnh + 5 và sau đó nhấp vào nút "Ghi".
Nếu đang theo dõi ở nhà, bạn sẽ nhận thấy một vòng tròn có nút dừng hình vuông xuất hiện ở góc trên cùng bên phải. Bạn sẽ chỉ thấy biểu tượng chia sẻ màn hình nếu màn hình của bạn khóa trong khi đang quay màn hình.
3. Theo dõi chuyển động của chuột hoặc các hành vi GUI bất thường khác
Chuột của bạn có tự di chuyển không?
Các chương trình tự mở hay đóng? Bạn có thấy các tổ hợp phím được nhập trên máy tính của mình không?
Những hành vi này và các hành vi kỳ lạ hoặc thất thường khác có thể cho thấy ai đó đang điều khiển máy Mac của bạn từ xa.
Xác minh rằng mọi thiết bị đầu vào ngoại vi như Magic Mouse hoặc bàn phím không dây hoặc bàn di chuột của bạn không hoạt động sai vì những thiết bị này có thể gây ra một số triệu chứng tương tự.
4. Sử dụng Lệnh ai
Nếu Đăng nhập từ xa được bật trên máy Mac của bạn, ai đó có thể đang truy cập vào máy Mac của bạn bằng Secure Shell (SSH).
Một cách đơn giản để kiểm tra là chạy lệnh “ai” từ thiết bị đầu cuối macOS. Từ Launchpad, tìm kiếm “Terminal” và nhấp vào ứng dụng để mở nó.
Tại lời nhắc, nhập “ai” (không có dấu ngoặc kép) và nhấn phím quay lại.
Terminal sẽ hiển thị bất kỳ người dùng nào đã đăng nhập vào máy tính của bạn.
Người dùng từ xa sẽ được liệt kê cùng với địa chỉ IP của họ. Trong ảnh chụp màn hình ở trên, một người dùng có tên “jeremiah” được kết nối từ IP 192.168.1.22.
Cách nhận biết máy Mac của bạn đã bị tấn công hay chưa
Nếu bạn không nghi ngờ ai đó đang chủ động truy cập vào máy Mac của mình, nhưng muốn biết liệu có ai đã truy cập từ xa vào máy Mac của bạn trước đây hay không, có một số địa điểm bạn có thể xem.
1. Kiểm tra tệp nhật ký
Quay lại Terminal, nhập lệnh sau:
log show –last 7d –predicate ‘processImagePath CHỨA“ screenharingd ”VÀ eventMessage CHỨA“ Authentication ”‘
Lệnh này sẽ hiển thị tất cả các mục nhật ký chia sẻ màn hình trong bảy ngày qua cùng với các thông báo liên quan đến xác thực.
Bạn có thể thấy trong ví dụ trên rằng người dùng ‘jeremiah’ đã cố gắng thiết lập phiên chia sẻ màn hình từ địa chỉ IP 192.168.1.22.
2. Tìm kiếm tệp mới hoặc tệp đã sửa đổi
Bạn có nhận thấy bất kỳ tệp mới nào mà bạn chưa tạo không? Một số tệp của bạn có được sửa đổi nhưng bạn không thay đổi chúng không?
Đây là những dấu hiệu ai đó có thể đã truy cập và thao túng máy tính của bạn.
Hãy nhớ rằng hệ thống tạo các tệp của riêng nó trên toàn hệ điều hành, vì vậy đừng vội kết luận ngay nếu bạn thấy các tệp mà bạn không nhận ra.
Tuy nhiên, các tệp lạ có thể là dấu hiệu của truy cập trái phép từ xa.
3. Kiểm tra Tài khoản Người dùng Mới
Mở lại Terminal lên và nhập:
dscl. danh sách / Người dùng
Bạn có thể bỏ qua bất kỳ người dùng nào bắt đầu bằng dấu gạch dưới và bạn cũng có thể bỏ qua daemon , không ai và root . Đây là những người dùng bình thường và được tích hợp sẵn trong macOS.
Nếu bạn thấy bất kỳ người dùng nào mà bạn không nhận ra, có thể ai đó có quyền truy cập từ xa đã tạo ra những người dùng này và đang sử dụng tài khoản để truy cập vào máy Mac của bạn.
4. Kiểm tra phần mềm độc hại
Một mục khác cần kiểm tra là phần mềm độc hại.
Phần mềm độc hại có nhiều dạng, nhưng một trong những chức năng của nó là truy cập từ xa vào máy tính của bạn cho nhiều mục đích khác nhau như đánh cắp danh tính, botnet và tống tiền.
Bitdefender Antivirus liên tục được xếp hạng trong số những ứng dụng tốt nhất khi nói đến tính năng quét và bảo vệ vi-rút macOS. Phần mềm này không miễn phí, vì vậy hãy chuẩn bị bỏ ra vài đô mỗi năm để sử dụng chương trình.
Một lựa chọn tốt khác là Malwarebytes. Malwarebytes cũng không miễn phí, nhưng chương trình có bản dùng thử 14 ngày. Vì vậy, nếu tất cả những gì bạn cần là quét một lần, thì đây có thể là một lựa chọn tốt.
