Nếu bạn tin rằng các câu hỏi bảo mật là phương án dự phòng vững chắc cho mật khẩu của mình, có lẽ bạn sẽ phải bất ngờ. Các tin tặc có những cách thức tinh vi để khám phá những câu trả lời đó, và thường thì việc này dễ dàng hơn bạn nghĩ rất nhiều. Trong bối cảnh an ninh mạng ngày càng phức tạp, việc hiểu rõ các rủi ro liên quan đến câu hỏi bảo mật là vô cùng cần thiết để bảo vệ thông tin cá nhân và tài khoản trực tuyến của bạn.
1. Do Thám Trên Mạng Xã Hội – “Mỏ Vàng” Thông Tin Cá Nhân
Mạng xã hội chính là một “mỏ vàng” thông tin cho bất kỳ ai muốn ghép nối câu chuyện cá nhân của bạn – và tin tặc biết điều đó. Hầu hết mọi người vô tư chia sẻ các sự kiện quan trọng trong đời lên mạng, như sinh nhật, kỷ niệm, tên thú cưng và trường học. Tuy nhiên, đối với một kẻ đang cố gắng phá vỡ câu hỏi bảo mật của bạn, đó không phải là sự hoài niệm. Đó là thông tin tình báo.
Người phụ nữ đang tương tác với ứng dụng mạng xã hội trên điện thoại
Giả sử câu hỏi bảo mật của bạn là “Bộ phim yêu thích của bạn là gì?”. Chỉ cần hai lần lướt qua tài khoản X (Twitter cũ) của bạn là có thể tiết lộ tình yêu bất diệt của bạn dành cho “Vua Sư Tử”. Hoặc có thể phần giới thiệu (bio) trên Instagram của bạn ghi “Mẹ của Max”, và đó chính là câu trả lời cho câu hỏi “Tên thú cưng đầu tiên của bạn là gì?”.
Kiểu do thám này không yêu cầu công cụ phức tạp nào. Tất cả những gì tin tặc cần là tên của bạn, hồ sơ của bạn và một chút kiên nhẫn. Chúng sẽ đào sâu vào các bài đăng cũ, ảnh được gắn thẻ, và thậm chí cả bình luận mà bạn bè của bạn để lại. Nếu cài đặt quyền riêng tư của bạn quá mở, bạn đang gián tiếp tự trao các câu trả lời cho chúng.
Ngay cả các tài khoản riêng tư cũng không an toàn. Nếu tin tặc thành công trong việc theo dõi bạn, có thể thông qua một hồ sơ giả mạo, các bài đăng của bạn sẽ trở nên dễ tiếp cận. Một bài đăng kỷ niệm vô hại có thể biến thành một chuỗi dấu vết dẫn thẳng đến tài khoản của bạn.
2. Lợi Dụng Các “Bài Test Vui Nhộn” Trên Mạng Xã Hội
Rất có thể bạn đã từng thấy các bài kiểm tra vui nhộn trên mạng xã hội hỏi những câu như “Tên hoàng gia của bạn là gì?” hay “Chúng tôi có thể đoán tuổi của bạn dựa trên món ăn yêu thích không?”. Chúng thường được đóng khung là những trò tiêu khiển vô hại, nhưng đây lại là một trong những sai lầm riêng tư phổ biến nhất mà bạn có thể mắc phải trên mạng xã hội.
Giao diện một bài kiểm tra "nametest" trên Facebook
Tin tặc, hoặc ít nhất là những kẻ thu thập dữ liệu bất hợp pháp, sử dụng các bài kiểm tra này để thu thập chính xác loại chi tiết cá nhân thường liên quan đến câu hỏi bảo mật. Chúng làm giảm cảnh giác của bạn bằng sự hài hước và cá nhân hóa, khiến bạn quên mất rằng mình đang tự tay cung cấp một bản đồ dẫn đến danh tính kỹ thuật số của mình.
3. Khai Thác Hồ Sơ Công Khai và Dữ Liệu Dân Sự
Đôi khi tin tặc không cần đến các mánh khóe nào cả. Chúng chỉ đơn giản là sử dụng các hồ sơ công khai.
Giấy chứng nhận kết hôn, hồ sơ tài sản, đăng ký cử tri, và thậm chí cả niên giám cũ đều có thể là nguồn thông tin phong phú để trả lời các câu hỏi bảo mật. Thông tin như tên thời con gái của mẹ bạn, địa chỉ thời thơ ấu, hoặc nơi sinh thường chỉ cách một vài lượt tìm kiếm.
