Làm sao để biết ai đó có quyền truy cập từ xa vào máy tính Windows của bạn không?

Một trong những loại phần mềm độc hại nguy hiểm nhất được thiết kế để truy cập từ xa vào PC của nạn nhân, chẳng hạn như Remote Access Trojan (RAT) và rootkit cấp kernel. Chúng hoạt động âm thầm, khiến việc phát hiện trở nên khó khăn. Nếu bạn lo lắng liệu ai đó có quyền truy cập từ xa trái phép vào PC Windows của mình hay không, hãy tìm hiểu cách xác nhận và xóa mối đe dọa.

Dấu hiệu cảnh báo khi có người truy cập vào PC của bạn

Mặc dù hầu hết các nỗ lực truy cập từ xa đều âm thầm, nhưng chúng vẫn đi kèm một số dấu hiệu cảnh báo. Mặc dù những dấu hiệu này có thể chứng minh cho sự phổ biến của Windows, nhưng khi kết hợp lại, chúng có thể là bằng chứng chắc chắn về hoạt động truy cập từ xa.

• Hoạt động bất thường của chuột/bàn phím: Nếu con trỏ di chuyển thất thường hoặc văn bản được nhập mà không có sự can thiệp của bạn, thì đó có thể là tác phẩm của một công cụ từ xa. Ngay cả khi không chủ động kiểm soát, các công cụ này vẫn có thể gây ra những sự cố như con trỏ nhảy/dịch chuyển tức thời. Dấu hiệu này cũng có thể hoạt động như một sự xác nhận nếu chuột và bàn phím bắt đầu thực hiện các tác vụ như truy cập thanh địa chỉ của trình duyệt và nhập địa chỉ trang web.
• Các chương trình tự mở và đóng: Tin tặc cũng có thể gửi lệnh để mở các ứng dụng cụ thể (như phần mềm diệt virus hoặc Command Prompt) để kiểm soát hệ thống nhiều hơn hoặc vô hiệu hóa các chức năng bảo mật. Nếu bạn thấy các chương trình tự mở và đóng, đó là dấu hiệu cảnh báo.
• Tạo tài khoản người dùng mới không xác định: Một số kẻ xấu có thể cố gắng tạo tài khoản phụ để có quyền truy cập liên tục ngay cả sau khi phát hiện. Chúng có thể sẽ vô hiệu hóa tính năng chuyển đổi người dùng để ẩn tài khoản khỏi màn hình khóa. Vào Windows Settings -> Accounts và tìm tài khoản phụ trong phần Family và Other users.

• Hiệu suất chậm đột ngột: Hoạt động điều khiển từ xa cũng tiêu tốn nhiều tài nguyên, do đó bạn có thể nhận thấy hiệu suất giảm đột ngột. Điều này đặc biệt đáng cân nhắc nếu hiệu suất giảm thỉnh thoảng xảy ra do hoạt động điều khiển từ xa.
• Windows Remote Desktop được bật tự động: Windows Remote Desktop khá dễ bị tấn công, do đó tin tặc thường sử dụng tính năng này để tạo kết nối từ xa. Tính năng này bị tắt theo mặc định, do đó, nếu tính năng này được bật mà không có sự can thiệp của bạn, thì có thể là do tin tặc thực hiện. Trong Windows Settings, hãy vào System -> Remote Desktop và xem tính năng này đã được bật chưa.

Cách xác nhận PC của bạn đang bị truy cập từ xa

Nếu bạn nhận thấy các dấu hiệu trên, hãy thực hiện các bước cần thiết để xác nhận nghi ngờ. Bạn có thể theo dõi hoạt động của các thành phần/ứng dụng liên quan đến quy trình truy cập từ xa để xác nhận ai đó đang truy cập PC Windows của bạn. Sau đây là một số phương pháp đáng tin cậy nhất:

Kiểm tra nhật ký Windows Event Viewer

Windows Event Viewer là một công cụ tích hợp tuyệt vời để theo dõi hoạt động của người dùng và giúp phát hiện các nỗ lực truy cập từ xa bằng cách theo dõi hoạt động RDP và nhật ký đăng nhập.

Tìm kiếm "event viewer" trong Windows Search và mở Event Viewer.

Di chuyển đến Windows Logs -> Security và nhấp vào tab Event ID để sắp xếp các sự kiện theo ID. Tìm kiếm tất cả các sự kiện có ID 4624 và kiểm tra thông tin chi tiết của chúng để đảm bảo không có sự kiện nào có Logon Type 10. Event ID 4624 dành cho các nỗ lực đăng nhập và Logon Type 10 tương ứng với những lần đăng nhập từ xa bằng các dịch vụ truy cập từ xa mà tin tặc có thể sử dụng.

Bạn cũng có thể tìm Event ID 4778 vì nó hiển thị kết nối lại phiên từ xa. Trang chi tiết của mỗi sự kiện sẽ cho bạn biết các thông tin nhận dạng quan trọng, như tên tài khoản hoặc địa chỉ IP mạng.

Theo dõi lưu lượng mạng

Truy cập từ xa phụ thuộc vào kết nối mạng, do đó theo dõi lưu lượng mạng là cách đáng tin cậy để phát hiện ra. Bạn nên sử dụng phiên bản miễn phí GlassWire cho mục đích này vì nó vừa giúp theo dõi vừa tự động bảo vệ chống lại các kết nối độc hại.

Trong ứng dụng GlassWire, bạn sẽ thấy tất cả các kết nối ứng dụng trong phần GlassWire Protect. Ứng dụng sẽ tự động đánh giá các kết nối và gắn cờ những kết nối không đáng tin cậy. Trong hầu hết các trường hợp, ứng dụng sẽ có thể phát hiện những kết nối từ xa độc hại và cảnh báo bạn.

Ngoài các thuật toán của ứng dụng, bạn cũng có thể tìm kiếm những manh mối như mức sử dụng dữ liệu cao của một ứng dụng không xác định. Kết nối từ xa sử dụng dữ liệu liên tục, do đó, sẽ dễ dàng phát hiện.

Xem các tác vụ đã lên lịch

Nhiều nỗ lực truy cập từ xa được quản lý bằng công cụ Task Scheduler trong Windows. Điều này giúp chúng tồn tại qua các lần khởi động lại PC và thực hiện những tác vụ mà không cần phải chạy liên tục. Nếu PC bị nhiễm virus, bạn sẽ thấy các tác vụ từ những ứng dụng không xác định trong Task Scheduler.

Tìm kiếm “task scheduler” trong Windows Search và mở ứng dụng Task Scheduler. Trong bảng điều khiển bên trái, mở Task Scheduler (Local) -> Task Scheduler Library. Tìm bất kỳ thư mục nào lạ hoặc đáng ngờ ngoài Microsoft. Nếu bạn tìm thấy bất kỳ thư mục nào, hãy nhấp chuột phải vào tác vụ và chọn Properties.

Trong Properties, hãy xem qua các tab Triggers và Actions để tìm hiểu tác vụ thực hiện những gì và khi nào nó thực thi, điều này đủ để hiểu liệu nó có tệ không. Ví dụ, nếu tác vụ chạy một ứng dụng hoặc script không xác định khi đăng nhập hoặc khi hệ thống không hoạt động, thì tác vụ đó có thể nhằm mục đích xấu.

Nếu không tìm thấy tác vụ đáng ngờ, bạn có thể muốn xem thư mục Microsoft. Có khả năng phần mềm độc hại tinh vi đang ẩn trong các thư mục hệ thống. Tìm kiếm các tác vụ có vẻ đáng ngờ, chẳng hạn như có tên chung chung như "systemMonitor" hoặc tên viết sai chính tả. Rất may là bạn sẽ không phải nghiên cứu từng tác vụ, vì hầu hết sẽ có tác giả là Microsoft Corporation, có thể bỏ qua một cách an toàn.

Cách ngăn chặn truy cập từ xa và bảo vệ máy tính của bạn

Sau khi xác nhận rằng ai đó có quyền truy cập từ xa vào máy tính chạy Windows của bạn, bước đầu tiên bạn nên làm là ngắt kết nối khỏi Internet để chúng không thể gây thêm thiệt hại. Ưu tiên của bạn nên là kiểm soát thiệt hại thay vì loại bỏ mối đe dọa. Do đó, hãy sử dụng một thiết bị khác để reset mật khẩu của các tài khoản quan trọng, như email, tài khoản tài chính, tài khoản mạng xã hội, v.v... Ngoài ra, hãy đảm bảo rằng bạn sao lưu dữ liệu quan trọng.

