8 cách tinh vi tin tặc dùng để đánh cắp câu trả lời bảo mật của bạn

Nếu tin rằng câu hỏi bảo mật của mình là phương án dự phòng đáng tin cậy cho mật khẩu, bạn có thể sẽ phải ngạc nhiên. Tin tặc có nhiều cách thông minh để khám phá ra những câu trả lời đó và thường thì việc này dễ hơn bạn nghĩ.

8. Theo dõi mạng xã hội

Mạng xã hội là mỏ vàng cho bất kỳ ai cố gắng ghép nối những câu chuyện cá nhân của bạn lại với nhau - và tin tặc biết điều đó. Hầu hết mọi người đều chia sẻ các sự kiện quan trọng trong cuộc sống trực tuyến, như sinh nhật, ngày kỷ niệm, tên thú cưng và trường học. Tuy nhiên, đối với người cố gắng bẻ khóa câu hỏi bảo mật của bạn, đó không phải là hoài niệm, mà là thông tin tình báo.

Giả sử câu hỏi bảo mật của bạn là "Bộ phim yêu thích của bạn là gì?". Cuộn hai lần qua tài khoản X sẽ tiết lộ tình yêu bất diệt của bạn dành cho Vua sư tử. Hoặc có thể tiểu sử Instagram của bạn ghi "Mẹ của chú chó Max" và đó là câu trả lời cho câu hỏi "Tên thú cưng đầu tiên của bạn là gì?".

Kiểu do thám này không cần đến các công cụ cầu kỳ. Tất cả những gì tin tặc cần là tên, profile của bạn và một chút kiên nhẫn. Chúng sẽ đào bới các bài đăng cũ, ảnh được gắn thẻ và thậm chí cả bình luận mà bạn bè bạn để lại. Nếu cài đặt quyền riêng tư của bạn mở rộng, về cơ bản bạn đang trao câu trả lời cho kẻ xấu.

Ngay cả tài khoản riêng tư cũng không an toàn. Nếu tin tặc theo dõi bạn, có thể thông qua profile giả, các bài đăng của bạn sẽ có thể truy cập được. Một bài đăng vô hại trên dòng ký ức có thể biến thành một dấu vết dẫn đến tài khoản của bạn.

7. Sử dụng các "câu đố vui" fake

Rất có thể, bạn đã từng thấy một phiên bản của những câu đố vui nhộn đó trên mạng xã hội hỏi những câu như "Chúng tôi có thể đoán tuổi của bạn dựa trên các món ăn yêu thích của bạn không?". Chúng thường được coi là trò đùa vô hại, nhưng là một trong những lỗi về quyền riêng tư phổ biến nhất mà bạn có thể mắc phải trên mạng xã hội.

Tin tặc, hoặc ít nhất là những kẻ thu thập dữ liệu mờ ám, sử dụng các câu đố này để thu thập chính xác loại thông tin cá nhân thường liên quan đến những câu hỏi bảo mật. Chúng hạ thấp cảnh giác của bạn bằng sự hài hước và cá nhân hóa để bạn quên rằng về cơ bản bạn đang trao cho người lạ danh tính kỹ thuật số của mình.

6. Tra cứu thông tin chi tiết trong profile công khai

Đôi khi tin tặc không cần thủ thuật nào cả. Chúng chỉ sử dụng profile công khai.

Giấy chứng nhận kết hôn, hồ sơ tài sản, đăng ký cử tri và thậm chí cả kỷ yếu cũ có thể là nguồn câu trả lời phong phú cho các câu hỏi bảo mật. Thông tin như tên thời con gái của mẹ bạn, địa chỉ thời thơ ấu hoặc nơi sinh thường có thể được tiết lộ chỉ với vài lần tìm kiếm.

Ví dụ, nếu câu hỏi bảo mật của bạn là "Bạn sinh ra ở thành phố nào?", một giấy khai sinh cũ có thể dễ dàng tiết lộ điều đó. Một tin tặc quyết tâm thậm chí không cần biết bạn là ai. Chúng chỉ cần tên bạn và một chút kiên trì. Profile công khai có thể giải đáp phần còn lại.