Ví dụ, nếu câu hỏi bảo mật của bạn là “Bạn sinh ra ở thành phố nào?”, một thông báo khai sinh cũ có thể dễ dàng tiết lộ thông tin đó. Tương tự, một giấy phép kết hôn có thể để lộ tên đệm của người cha.
Một tin tặc quyết tâm thậm chí không cần biết bạn cá nhân. Chúng chỉ cần tên của bạn và một chút kiên trì. Các hồ sơ công khai có thể bổ sung phần còn lại.
Màn hình trang web Chronicling America hiển thị thông tin lịch sử
4. Lục Lọi Các Bài Đăng Trên Diễn Đàn Cũ
Bạn có thể nghĩ rằng các bài đăng trên diễn đàn cũ là an toàn vì hầu hết các diễn đàn đều ẩn danh. Nhưng tin tặc biết rằng tính ẩn danh không phải là bất khả xâm phạm – đặc biệt khi mọi người vô tình để lại dấu vết.
Có thể bạn đã sử dụng một tên người dùng trên diễn đàn khớp với một phần địa chỉ email của bạn. Có thể bạn đã đăng bài về quê hương, thú cưng đầu tiên, hoặc linh vật trường trung học của mình. Ngay cả những chi tiết nhỏ như năm bạn tốt nghiệp hoặc đội thể thao yêu thích cũng có thể bắt đầu kết nối các mảnh ghép quay trở lại với bạn.
Việc này cũng không đòi hỏi kỹ năng hack. Một tin tặc kiên nhẫn có thể tìm kiếm các diễn đàn cũ, đối chiếu tên người dùng, hoặc tìm kiếm một vài từ khóa cùng với tên của bạn trên Google. Các diễn đàn mà bạn hầu như không nhớ đã tham gia vẫn có thể có các kho lưu trữ công khai, âm thầm rò rỉ các mảnh lịch sử cá nhân của bạn.
Tính ẩn danh có giúp ích, nhưng nếu bạn đã để lại đủ “vụn bánh mì”, các bài đăng cũ vẫn có thể phản bội bạn. Và khi tin tặc đang săn lùng câu trả lời cho câu hỏi bảo mật của bạn, ngay cả manh mối nhỏ nhất cũng có thể là đủ.
5. Sử Dụng Dữ Liệu Bị Rò Rỉ Từ Các Vụ Tấn Công Trước Đó
Các vụ rò rỉ dữ liệu giống như một “món hời” đối với tin tặc. Khi một trang web bị hack, không chỉ tên người dùng và mật khẩu bị rò rỉ. Đôi khi, cả câu trả lời cho câu hỏi bảo mật của bạn cũng bị lộ.
Ví dụ, giả sử bạn đã tạo một tài khoản trên một diễn đàn nhiều năm trước. Bạn đã dùng “Arsenal” làm câu trả lời cho câu hỏi “Đội thể thao yêu thích của bạn là gì?” và sau đó quên bẵng đi. Nếu trang web đó bị tấn công và các câu trả lời của bạn không được mã hóa, tin tặc có thể sử dụng thông tin đó để truy cập các tài khoản quan trọng của bạn ngày nay.
Màn hình hiển thị kết quả kiểm tra trên Have I Been Pwned
Việc tái sử dụng câu trả lời bảo mật trên nhiều trang web cũng nguy hiểm như việc tái sử dụng mật khẩu. Một khi thông tin của bạn đã lộ ra, tin tặc sẽ sử dụng các công cụ chuyên biệt để đối chiếu chúng. Hãy sử dụng một công cụ như Have I Been Pwned để kiểm tra xem dữ liệu của bạn có bị lộ hay không. Và hãy luôn coi câu trả lời bảo mật như mật khẩu dùng một lần: duy nhất cho mỗi tài khoản.
6. Giả Mạo Cuộc Trò Chuyện Hỗ Trợ Khách Hàng
Thủ thuật này tinh vi hơn nhưng cực kỳ hiệu quả: tạo các cuộc trò chuyện hỗ trợ khách hàng giả mạo.
Nó thường bắt đầu bằng một email, tin nhắn trực tiếp (DM), hoặc cửa sổ pop-up giả mạo ngân hàng, nhà cung cấp email, hoặc cửa hàng yêu thích của bạn. Đại diện hỗ trợ giả mạo sẽ yêu cầu bạn xác nhận danh tính bằng cách trả lời các câu hỏi bảo mật.
