E-mail của bạn có thể bị hack dễ dàng?

Thời gian vừa qua, những người quan tâm tới bảo mật đều biết về vụ email cá nhân của nữ ứng viên phó tổng thống Mỹ Sarah Palin bị hack và phát tán nội dung trên Internet. Câu hỏi đặt ra là: Liệu tài khoản email của bạn có được an toàn không?

Sau khi tìm hiểu về vụ việc này, bạn sẽ ngạc nhiên về mức độ dễ dàng của cuộc tấn công, hoàn toàn không có gì phức tạp hay mánh khóe cao siêu để có thể xâm nhập vào tài khoản email của một ai đó.

Mánh khóe đơn giản

Mặc dù bà Palin đã có tài khoản email chính thức cho công việc chính trị, nhưng đồng thời bà cũng sử dụng một tài khoản email Yahoo. Cũng như các dịch vụ trực tuyến khác, Yahoo có cung cấp cách thức để khởi tạo lại mật khẩu - thường là một quá trình tự động không cần có sự can thiệp của con người (để tiết kiệm chi phí).

Với Yahoo, quá trình này được thực hiện bằng việc trả lời một câu hỏi bí mật đã đăng ký từ lúc bắt đầu sử dụng dịch vụ. Nếu trả lời chính xác câu hỏi này, Yahoo sẽ cho phép khai báo mật khẩu mới cho tài khoản email. Sau khi quá trình này hoàn tất, bạn có thể đăng nhập vào tài khoản Yahoo với mật khẩu mới và hoạt động bình thường.

Trong trường hợp người dùng quên mật khẩu thì đây thực sự là một chức năng hữu ích. Tuy nhiên, khi một tin tặc dòm ngó tới tài khoản của một ai đó, chức năng này vẫn phát huy tác dụng. Điều đáng nói là không chỉ Yahoo mới có chức năng này, mà hầu hết các dịch vụ trực tuyến khác đều có chức năng khôi phục mật khẩu khi đã quên.

Để lấy được mật khẩu tài khoản email của bà Palin, tin tặc cần phải biết địa chỉ email, câu hỏi bí mật và câu trả lời. Thứ nhất, Yahoo có sẵn một danh sách 9 câu hỏi bí mật, đại loại như "Bạn gặp chồng bạn lần đầu tiên ở đâu?", "Tên trường trung học của bạn là gì?"...

Tuy nhiên, tin tặc không cần phải biết câu hỏi bí mật mà bà Palin đã chọn vì khi đã có email, chỉ cần truy nhập vào chức năng quên mật khẩu là câu hỏi này sẽ hiện ra kèm theo một ô trống để điền câu trả lời. Như vậy, tin tặc chỉ cần tìm câu trả lời bí mật.

Điểm thứ hai khiến việc này trở nên đơn giản hơn: bà Palin là một người cởi mở, có thể tìm thấy có rất nhiều thông tin về bà trên Internet, từ việc search Google tới trang Wikipedia hay trang cá nhân LinkedIn. Chỉ cần lướt qua những nguồn thông tin công cộng này tin tặc đã có đủ thông tin để đoán trúng câu trả lời bí mật.

Với những thông tin đã chuẩn bị sẵn, việc tin tặc cần thực hiện là gọi chức năng khởi tạo lại mật khẩu và điền các thông tin vào biểu mẫu. Tin tặc được phép thử tới 10 lần trước khi bị Yahoo ngăn chặn trong 24 giờ (khi đó bạn vẫn có thể đăng nhập bình thường nếu nhập đúng mật khẩu). Khi tin tặc thành công trong việc đoán đúng các thông tin mà Yahoo yêu cầu, tin tặc sẽ được chuyển tới trang cho phép đặt mật khẩu mới.

Với nhiều dịch vụ online khác, tin tặc sẽ gặp trở ngại. Khi yêu cầu khởi tạo lại mật khẩu, dịch vụ gửi một email xác nhận đến địa chỉ email dự phòng mà bạn đã đăng ký khi mở tài khoản dịch vụ. Nếu bạn không thực hiện một việc xác thực như trong email đó yêu cầu thì mật khẩu của bạn sẽ không bị thay đổi.

Trong trường hợp này, mặc dù Yahoo có thông tin về email dự phòng khi bạn đăng ký tài khoản nhưng khi Yahoo không dùng cơ chế xác thực qua địa chỉ email này khi bạn yêu cầu khởi tạo lại mật khẩu. Bạn chỉ nhận được một email thông báo sau khi mật khẩu đã được khởi tạo lại, lúc đó thì đã quá muộn.

Có nên quá lo ngại?

