Một số kỹ thuật tấn công facebook phổ biến và cách bảo vệ tài khoản cá nhân

Đào Công
07/10/2020 11:48
D

Thời gian gần đây có khá nhiều vụ tấn công vào các tài khoản mạng xã hội gây rò rỉ dữ liệu riêng tư. Đối tượng bị tấn công đa phần là những người nổi tiếng hoặc có tầm ảnh hưởng lớn với xã hội, tuy nhiên cũng có nhiều tài khoản của người bình thường bị tấn công. Mục đích tấn công thường là để tống tiền, sử dụng các thông tin nhạy cảm để làm xấu hình ảnh của nạn nhân... Bài viết này sẽ giới thiệu về một số kỹ thuật tấn công facebook phổ biến và cách bảo vệ tài khoản cá nhân.

Một số kỹ thuật tấn công facebook phổ biến và cách bảo vệ tài khoản cá nhân

Phishing

Phishing xuất hiện từ những năm 1990, là phương thức lừa đảo của tin tặc nhằm mục đích thu thập các thông tin của người dùng như mật khẩu, thông tin thẻ tín dụng... Mục tiêu hướng đến phổ biến của hình thức tấn công này là các trang thông tin điện tử như PayPal, Gmail và cả các trang mạng xã hội như Facebook.

Cơ chế hoạt động của Phishing là tạo ra một trang web giả mạo có giao diện giống trang web chính thống để lừa người dùng cung cấp các thông tin cá nhân. Ví dụ như tạo ra một trang web giống trang đăng nhập của facebook nhưng có đường dẫn (URL) khác như faecbook.com, facebooh.com... Khi người dùng click vào các URL này, nếu không cẩn thận người dùng sẽ nhập tên và mật khẩu. Khi đó, thông tin này sẽ được gửi đến tin tặc, đồng thời nạn nhân sẽ được chuyển hướng đến trang Facebook. Chính lúc này, tài khoản người dùng Facebook đã bị tin tặc trộm cắp danh tính.

Người dùng cần cẩn trọng khi nhận được các link Facebook giả mạo từ email, messenger, trang web quảng cáo... Khi nhấp vào cần kiểm tra kĩ lưỡng tên đường dẫn hiện lên trên trình duyệt có là https://www.facebook.com/ và có biểu tượng khoá đang đóng (HTTPS) trong thanh địa chỉ.

Social Engineering

Đây là phương pháp phổ biến thứ 2 để tấn công một tài khoản mạng xã hội. Trên thực tế, phương pháp này không đòi hỏi nhiều về kiến thức bảo mật mà chỉ lợi dụng tâm lý của người dùng để đánh cắp tài khoản của họ. Gần đây một cuộc tấn công bằng phương pháp này nhắm vào Twitter CEO của Tesla – Elon Musk đã được thực hiện để lừa đảo Bitcoint.

Social Engineering là quá trình thu thập thông tin về nạn nhân, chẳng hạn như số điện thoại, ngày sinh, họ tên cha/mẹ, người thân, thú cưng... Thông thường, các trang web cần có tài khoản để đăng nhập sẽ có phần chức năng hỗ trợ khôi phục mật khẩu, Facebook cũng không phải là ngoại lệ. Mạng xã hội này sẽ có tuỳ chọn để khôi phục mật khẩu bằng câu hỏi bảo mật (Security Question). Các câu hỏi thường được lựa chọn ở đây chính là liên quan đến các thông tin cá nhân mà trước đó kẻ xấu đã thu thập được ở nạn nhân. 

Một hình thức khác của phương pháp tấn công này chính là lợi dụng tâm lý thường sử dụng các mật khẩu cá nhân có liên quan đến số điện thoại, ngày sinh hoặc các con số gần gũi để dễ nhớ. Thường được gọi là mật khẩu yếu và khi sử dụng các mật khẩu yếu này tài khoản của người dùng dễ bị tấn công hơn bao giờ hết.

Do đặc tính của phương pháp này xuất phát từ chính người dùng nên cách phòng tránh cơ bản là tăng cường tính bảo mật cho tài khoản của mình như: Không đặt mật khẩu quá dễ đoán, không chọn các Security Question quá đơn giản; Thêm xác mình tài khoản bằng CMND của bản thân để có thể xác minh nhanh chóng khi bị tấn công; Bật chức năng “cảnh báo đăng nhập” để được thông báo mỗi khi tài khoản bị đăng nhập ở một thiết bị khác.