Những cuộc trò chuyện giả mạo này thường sao chép thương hiệu, ngôn ngữ, và thậm chí cả thời gian, ví dụ, trùng với thời điểm một trang web thật đang gặp sự cố. Và vì chúng mang tính cá nhân, bạn có nhiều khả năng tuân thủ nhanh chóng mà không suy nghĩ. Một khi bạn trao những câu trả lời đó, tin tặc có thể giành quyền truy cập vào tài khoản của bạn bằng cách đặt lại thông tin đăng nhập.
Quy tắc vàng ở đây rất đơn giản. Các đại diện hỗ trợ hợp pháp sẽ không bao giờ hỏi câu hỏi bảo mật của bạn qua trò chuyện, email hoặc tin nhắn trực tiếp. Nếu bạn nhận được yêu cầu như vậy, hãy đóng cuộc trò chuyện và xác minh trực tiếp qua trang web chính thức.
7. Lợi Dụng Sự Thiếu Cẩn Trọng Của Bạn Bè
Tin tặc biết rằng ngay cả khi bạn thận trọng, bạn bè của bạn có thể không như vậy. Việc lấy thông tin cá nhân bằng cách lừa những người bạn tin tưởng là điều đáng ngạc nhiên dễ dàng.
Đôi khi, nó bắt đầu bằng một hồ sơ giả mạo tự nhận là một người bạn học cũ hoặc một người bạn chung. Chúng len lỏi vào các cuộc trò chuyện, hỏi về “những ngày xưa tươi đẹp,” hoặc bắt đầu một trò chơi có vẻ vô hại. Trước khi bạn bè của bạn kịp nhận ra, họ đã vô tình nhắc đến nơi bạn lớn lên, tên thú cưng thời thơ ấu của bạn, hoặc thậm chí là giáo viên yêu thích của bạn.
Ngay cả một bài đăng Facebook hoài niệm đơn giản cũng có thể tiết lộ quá nhiều. Một người bạn gắn thẻ bạn trong một bức ảnh niên giám cũ hoặc đùa về chiếc xe đầu tiên của bạn có thể cung cấp chính xác những gì tin tặc cần, mà bạn không cần phải gõ một từ nào.
Đây là một chiến thuật lén lút vì nó cảm thấy rất tự nhiên. Bạn bè tin tưởng lẫn nhau. Tin tặc lợi dụng sự tin tưởng đó để tự mình tìm kiếm thông tin. Nếu bạn nghiêm túc về bảo mật, hãy nhắc nhở những người thân cận của bạn cũng nên thận trọng.
8. Đơn Giản Là… Đoán Các Câu Trả Lời Phổ Biến
Đôi khi, tin tặc thậm chí không cần phải do thám. Chúng chỉ đơn giản là đoán, và thật không may, chúng thường đoán đúng.
Người đang sử dụng laptop với cảnh báo hệ thống bị tấn công
Các câu hỏi như “Màu sắc yêu thích của bạn là gì?” thường dẫn đến những câu trả lời dễ đoán như “xanh lam”. Tên thú cưng thường là Max, Bella, hoặc Lucky. Ngay cả câu “tên thời con gái của mẹ” cũng thường dẫn đến các họ phổ biến như Nguyễn, Trần, Lê. Các câu trả lời khác cũng dễ đoán tương tự: Rất nhiều người trả lời “kỳ nghỉ mơ ước” là “Paris” chẳng hạn.
Tin tặc đôi khi tự động hóa việc đoán này, lặp đi lặp lại các câu trả lời phổ biến nhất cho đến khi chúng gặp may. Nếu không có các biện pháp bảo vệ mạnh mẽ trên trang web như khóa tài khoản sau nhiều lần thử sai, chúng có thể chỉ cần một vài lần thử.
Bài học rút ra rất đơn giản. Hãy coi câu trả lời bảo mật như mật khẩu. Đừng dùng sự thật nếu sự thật quá dễ đoán. Hãy biến nó thành một cụm mật khẩu (passphrase), một thứ gì đó vô nghĩa, hoặc tốt hơn nữa, sử dụng trình quản lý mật khẩu để lưu trữ các câu trả lời được ngẫu nhiên hóa.
Câu hỏi bảo mật có thể cảm thấy như một phương án dự phòng vô hại, nhưng đối với tin tặc, chúng là một cánh cửa phụ không khóa. Tin tặc không phải lúc nào cũng cần đột nhập bằng vũ lực. Đôi khi chúng chỉ cần bước vào bằng cách sử dụng những chi tiết bạn đã vô tình để lộ ra. Để đảm bảo an toàn tối đa cho tài khoản của mình, hãy luôn nâng cao cảnh giác và chia sẻ những kiến thức này đến những người xung quanh.