5. Tìm kiếm qua các bài đăng trên diễn đàn cũ

Bạn có thể nghĩ rằng các bài đăng trên diễn đàn cũ an toàn vì hầu hết mọi diễn đàn đều ẩn danh. Nhưng tin tặc biết rằng ẩn danh không phải là bất khả xâm phạm - đặc biệt là khi mọi người vô tình để lại dấu vết.

Có thể bạn đã sử dụng tên người dùng diễn đàn trùng với một phần địa chỉ email của mình. Có thể bạn đã đăng về quê hương, con thú cưng đầu tiên hoặc linh vật trường trung học của mình. Ngay cả những chi tiết nhỏ như năm bạn tốt nghiệp hoặc đội thể thao yêu thích của bạn cũng có thể bắt đầu liên kết trở lại với bạn.

Cũng không cần kỹ năng hack. Một tin tặc kiên nhẫn có thể tìm kiếm các diễn đàn cũ, tham chiếu chéo tên người dùng hoặc Google một vài từ khóa cùng với tên của bạn. Các diễn đàn mà bạn hầu như không nhớ đã tham gia vẫn có thể có những kho lưu trữ công khai đang lưu hành, âm thầm rò rỉ một số thông tin về lịch sử cá nhân của bạn.

Tính ẩn danh có ích, nhưng nếu bạn để lại đủ dấu vết, các bài đăng cũ vẫn có thể phản bội bạn. Và khi tin tặc đang săn lùng câu trả lời cho câu hỏi bảo mật của bạn, ngay cả manh mối nhỏ nhất cũng có thể hữu ích.

4. Sử dụng dữ liệu bị rò rỉ từ các trang web khác

Việc vi phạm dữ liệu giống như giải độc đắc đối với tin tặc. Khi một trang web bị tấn công, không chỉ tên người dùng và mật khẩu bị rò rỉ. Đôi khi câu trả lời cho câu hỏi bảo mật của người dùng cũng bị lộ.

Ví dụ, giả sử bạn đã thiết lập một tài khoản trên diễn đàn cách đây nhiều năm. Bạn đã sử dụng "Arsenal" làm câu trả lời cho câu hỏi "Đội thể thao yêu thích của bạn là gì?" và quên mất. Nếu trang web đó bị xâm phạm và câu trả lời của bạn không được mã hóa, tin tặc có thể sử dụng câu trả lời đó để truy cập vào các tài khoản quan trọng của bạn hiện có.

Việc sử dụng lại câu trả lời bảo mật trên nhiều trang web cũng nguy hiểm như khi sử dụng lại mật khẩu. Khi thông tin của bạn bị lộ, tin tặc sẽ sử dụng các công cụ chuyên dụng để tham chiếu chéo. Sử dụng một công cụ như Have I Been Pwned để xem dữ liệu của bạn có bị lộ không. Và luôn coi câu trả lời bảo mật như mật khẩu dùng một lần: Duy nhất cho mọi tài khoản.

3. Tạo cuộc trò chuyện hỗ trợ giả mạo

Cách này tinh vi hơn nhưng hiệu quả vô cùng: trò chuyện hỗ trợ khách hàng giả.

Nó thường bắt đầu bằng một email, DM hoặc cửa sổ pop-up bắt chước ngân hàng, nhà cung cấp email hoặc cửa hàng yêu thích của bạn. Nhân viên hỗ trợ giả mạo sẽ yêu cầu bạn xác nhận danh tính của mình bằng cách trả lời các câu hỏi bảo mật.

Những cuộc trò chuyện giả mạo này thường sao chép thương hiệu, ngôn ngữ và thậm chí cả thời gian, ví dụ, trong thời gian trang web thực sự ngừng hoạt động. Và vì chúng mang tính cá nhân, nên bạn có nhiều khả năng tuân thủ nhanh chóng mà không cần suy nghĩ. Sau khi bạn cung cấp những câu trả lời đó, tin tặc có thể truy cập vào tài khoản của bạn bằng cách reset thông tin đăng nhập.

