Nếu bạn tin rằng các câu hỏi bảo mật là một lớp dự phòng vững chắc cho mật khẩu của mình, có lẽ bạn sẽ bất ngờ. Các tin tặc (hacker) có những cách tinh vi để khám phá những câu trả lời đó, và điều này thường dễ dàng hơn bạn nghĩ rất nhiều. Trong thế giới kỹ thuật số ngày nay, bảo vệ thông tin cá nhân trở nên cấp thiết hơn bao giờ hết, đặc biệt khi các phương thức tấn công mạng ngày càng trở nên phức tạp. Câu hỏi bảo mật, tưởng chừng vô hại, lại có thể là điểm yếu chí mạng mà hacker thường xuyên lợi dụng để xâm nhập vào tài khoản của bạn, từ email, mạng xã hội cho đến tài khoản ngân hàng. Bài viết này sẽ vạch trần 8 phương pháp phổ biến mà các kẻ tấn công sử dụng để khai thác câu trả lời câu hỏi bảo mật, giúp bạn nâng cao cảnh giác và bảo vệ bản thân tốt hơn trên không gian mạng.
8. Canh Chừng Mạng Xã Hội
một người phụ nữ đang chỉ ngón tay vào một ứng dụng mạng xã hội
Mạng xã hội là một mỏ vàng thông tin cho bất kỳ ai muốn ghép nối câu chuyện cá nhân của bạn—và hacker biết điều đó. Hầu hết mọi người đều chia sẻ các sự kiện quan trọng trong đời một cách tự nhiên trên mạng, như ngày sinh nhật, ngày kỷ niệm, tên thú cưng hay trường học. Tuy nhiên, đối với một kẻ đang cố gắng phá vỡ câu hỏi bảo mật của bạn, đó không phải là ký ức đẹp mà là những mảnh ghép thông tin tình báo quý giá.
Ví dụ, nếu câu hỏi bảo mật của bạn là “Phim yêu thích của bạn là gì?”, chỉ cần hai lần lướt qua tài khoản X (trước đây là Twitter) của bạn cũng có thể tiết lộ tình yêu bất diệt của bạn dành cho “Vua Sư Tử”. Hoặc có thể phần giới thiệu (bio) trên Instagram của bạn ghi “Mẹ của Max”, và đó chính là câu trả lời cho câu hỏi “Tên thú cưng đầu tiên của bạn là gì?”.
Kiểu do thám này không đòi hỏi công cụ phức tạp. Tất cả những gì một hacker cần là tên của bạn, hồ sơ cá nhân của bạn, và một chút kiên nhẫn. Chúng sẽ đào sâu qua các bài đăng cũ, ảnh được gắn thẻ, và thậm chí cả các bình luận mà bạn bè của bạn để lại. Nếu cài đặt quyền riêng tư của bạn để công khai, bạn về cơ bản đang tự tay dâng những câu trả lời cho chúng. Ngay cả các tài khoản riêng tư cũng không an toàn. Nếu hacker thành công theo dõi bạn, có thể thông qua một hồ sơ giả mạo, các bài đăng của bạn sẽ trở nên dễ tiếp cận. Một bài đăng kỷ niệm vô hại có thể trở thành một chuỗi dấu vết dẫn thẳng đến các tài khoản của bạn.
7. Sử Dụng Các Câu Đố “Vui” Giả Mạo
bài kiểm tra tên trên facebook
Rất có thể bạn đã từng thấy các phiên bản của những câu đố vui trên mạng xã hội hỏi những điều như “Tên hoàng gia của bạn là gì?” hoặc “Chúng tôi có thể đoán tuổi của bạn dựa trên món ăn yêu thích không?”. Chúng thường được ngụy trang là những trò tiêu khiển vô hại, nhưng đây lại là một trong những sai lầm lớn nhất về quyền riêng tư mà bạn có thể mắc phải trên mạng xã hội.
Hacker, hoặc ít nhất là những kẻ thu thập dữ liệu bất hợp pháp, sử dụng các câu đố này để thu thập chính xác loại thông tin cá nhân thường liên quan đến câu hỏi bảo mật. Chúng làm bạn mất cảnh giác bằng sự hài hước và cá nhân hóa, khiến bạn quên rằng mình đang vô tình cung cấp một bản đồ dẫn đến danh tính kỹ thuật số của mình.
6. Tra Cứu Chi Tiết Trong Hồ Sơ Công Khai
ảnh chụp màn hình trang web chronicling america
Đôi khi, hacker không cần đến thủ đoạn nào cả. Chúng chỉ đơn giản là sử dụng các hồ sơ công khai.