Key Logger

KeyLoggers là các phần mềm được sử dụng để ghi lại các thao tác ấn phím trên máy tính hoặc thiết bị di động, bất cứ khi nào người dùng gõ lên bàn phím sẽ đều được lưu trữ lại để sử dụng. Tất cả các phần mềm thuộc loại KeyLogger chạy ngầm dưới background của hệ thống và người dùng sẽ khó có thể nhận biết được sự tồn tại của nó nếu không biết mật khẩu hoặc phím tắt để mở nó lên. Các bản ghi thao tác này sẽ được gửi về cho chủ nhân của phần mềm một cách đều đặn, các tin tặc sẽ biết cách khai thác tất cả các thông tin có giá trị từ các bản ghi này, trong đó có mật khẩu Facebook.

Nguy cơ tấn công từ phương pháp này sẽ xảy ra khi người dùng click vào đường link không an toàn qua email, tin nhắn; khi đó phần mềm Keylogger có thể được tự động cài vào máy của người dùng. Hoặc khi đăng nhập tài khoản cá nhân tại các máy tính công cộng hoặc máy tính của người khác - nơi mà Keylogger đã được cài sẵn.

Về mặt cơ bản, người dùng nên hạn chế click vào những đường dẫn lạ được gửi đến từ người không quá thân quen, hạn chế tối đa đăng nhập tài khoản cá nhân của mình trên các máy tính không phải của riêng mình. Trường hợp bất khả kháng, khi đăng nhập tài khoản trên các máy tính công cộng, người dùng nên sử dụng bàn phím ảo do hệ điều hành hỗ trợ hay còn được gọi là On-Screen Keyboards: lúc này các thao tác nhập tên, mật khẩu sẽ được thực hiện bằng cách click chuột vào các button trên bàn phím ảo này. Hiện nay có nhiều trang web cung cấp dạng bàn phím ảo này trong chính trình đăng nhập của họ.

MallClous Application Hack

Các ứng dụng trò chơi, bói, trả lời trắc nghiệm... trên facebook và khi click vào thì một giao diện như bên dưới sẽ hiện ra:

Một số kỹ thuật tấn công facebook phổ biến và cách bảo vệ tài khoản cá nhân

Một khi người dùng ấn vào Login with Facebook (Đăng nhập bằng tài khoản Facebook) người dùng sẽ thấy một hộp thoại thông báo các quyền hạn được yêu cầu. Nếu không đọc kỹ mà đồng ý với các quyền này, thì các ứng dụng liên kết kia sẽ có các quyền truy cập vào các thông tin cá nhân, truy cập kho quản lý hình ảnh hoặc thực hiện một vài thao tác trên danh nghĩa tài khoản Facebook của người dùng như share bài, like, đăng status... Ngoại trừ Instagram và WhatsApp, thì hầu như tất cả các ứng dụng liên kết trên Facebook đều không thuộc sở hữu của Facebook mà của các nhà sản xuất thứ ba. Người dùng không nên chơi các ứng dụng trò chơi, bói trên facebook.

Browser Vulnerabilities

Tin tặc tận dụng các lỗ hổng bảo mật, lỗ hổng tồn tại trong các phiên bản cũ hơn trình duyệt đang dùng trên các thiết bị di động cũng như máy tính. Khi phát triển trình duyệt thì các lỗ hổng này là điều khó tránh khỏi từ những lần phát hành sản phẩm đầu tiên. Trong quá trình sử dụng, các lỗ hổng này sẽ được phát hiện dần bởi các nhà nghiên cứu bảo mật hoặc các tin tặc không có ý đồ xấu (Hackers mũ trắng) trên khắp thế giới. Sau khi được phát hiện, chúng sẽ được sửa và được cập nhật sớm nhất có thể bởi nhà cung cấp trình duyệt.

Nếu như trình duyệt đang sử dụng chưa phải là bản mới nhất, hoàn toàn có thể nó đang tồn tại một lỗi bảo mật nào đó chưa được sửa, tin tặc có thể tận dụng điều đó để tấn công vào trình duyệt của người dùng. Khi trình duyệt đã bị tin tặc kiểm soát dẫn đến thể khai thác các phản hồi của một bất kỳ trang web nào như Facebook mà người dùng truy cập vào.

Với nguyên lý như trên thì cách phòng tránh bị tấn công hữu hiệu nhất là người dùng thường xuyên cập nhật trình duyệt của mình ngay khi có bản cập nhật mới. 

Facebook Zero Day

Zero Day là tên gọi chung cho các lỗ hổng bảo mật mà ngay chính bản thân nhà cung cấp phần mềm cũng không hề ý thức được sự tồn tại của nó. Đối với Facebook thì các lỗ hổng dạng như này sẽ được gọi là Facebook Zero Day. Facebook chủ động đưa ra các mức thưởng lớn để kêu gọi các nhà nghiên cứu bảo mật khắp thế giới tham gia tìm kiếm và phản hồi lại các lỗ hổng mà họ tìm được. Nếu các lỗ hổng này bị phát hiện ra bởi một tin tặc (Hackers mũ đen), thì có thể nó sẽ không được báo cáo cho Facebook, mà được sử dụng với mục đích cá nhân riêng.