Quy tắc vàng ở đây rất đơn giản. Những người đại diện hỗ trợ hợp pháp sẽ không bao giờ yêu cầu bạn cung cấp câu hỏi bảo mật qua trò chuyện, email hoặc tin nhắn trực tiếp. Nếu bạn nhận được yêu cầu như vậy, hãy đóng trò chuyện và xác minh trực tiếp thông qua trang web chính thức.

2. Lừa bạn bè chia sẻ thông tin chi tiết

Tin tặc biết rằng ngay cả khi bạn thận trọng, bạn bè của bạn cũng có thể không làm được như vậy. Thật ngạc nhiên khi có thể dễ dàng lấy được thông tin cá nhân bằng cách lừa những người bạn tin tưởng.

Đôi khi, tin tặc bắt đầu bằng một profile đóng giả là bạn học cũ hoặc bạn chung. Chúng tham gia vào các cuộc trò chuyện, hỏi về "chuyện ngày xưa" hoặc bắt đầu một trò chơi có vẻ vô hại. Trước khi bạn của bạn biết điều đó, họ đã tình cờ đề cập đến nơi bạn lớn lên, tên thú cưng thời thơ ấu của bạn hoặc thậm chí là giáo viên yêu thích của bạn.

Ngay cả một điều đơn giản như bài đăng kỷ niệm trên Facebook cũng có thể tiết lộ quá nhiều. Người gắn thẻ bạn trong một bức ảnh kỷ yếu cũ hoặc nói đùa về chiếc xe đầu tiên của bạn có thể cung cấp cho tin tặc chính xác những gì chúng cần, mà không cần bạn phải nhập một từ nào.

Đây là một chiến thuật lén lút vì nó có vẻ rất tự nhiên. Bạn bè tin tưởng lẫn nhau. Tin tặc lợi dụng sự tin tưởng đó để đào bới thông tin của họ. Nếu bạn nghiêm túc về vấn đề bảo mật, hãy nhắc nhở những người thân thiết của bạn cũng phải thận trọng.

1. Đoán câu trả lời phổ biến

Đôi khi, tin tặc thậm chí không cần phải do thám. Chúng chỉ cần đoán.

Những câu hỏi như "Màu sắc yêu thích của bạn là gì?" dẫn đến những câu trả lời dễ đoán như màu xanh. Tên thú cưng thường liên quan đến Max, Bella hoặc Lucky. Ngay cả những thứ như "tên thời con gái của mẹ" cũng thường dẫn đến những họ phổ biến như Smith, Johnson hoặc Garcia. Những câu trả lời khác cũng dễ đoán tương tự: Ví dụ, nhiều người trả lời "kỳ nghỉ trong mơ" bằng "Paris".

Đôi khi, tin tặc tự động đoán, lặp lại những câu trả lời phổ biến nhất cho đến khi chúng đoán trúng. Nếu không có biện pháp bảo vệ trang web mạnh mẽ như khóa sau một số lần thử sai nhất định, chúng có thể chỉ cần một vài lần thử.

Điểm mấu chốt rất đơn giản. Hãy coi câu trả lời cho câu hỏi bảo mật như mật khẩu. Đừng nói sự thật nếu nó quá dễ đoán mà hãy biến nó thành một cụm mật khẩu, một cái gì đó vô nghĩa hoặc tốt hơn nữa, hãy sử dụng trình quản lý mật khẩu để lưu trữ các câu trả lời ngẫu nhiên.

Câu hỏi bảo mật có vẻ giống như bản sao lưu vô hại, nhưng đối với tin tặc, chúng là một cánh cửa phụ không khóa. Tin tặc không phải lúc nào cũng cần đột nhập bằng vũ lực. Đôi khi, chúng chỉ cần sử dụng thông tin chi tiết mà bạn để lại xung quanh để đột nhập.