Giấy chứng nhận kết hôn, hồ sơ tài sản, đăng ký cử tri, và thậm chí cả những cuốn kỷ yếu cũ có thể là những nguồn phong phú chứa câu trả lời cho các câu hỏi bảo mật. Thông tin như tên thời con gái của mẹ bạn, địa chỉ thời thơ ấu, hoặc nơi sinh thường chỉ cách vài lần tìm kiếm.
Ví dụ, nếu câu hỏi bảo mật của bạn là “Bạn sinh ra ở thành phố nào?”, một thông báo khai sinh cũ có thể dễ dàng tiết lộ thông tin đó. Tương tự, một giấy phép kết hôn có thể tiết lộ tên đệm của người cha. Một hacker quyết tâm thậm chí không cần biết bạn cá nhân. Chúng chỉ cần tên của bạn và một chút kiên nhẫn. Các hồ sơ công khai có thể bổ sung phần còn lại.
5. Tìm Kiếm Qua Các Bài Đăng Trên Diễn Đàn Cũ
Bạn có thể nghĩ rằng các bài đăng trên diễn đàn cũ là an toàn vì hầu hết các diễn đàn đều ẩn danh. Nhưng hacker biết rằng tính ẩn danh không phải là bất khả xâm phạm—đặc biệt khi mọi người vô tình để lại dấu vết.
Có thể bạn đã sử dụng một tên tài khoản trên diễn đàn khớp với một phần địa chỉ email của mình. Hoặc có thể bạn đã đăng bài về quê hương, thú cưng đầu tiên, hoặc linh vật của trường trung học. Ngay cả những chi tiết nhỏ như năm bạn tốt nghiệp hoặc đội thể thao yêu thích cũng có thể bắt đầu kết nối các chấm lại với bạn.
Điều này cũng không đòi hỏi kỹ năng hack. Một hacker có đủ kiên nhẫn có thể tìm kiếm các diễn đàn cũ, đối chiếu tên người dùng, hoặc Google một vài từ khóa cùng với tên của bạn. Các diễn đàn mà bạn hầu như không nhớ đã tham gia vẫn có thể có các kho lưu trữ công khai trôi nổi, âm thầm rò rỉ từng chút lịch sử cá nhân của bạn. Tính ẩn danh có giúp ích, nhưng nếu bạn để lại đủ dấu vết, các bài đăng cũ vẫn có thể phản bội bạn. Và khi hacker đang săn lùng câu trả lời cho câu hỏi bảo mật của bạn, ngay cả manh mối nhỏ nhất cũng có thể là đủ.
4. Sử Dụng Dữ Liệu Bị Rò Rỉ Từ Các Trang Web Khác
ảnh chụp màn hình kết quả haveibeenpwned
Các vụ rò rỉ dữ liệu giống như những khoản tiền thưởng lớn cho hacker. Khi một trang web bị tấn công, không chỉ tên người dùng và mật khẩu bị rò rỉ. Đôi khi, câu trả lời cho các câu hỏi bảo mật của bạn cũng bị lộ.
Ví dụ, giả sử bạn đã tạo một tài khoản trên một diễn đàn cách đây nhiều năm. Bạn đã sử dụng “Arsenal” làm câu trả lời cho “Đội thể thao yêu thích của bạn là gì?” và quên mất điều đó. Nếu trang web đó bị xâm phạm và câu trả trả lời của bạn không được mã hóa, hacker có thể sử dụng thông tin đó để truy cập các tài khoản quan trọng của bạn ngày nay.
Việc tái sử dụng câu trả lời bảo mật trên nhiều trang web cũng nguy hiểm như việc tái sử dụng mật khẩu. Một khi thông tin của bạn đã lộ ra ngoài, hacker sử dụng các công cụ chuyên biệt để đối chiếu chúng. Hãy sử dụng một công cụ như Have I Been Pwned để kiểm tra xem dữ liệu của bạn có bị lộ hay không. Và hãy luôn coi các câu trả lời bảo mật như mật khẩu dùng một lần: duy nhất cho mỗi tài khoản.
3. Tạo Các Cuộc Trò Chuyện Hỗ Trợ Giả Mạo
Đây là một phương pháp phức tạp hơn nhưng hiệu quả đáng sợ: các cuộc trò chuyện hỗ trợ khách hàng giả mạo.
Thông thường, nó bắt đầu bằng một email, tin nhắn trực tiếp (DM), hoặc cửa sổ bật lên (pop-up) giả mạo ngân hàng, nhà cung cấp email, hoặc cửa hàng yêu thích của bạn. Đại diện hỗ trợ giả mạo sẽ yêu cầu bạn xác nhận danh tính bằng cách trả lời các câu hỏi bảo mật.