Một số Facebook Zero Day từng được phát hiện trong quá khứ: Thực thi mã từ xa trong máy chủ Facebook (Remote Code Execution in Facebook Server); tấn công bất kỳ tài khoản Facebook nào liên kết với số điện thoại (Hacking any FB account using Phone Number); Tấn công tài khoản Facebook bằng API cũ (Facebook account hack using legacy API); Xoá mọi ảnh trên Facebook (Deleting any Facebook photos)....

Theo An toàn Thông tin

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Lịch World Cup 2026 ngày 1/7: Pháp, Anh, Mexico và Na Uy sáng cửa vào vòng 1/8

Lịch World Cup 2026 ngày 1/7: Pháp, Anh, Mexico và Na Uy sáng cửa vào vòng 1/8

Kết quả World Cup 2026 ngày 30/6: Brazil ngược dòng, Paraguay và Maroc tạo địa chấn

Kết quả World Cup 2026 ngày 30/6: Brazil ngược dòng, Paraguay và Maroc tạo địa chấn

Di sản văn hóa trở thành cầu nối hợp tác Việt Nam - Pháp

Di sản văn hóa trở thành cầu nối hợp tác Việt Nam - Pháp

Kết quả World Cup 2026 ngày 24/6: Ronaldo lập cột mốc lịch sử, Anh mất điểm, Colombia giành vé sớm

Kết quả World Cup 2026 ngày 24/6: Ronaldo lập cột mốc lịch sử, Anh mất điểm, Colombia giành vé sớm

Lịch World Cup 2026 ngày 16/6: Bỉ, Uruguay, Iran hướng tới chiến thắng

Lịch World Cup 2026 ngày 16/6: Bỉ, Uruguay, Iran hướng tới chiến thắng

Bài phát biểu dẫn đề của Tổng Bí thư, Chủ tịch nước Tô Lâm tại Đối thoại Shangri-La

Bài phát biểu dẫn đề của Tổng Bí thư, Chủ tịch nước Tô Lâm tại Đối thoại Shangri-La

Hà Nội và nhiều tỉnh miền Bắc, Trung Bộ tiếp tục nắng nóng đặc biệt gay gắt ngày 26/5

Hà Nội và nhiều tỉnh miền Bắc, Trung Bộ tiếp tục nắng nóng đặc biệt gay gắt ngày 26/5

Khi LCK đặt chân đến Việt Nam, LazyFeel viết tiếp giấc mơ tuyển thủ Việt tại Hàn Quốc

Khi LCK đặt chân đến Việt Nam, LazyFeel viết tiếp giấc mơ tuyển thủ Việt tại Hàn Quốc

Lễ đón chính thức Tổng Bí thư, Chủ tịch nước Tô Lâm thăm cấp Nhà nước Cộng hòa Ấn Độ

Lễ đón chính thức Tổng Bí thư, Chủ tịch nước Tô Lâm thăm cấp Nhà nước Cộng hòa Ấn Độ

Cao Bằng: Bộ đội biên phòng tuyên truyền pháp lý biên giới tại mốc 835

Cao Bằng: Bộ đội biên phòng tuyên truyền pháp lý biên giới tại mốc 835

Phú Thọ khai mạc chuỗi hoạt động văn hoá, thể thao dịp Giỗ Tổ Hùng Vương

Phú Thọ khai mạc chuỗi hoạt động văn hoá, thể thao dịp Giỗ Tổ Hùng Vương

Lịch truyền hình trực tiếp Lễ tuyên thệ nhậm chức của Chủ tịch nước, Thủ tướng, Chủ tịch Quốc hội

Lịch truyền hình trực tiếp Lễ tuyên thệ nhậm chức của Chủ tịch nước, Thủ tướng, Chủ tịch Quốc hội

Tin mới cập nhật

Triển lãm 'Quốc Tử Giám trong nghệ thuật' tôn vinh 950 năm trường đại học đầu tiên của Việt Nam

Triển lãm 'Quốc Tử Giám trong nghệ thuật' tôn vinh 950 năm trường đại học đầu tiên của Việt Nam

LocknLock triển khai chương trình ưu đãi đến 50%+++ cho hơn 200 sản phẩm tại Điện Máy Xanh

LocknLock triển khai chương trình ưu đãi đến 50%+++ cho hơn 200 sản phẩm tại Điện Máy Xanh