5. Tìm kiếm các ứng dụng mới được cài đặt
Từ trình đơn Trình tìm kiếm, nhấp vào Bắt đầu và sau đó trên Ứng dụng . Trong chế độ xem danh sách, nhấp vào Ngày sửa đổi để sắp xếp các ứng dụng.
Bạn có nhận thấy bất kỳ chương trình nào gần đây có vẻ đáng ngờ hoặc bạn không nhận ra không?
Nếu vậy, hãy nhập tên ứng dụng vào công cụ tìm kiếm trên Internet để xem chúng có hợp pháp không. Nếu không, hãy xóa chúng.
6. Kiểm tra các mục đăng nhập của bạn
Các chương trình khởi động trái phép có thể chỉ ra một số loại phần mềm gián điệp, phần mềm quảng cáo hoặc các loại phần mềm độc hại khác có trên máy tính của bạn.
Đây có thể là một điều gì đó đơn giản (và bất chính) như một tập lệnh cho phép chia sẻ lại màn hình mỗi khi bạn đăng nhập vào máy tính của mình.
Để xem chương trình nào đang chạy khi đăng nhập, hãy đi tới Tùy chọn hệ thống và nhấp vào Người dùng &Nhóm biểu tượng. Sau đó nhấp vào Mục đăng nhập ở phía bên tay phải.
Ngăn này sẽ liệt kê các chương trình bạn đang chạy khi đăng nhập. Hãy chọn bất kỳ mục nào bạn không nhận ra hoặc cần, sau đó nhấp vào nút dấu trừ để xóa chúng.
Cách ngăn ai đó truy cập máy Mac của bạn từ xa
Ngay cả khi bạn không nghi ngờ ai đó đã truy cập vào máy Mac của mình trước đây, bạn nên chỉnh sửa cài đặt hệ điều hành của mình để đảm bảo an toàn hơn. Đây được gọi là quá trình làm cứng và không cần quá nhiều thời gian. Dưới đây là một số cài đặt cần kiểm tra:
1. Kiểm tra quyền truy cập vào máy ảnh và micrô
Trong Tùy chọn hệ thống , nhấp vào Bảo mật và quyền riêng tư rồi chọn Quyền riêng tư tab.
Nhấp vào biểu tượng ổ khóa ở dưới cùng bên trái và xác thực để thay đổi cài đặt trong ngăn này.
Cuộn đến Máy ảnh ở phía bên tay trái và chọn mục. Mọi ứng dụng có quyền truy cập sẽ được liệt kê ở bên phải với dấu kiểm trong hộp bên cạnh.
Bỏ chọn bất kỳ chương trình nào bạn không muốn truy cập vào máy ảnh của mình.
Làm theo các bước tương tự đối với Micrô.
2. Cài đặt Phần mềm Antimalware
Một chương trình chống vi-rút tốt, mặc dù nó có thể cồng kềnh, nhưng là một tuyến phòng thủ khác chống lại hoạt động bất chính trên máy Mac của bạn. Xem ở trên để biết các khuyến nghị.
3. Tắt SSH, Chia sẻ màn hình và Quyền truy cập quản lý từ xa
Quay lại Tùy chọn hệ thống , điều hướng đến Chia sẻ ngăn.
Bỏ chọn các hộp sau:“Chia sẻ màn hình” và “Đăng nhập từ xa” và “Quản lý từ xa”.
Làm như vậy sẽ hạn chế quyền truy cập từ xa vào máy Mac của bạn. Bạn luôn có thể quay lại những thứ này theo cách thủ công nếu bạn cần cho phép truy cập tạm thời vào máy Mac của mình.
Câu hỏi thường gặp
Giờ thì bạn đã biết các chỉ báo về truy cập từ xa và cách làm cứng máy Mac để ngăn truy cập trái phép trong tương lai, nhưng bạn có thể có một vài câu hỏi khác.
Máy Mac có thể bị tấn công từ xa không?
Có, máy Mac không miễn nhiễm với hack từ xa. Nếu SSH được bật, bất kỳ ai có thông tin đăng nhập quản trị đều có thể thực thi từ xa mã có thể dẫn đến việc tiếp quản toàn bộ máy Mac của bạn.
Làm cách nào để xem hoạt động gần đây trên máy Mac của tôi?
Tệp system.log trong tiện ích Console là một nơi tốt để bắt đầu. Trong tệp nhật ký đó, bạn có thể tìm kiếm các từ khóa nhất định. Nếu bạn đang tìm kiếm cụ thể các sự kiện chia sẻ màn hình, hãy sử dụng các hướng dẫn ở trên.
Lấy lại quyền kiểm soát máy Mac của bạn
Bằng cách làm theo các bước ở trên, bạn không chỉ có thể xác định xem ai đó đang truy cập máy Mac của bạn từ xa mà còn có thể kiểm tra hoạt động trước đây và thậm chí tăng cường hệ thống của bạn để ngăn chặn các thỏa hiệp trong tương lai.
Không cần phải lo sợ khi sử dụng máy Mac của bạn. Bằng cách làm theo hướng dẫn này và sử dụng một số cách hiểu thông thường, bạn sẽ cảm thấy tự tin khi tiến về phía trước rằng máy Mac là của bạn và không ai khác ngoài bạn và những người được bạn cấp quyền sẽ có quyền truy cập.