Những cuộc trò chuyện giả mạo này thường sao chép thương hiệu, ngôn ngữ và thậm chí cả thời gian, ví dụ, trong một sự cố ngừng hoạt động thực sự của trang web. Và bởi vì chúng tạo cảm giác cá nhân, bạn có nhiều khả năng tuân thủ nhanh chóng mà không suy nghĩ. Một khi bạn cung cấp những câu trả lời đó, hacker có thể truy cập vào tài khoản của bạn bằng cách đặt lại thông tin đăng nhập.
Quy tắc vàng ở đây rất đơn giản: Các đại diện hỗ trợ hợp pháp sẽ không bao giờ hỏi câu hỏi bảo mật của bạn qua trò chuyện, email hoặc tin nhắn trực tiếp. Nếu bạn nhận được yêu cầu như vậy, hãy đóng cuộc trò chuyện và xác minh trực tiếp thông qua trang web chính thức.
2. Lừa Bạn Bè Chia Sẻ Chi Tiết
Hacker biết rằng ngay cả khi bạn cẩn trọng, bạn bè của bạn có thể không như vậy. Việc lấy được thông tin cá nhân bằng cách lừa những người bạn tin tưởng là điều đáng ngạc nhiên.
Đôi khi, nó bắt đầu bằng một hồ sơ giả mạo giả vờ là một người bạn học cũ hoặc một người bạn chung. Chúng len lỏi vào các cuộc trò chuyện, hỏi về “những ngày xưa tươi đẹp,” hoặc bắt đầu một trò chơi có vẻ vô hại. Trước khi bạn của bạn kịp nhận ra, họ đã vô tình nhắc đến nơi bạn lớn lên, tên thú cưng thời thơ ấu của bạn, hoặc thậm chí là giáo viên yêu thích của bạn.
Ngay cả một bài đăng Facebook đơn giản gợi nhớ kỷ niệm cũng có thể tiết lộ quá nhiều. Một người bạn gắn thẻ bạn trong một bức ảnh kỷ yếu cũ hoặc đùa về chiếc xe đầu tiên của bạn có thể cung cấp cho hacker chính xác những gì chúng cần, mà không cần bạn phải gõ một từ nào.
Đây là một chiến thuật lén lút vì nó tạo cảm giác rất tự nhiên. Bạn bè tin tưởng lẫn nhau. Hacker khai thác sự tin tưởng đó để thực hiện công việc “đào bới” cho chúng. Nếu bạn nghiêm túc về bảo mật, hãy nhắc nhở những người thân cận của bạn cũng nên cẩn trọng.
1. Đoán Các Câu Trả Lời Phổ Biến
người dùng máy tính xách tay với cảnh báo bảo mật
Đôi khi, hacker thậm chí không cần phải do thám. Chúng chỉ đơn giản là đoán, và thật không may, chúng thường đoán đúng.
Các câu hỏi như “Màu sắc yêu thích của bạn là gì?” thường dẫn đến các câu trả lời dễ đoán như xanh dương. Tên thú cưng thường là Max, Bella hoặc Lucky. Ngay cả câu hỏi “Tên thời con gái của mẹ bạn” cũng thường là những họ phổ biến. Nhiều câu trả lời khác cũng dễ đoán tương tự: Rất nhiều người trả lời “Kỳ nghỉ mơ ước” là “Paris” chẳng hạn.
Hacker đôi khi tự động hóa quá trình đoán này, xoay vòng các câu trả lời phổ biến nhất cho đến khi chúng gặp may. Nếu không có các biện pháp bảo vệ mạnh mẽ của trang web như khóa tài khoản sau nhiều lần thử sai, chúng có thể chỉ cần một vài lần thử.
Bài học rút ra rất đơn giản. Hãy coi các câu trả lời câu hỏi bảo mật như mật khẩu. Đừng chọn sự thật nếu sự thật quá dễ đoán. Hãy tạo một cụm mật khẩu (passphrase), một điều gì đó vô nghĩa, hoặc tốt hơn nữa, hãy sử dụng một trình quản lý mật khẩu để lưu trữ các câu trả lời ngẫu nhiên.
Các câu hỏi bảo mật có thể tạo cảm giác như những lớp dự phòng vô hại, nhưng đối với một hacker, chúng là một cánh cửa phụ không khóa. Hacker không phải lúc nào cũng cần đột nhập bằng vũ lực. Đôi khi chúng chỉ cần đi vào bằng cách sử dụng các chi tiết bạn đã vô tình để lộ ra ngoài. Hãy nâng cao cảnh giác và bảo vệ thông tin cá nhân của mình ngay hôm nay.