Phát triển hệ sinh thái thông minh, TCL hợp tác toàn diện cùng Shopee

Phát triển hệ sinh thái thông minh, TCL hợp tác toàn diện cùng Shopee

VEDC 2026 bùng nổ 270 đội thi, hơn 1.000 sinh viên so tài thiết kế điện tử AI IoT

VEDC 2026 bùng nổ 270 đội thi, hơn 1.000 sinh viên so tài thiết kế điện tử AI IoT

LG Electronics chính thức thành lập trung tâm kinh doanh robot tại Hàn Quốc

LG Electronics chính thức thành lập trung tâm kinh doanh robot tại Hàn Quốc

Tiếp tục với dải sản phẩm chào hè, JBL mở bán bộ tứ tai nghe JBL Tune thế hệ mới

Tiếp tục với dải sản phẩm chào hè, JBL mở bán bộ tứ tai nghe JBL Tune thế hệ mới

Chính sách ưu đãi tiếp sức nghiên cứu công nghệ cao và công nghệ chiến lược

Chính sách ưu đãi tiếp sức nghiên cứu công nghệ cao và công nghệ chiến lược

Viettel số hóa hành trình tìm kiếm, xác định danh tính liệt sĩ

Viettel số hóa hành trình tìm kiếm, xác định danh tính liệt sĩ

VCCA 2026: Hội tụ công nghệ chiến lược, kiến tạo tương lai tự động hóa

VCCA 2026: Hội tụ công nghệ chiến lược, kiến tạo tương lai tự động hóa

Chính phủ siết quản lý livestream bán hàng trên nền tảng thương mại điện tử

Chính phủ siết quản lý livestream bán hàng trên nền tảng thương mại điện tử

AI Camera, robot tự hành, UAV sẵn sàng tạo đột phá công nghệ chiến lược

AI Camera, robot tự hành, UAV sẵn sàng tạo đột phá công nghệ chiến lược

Tài sản trú ẩn an toàn vì sao không còn hiệu quả?

Tài sản trú ẩn an toàn vì sao không còn hiệu quả?

Tin đọc nhiều

Lịch World Cup 2026 ngày 1/7: Pháp, Anh, Mexico và Na Uy sáng cửa vào vòng 1/8

Lịch World Cup 2026 ngày 1/7: Pháp, Anh, Mexico và Na Uy sáng cửa vào vòng 1/8

Kết quả World Cup 2026 ngày 30/6: Brazil ngược dòng, Paraguay và Maroc tạo địa chấn

Kết quả World Cup 2026 ngày 30/6: Brazil ngược dòng, Paraguay và Maroc tạo địa chấn

Di sản văn hóa trở thành cầu nối hợp tác Việt Nam - Pháp

Di sản văn hóa trở thành cầu nối hợp tác Việt Nam - Pháp

Hơn 23.200 cú sét đánh ở miền Bắc rạng sáng nay

Hơn 23.200 cú sét đánh ở miền Bắc rạng sáng nay

Dell Technologies châu Á-Thái Bình Dương và Nhật Bản có Chủ tịch mới

Dell Technologies châu Á-Thái Bình Dương và Nhật Bản có Chủ tịch mới

Hướng dẫn chi tiết cách cấp lại mật khẩu VssID

Hướng dẫn chi tiết cách cấp lại mật khẩu VssID

'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội

'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội

6 bộ phim hay nhất để xem trên VieON

6 bộ phim hay nhất để xem trên VieON

Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore

Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore

Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót

Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót

Video xem nhiều

Giới thiệu chương trình bình chọn “Xe của năm 2022"

Giới thiệu chương trình bình chọn “Xe của năm 2022"

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Honda MSX 125 Grom 2021 mẫu xe côn tay phiên bản đường đua

Honda MSX 125 Grom 2021 mẫu xe côn tay phiên bản đường đua

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Geneva Motor Show 2020: Bentley hé lộ siêu xe Bacalar triệu đô

Geneva Motor Show 2020: Bentley hé lộ siêu xe Bacalar triệu đô

Lộ diện siêu xe hypercar Czinger 21C tăng tốc 0-100km/h chưa tới 2 giây

Lộ diện siêu xe hypercar Czinger 21C tăng tốc 0-100km/h chưa tới 2 giây

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

5G - Mạng truyền tải di động tốc độ cao của tương lai

5G - Mạng truyền tải di động tốc độ cao của tương lai

Một ngày trải nghiệm giấc mơ trở thành tay đua F1 chuyên nghiệp ở Nhật Bản

Một ngày trải nghiệm giấc mơ trở thành tay đua F1 chuyên nghiệp ở Nhật Bản

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019