Thực hiện theo các phương pháp dưới đây để loại bỏ phần mềm độc hại truy cập từ xa:

Chạy quét ngoại tuyến Microsoft Defender

Nếu hệ thống bảo mật của bạn không thể phát hiện hoặc bảo vệ chống lại cuộc tấn công truy cập từ xa này, thì đó có thể là phần mềm độc hại nâng cao, như rootkit hoặc bootkit. Quét ngoại tuyến của Microsoft Defender có thể giúp bạn. Nó sẽ quét máy tính của bạn suốt quá trình khởi động trong môi trường an toàn và tối thiểu để tìm phần mềm độc hại khi nó không hoạt động.

Để chạy quét, hãy tìm kiếm "windows security" trong Windows Search và mở ứng dụng Windows Security.

Vào Virus & threat protection -> Scan options, chọn Microsoft Defender Antivirus (offline scan) và nhấp vào Scan now.

Điều này sẽ khởi động lại PC và chạy quét toàn bộ hệ thống. Nếu tìm thấy bất kỳ mối đe dọa nào, chúng sẽ nằm trong phần Protection history của ứng dụng Windows Security.

Loại bỏ các chương trình đáng ngờ

Cho dù quá trình quét có phát hiện ra điều gì đó hay không, bạn nên kiểm tra thủ công các chương trình để đảm bảo rằng không có chương trình không xác định nào hoạt động như một cổng mở. Trong Windows Settings, hãy vào Apps -> Installed apps và tìm bất kỳ ứng dụng nào không phải là một phần của Windows hoặc bạn không nhớ đã cài đặt. Ngoài ra, hãy loại bỏ các ứng dụng truy cập từ xa có thể bị xâm phạm, chẳng hạn như TeamViewer, AnyDesk, VNC, Chrome Remote Desktop, v.v...

Có khả năng nguyên nhân là do tiện ích mở rộng trình duyệt độc hại. Hãy đảm bảo rằng bạn kiểm tra tất cả các tiện ích mở rộng và gỡ cài đặt các tiện ích mở rộng đáng ngờ.

Chặn các cổng truy cập từ xa đến trong tường lửa

Nếu không truy cập PC từ xa hoặc không nhận được sự hỗ trợ từ bất kỳ ai, bạn có thể chặn các cổng vào chung cho những kết nối từ xa trong tường lửa. Thao tác này sẽ chặn các kết nối từ xa đến nhưng cho phép bạn kiểm soát những thiết bị khác nếu cần.

Tìm kiếm "windows defender firewall" trong Windows Search và mở ứng dụng Windows Defender Firewall with Advanced Security.

Chọn Inbound Rules -> New Rule, sau đó là Port -> Next. Chọn TCP và cung cấp một trong các số cổng được liệt kê bên dưới.

• 3389 (Windows Remote Desktop)
• 5900 (Virtual Network Computing)
• 5938 (TeamViewer)
• 6568 (AnyDesk)
• 8200 (GoToMyPC)

Chọn Block the connection và hoàn tất thiết lập để tạo quy tắc. Đảm bảo bạn đặt tên rõ ràng cho quy tắc để có thể xác định sau. Lặp lại quy trình này cho từng cổng để chặn quy tắc đó.

Cài đặt Windows sạch nếu cần

Nếu không có cách nào hiệu quả hoặc bạn không muốn mạo hiểm, cài đặt Windows sạch là một lựa chọn khác. Rất hiếm khi phần mềm độc hại có thể tồn tại sau cả quá trình quét virus ngoại tuyến và cài đặt hệ điều hành sạch. Tuy nhiên, bạn sẽ phải sao lưu dữ liệu quan trọng vì cài đặt sạch sẽ xóa tất cả dữ liệu trên PC.

Hãy xem hướng dẫn về cách cài đặt Windows sạch để tìm hiểu tất cả các bước cài đặt Windows an toàn.

Đừng bao giờ mạo hiểm nếu bạn nghi ngờ về quyền truy cập PC, cho dù đó là quyền truy cập từ xa hay quyền truy cập cục bộ. Việc kiểm soát như vậy luôn dẫn đến các vấn đề bảo mật lớn hơn. Tất nhiên, tốt nhất là ngăn chặn điều đó xảy ra ngay từ đầu, vì vậy hãy đảm bảo bạn sử dụng các cài đặt bảo mật Windows và những tùy chọn Windows Defender nâng cao này.