Nếu bạn sử dụng dịch vụ trực tuyến cần phải đăng nhập và có chức năng khởi tạo lại mật khẩu thì tin tặc hoàn toàn có thể áp dụng kiểu tấn công này với bạn, đặc biệt khi bạn tham gia hoạt động nhiều trên những mạng xã hội và có những trang thông tin chi tiết về bản thân trên Facebook, LinkedIn, Flickr,...

Nếu bạn nằm trong số đó, bạn nên kiểm tra chức năng khởi tạo lại mật khẩu của những tài khoản trực tuyến này.

Sau đây là một số những đặc điểm cần thiết của dịch vụ trực tuyến giúp tài khoản của bạn an toàn hơn:

- Có sẵn một danh sách nhiều câu hỏi bảo mật, câu trả lời phải khó tìm thấy tại những nơi công cộng. Ví dụ, sẽ rất dễ tìm ra câu trả lời cho những câu hỏi đơn giản như "Bạn đã học trường cấp 3 nào?". Những câu hỏi an toàn hơn có thể là tên vị bác sĩ có trong giấy khai sinh của bạn, số điểm của bài kiểm tra SAT; đây là những thông tin mà bạn biết hoặc có thể tìm thấy câu trả lời từ những giấy tờ ở nhà nhưng thường không xuất hiện công khai trên Internet.

- Tự định nghĩa một câu hỏi bí mật cho riêng mình. Một số dịch vụ trực tuyến cho phép bạn tự định nghĩa câu hỏi bí mật và trả lời. Như vậy bạn có thể yên tâm rằng câu hỏi bạn chọn (và phần trả lời) không phải là những thông tin thường xuất hiện trên Internet. Google là một ví dụ cho việc áp dụng biện pháp này.

- Bạn sẽ phải xác nhận bằng email trước khi quá trình khởi tạo lại mật khẩu được thực hiện. Ngay cả khi dịch vụ trực tuyến không có hai đặc điểm trên, tài khoản của bạn vẫn an toàn nếu dịch vụ bắt trực tuyến xác thực bạn bằng việc click vào một đường link xác nhận trong email trước khi khởi tạo lại mật khẩu.

Một số dịch vụ thực hiện tốt chức năng này, và bạn sẽ nhận được email xác thực việc khởi tạo lại mật khẩu ngay cả khi bạn không yêu cầu làm vậy. Thật yên tâm khi biết rằng quá trình khởi tạo lại mật khẩu không thực hiện nếu không phải chính bạn bấm nút OK.

Tự bảo vệ chính mình

Vậy phải làm gì nếu biết dịch vụ trực tuyến ta đang dùng không đáp ứng những yêu cầu trên?

Bạn vẫn có phương án để bảo vệ chính mình. Trước hết, kiểm tra những câu hỏi bí mật mà dịch vụ cung cấp, so sánh với những thông tin mà bạn đã cung cấp công khai trên Internet. Ví dụ, bạn chọn câu hỏi "Bạn đã gặp người yêu lần đầu ở đâu?", bạn nên kiểm tra lại các thông tin về mình trên Internet xem bạn có từng kể về chuyện đó bao giờ chưa.

Hoặc nếu bạn thực sự muốn chia sẻ chuyện đó với mọi người, và dùng nó làm câu hỏi bảo mật? Có thể bạn không chắc rằng thông tin đó có tồn tại trên Internet hay không, bạn nên thay đổi câu trả lời sao cho nó trở nên khó đoán. Trong ví dụ trên thay vì trả lời bằng một địa điểm cụ thể, bạn có thể trả lời bóng gió "một nơi đầy nắng và gió".

Khi bạn chọn đặc điểm gì đó liên quan đến sự kiện, bạn sẽ dễ nhớ hơn (bạn cũng có thể ghi ra giấy nếu cần), nhưng những thông tin đó sẽ không tìm thấy được trên Internet. Cuối cùng, điều quan trọng nhất là một chút cẩn trọng sẽ bảo vệ bạn tốt hơn. Khi bạn quyết định chia sẻ những thông tin về cuộc sống của mình với 25 triệu cư dân mạng trên các dịch vụ trực tuyến, nên nhớ rằng bất kỳ ai cũng có thể đăng ký một tài khoản ở đó, và đọc mọi thông tin của bạn.

Ngoài việc trộm cắp những tài khoản trực tuyến, việc chia sẻ quá nhiều thông tin cũng tạo điều kiện thuận lợi cho các hành vi trộm cắp danh tính thậm chí bôi nhọ danh tính. Chia sẻ là cần thiết nhưng nên chia sẻ có giới hạn.

Thứ Hai, 06/10/2008 17:26
51 👨 883
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp