Một số kỹ thuật tấn công facebook phổ biến và cách bảo vệ tài khoản cá nhân

Đào Công
07/10/2020 11:48
D

Thời gian gần đây có khá nhiều vụ tấn công vào các tài khoản mạng xã hội gây rò rỉ dữ liệu riêng tư. Đối tượng bị tấn công đa phần là những người nổi tiếng hoặc có tầm ảnh hưởng lớn với xã hội, tuy nhiên cũng có nhiều tài khoản của người bình thường bị tấn công. Mục đích tấn công thường là để tống tiền, sử dụng các thông tin nhạy cảm để làm xấu hình ảnh của nạn nhân... Bài viết này sẽ giới thiệu về một số kỹ thuật tấn công facebook phổ biến và cách bảo vệ tài khoản cá nhân.

Một số kỹ thuật tấn công facebook phổ biến và cách bảo vệ tài khoản cá nhân

Phishing

Phishing xuất hiện từ những năm 1990, là phương thức lừa đảo của tin tặc nhằm mục đích thu thập các thông tin của người dùng như mật khẩu, thông tin thẻ tín dụng... Mục tiêu hướng đến phổ biến của hình thức tấn công này là các trang thông tin điện tử như PayPal, Gmail và cả các trang mạng xã hội như Facebook.

Cơ chế hoạt động của Phishing là tạo ra một trang web giả mạo có giao diện giống trang web chính thống để lừa người dùng cung cấp các thông tin cá nhân. Ví dụ như tạo ra một trang web giống trang đăng nhập của facebook nhưng có đường dẫn (URL) khác như faecbook.com, facebooh.com... Khi người dùng click vào các URL này, nếu không cẩn thận người dùng sẽ nhập tên và mật khẩu. Khi đó, thông tin này sẽ được gửi đến tin tặc, đồng thời nạn nhân sẽ được chuyển hướng đến trang Facebook. Chính lúc này, tài khoản người dùng Facebook đã bị tin tặc trộm cắp danh tính.

Người dùng cần cẩn trọng khi nhận được các link Facebook giả mạo từ email, messenger, trang web quảng cáo... Khi nhấp vào cần kiểm tra kĩ lưỡng tên đường dẫn hiện lên trên trình duyệt có là https://www.facebook.com/ và có biểu tượng khoá đang đóng (HTTPS) trong thanh địa chỉ.

Social Engineering

Đây là phương pháp phổ biến thứ 2 để tấn công một tài khoản mạng xã hội. Trên thực tế, phương pháp này không đòi hỏi nhiều về kiến thức bảo mật mà chỉ lợi dụng tâm lý của người dùng để đánh cắp tài khoản của họ. Gần đây một cuộc tấn công bằng phương pháp này nhắm vào Twitter CEO của Tesla – Elon Musk đã được thực hiện để lừa đảo Bitcoint.

Social Engineering là quá trình thu thập thông tin về nạn nhân, chẳng hạn như số điện thoại, ngày sinh, họ tên cha/mẹ, người thân, thú cưng... Thông thường, các trang web cần có tài khoản để đăng nhập sẽ có phần chức năng hỗ trợ khôi phục mật khẩu, Facebook cũng không phải là ngoại lệ. Mạng xã hội này sẽ có tuỳ chọn để khôi phục mật khẩu bằng câu hỏi bảo mật (Security Question). Các câu hỏi thường được lựa chọn ở đây chính là liên quan đến các thông tin cá nhân mà trước đó kẻ xấu đã thu thập được ở nạn nhân. 

Một hình thức khác của phương pháp tấn công này chính là lợi dụng tâm lý thường sử dụng các mật khẩu cá nhân có liên quan đến số điện thoại, ngày sinh hoặc các con số gần gũi để dễ nhớ. Thường được gọi là mật khẩu yếu và khi sử dụng các mật khẩu yếu này tài khoản của người dùng dễ bị tấn công hơn bao giờ hết.

Do đặc tính của phương pháp này xuất phát từ chính người dùng nên cách phòng tránh cơ bản là tăng cường tính bảo mật cho tài khoản của mình như: Không đặt mật khẩu quá dễ đoán, không chọn các Security Question quá đơn giản; Thêm xác mình tài khoản bằng CMND của bản thân để có thể xác minh nhanh chóng khi bị tấn công; Bật chức năng “cảnh báo đăng nhập” để được thông báo mỗi khi tài khoản bị đăng nhập ở một thiết bị khác.

Key Logger

KeyLoggers là các phần mềm được sử dụng để ghi lại các thao tác ấn phím trên máy tính hoặc thiết bị di động, bất cứ khi nào người dùng gõ lên bàn phím sẽ đều được lưu trữ lại để sử dụng. Tất cả các phần mềm thuộc loại KeyLogger chạy ngầm dưới background của hệ thống và người dùng sẽ khó có thể nhận biết được sự tồn tại của nó nếu không biết mật khẩu hoặc phím tắt để mở nó lên. Các bản ghi thao tác này sẽ được gửi về cho chủ nhân của phần mềm một cách đều đặn, các tin tặc sẽ biết cách khai thác tất cả các thông tin có giá trị từ các bản ghi này, trong đó có mật khẩu Facebook.

Nguy cơ tấn công từ phương pháp này sẽ xảy ra khi người dùng click vào đường link không an toàn qua email, tin nhắn; khi đó phần mềm Keylogger có thể được tự động cài vào máy của người dùng. Hoặc khi đăng nhập tài khoản cá nhân tại các máy tính công cộng hoặc máy tính của người khác - nơi mà Keylogger đã được cài sẵn.

Về mặt cơ bản, người dùng nên hạn chế click vào những đường dẫn lạ được gửi đến từ người không quá thân quen, hạn chế tối đa đăng nhập tài khoản cá nhân của mình trên các máy tính không phải của riêng mình. Trường hợp bất khả kháng, khi đăng nhập tài khoản trên các máy tính công cộng, người dùng nên sử dụng bàn phím ảo do hệ điều hành hỗ trợ hay còn được gọi là On-Screen Keyboards: lúc này các thao tác nhập tên, mật khẩu sẽ được thực hiện bằng cách click chuột vào các button trên bàn phím ảo này. Hiện nay có nhiều trang web cung cấp dạng bàn phím ảo này trong chính trình đăng nhập của họ.

MallClous Application Hack

Các ứng dụng trò chơi, bói, trả lời trắc nghiệm... trên facebook và khi click vào thì một giao diện như bên dưới sẽ hiện ra:

Một số kỹ thuật tấn công facebook phổ biến và cách bảo vệ tài khoản cá nhân

Một khi người dùng ấn vào Login with Facebook (Đăng nhập bằng tài khoản Facebook) người dùng sẽ thấy một hộp thoại thông báo các quyền hạn được yêu cầu. Nếu không đọc kỹ mà đồng ý với các quyền này, thì các ứng dụng liên kết kia sẽ có các quyền truy cập vào các thông tin cá nhân, truy cập kho quản lý hình ảnh hoặc thực hiện một vài thao tác trên danh nghĩa tài khoản Facebook của người dùng như share bài, like, đăng status... Ngoại trừ Instagram và WhatsApp, thì hầu như tất cả các ứng dụng liên kết trên Facebook đều không thuộc sở hữu của Facebook mà của các nhà sản xuất thứ ba. Người dùng không nên chơi các ứng dụng trò chơi, bói trên facebook.

Browser Vulnerabilities

Tin tặc tận dụng các lỗ hổng bảo mật, lỗ hổng tồn tại trong các phiên bản cũ hơn trình duyệt đang dùng trên các thiết bị di động cũng như máy tính. Khi phát triển trình duyệt thì các lỗ hổng này là điều khó tránh khỏi từ những lần phát hành sản phẩm đầu tiên. Trong quá trình sử dụng, các lỗ hổng này sẽ được phát hiện dần bởi các nhà nghiên cứu bảo mật hoặc các tin tặc không có ý đồ xấu (Hackers mũ trắng) trên khắp thế giới. Sau khi được phát hiện, chúng sẽ được sửa và được cập nhật sớm nhất có thể bởi nhà cung cấp trình duyệt.

Nếu như trình duyệt đang sử dụng chưa phải là bản mới nhất, hoàn toàn có thể nó đang tồn tại một lỗi bảo mật nào đó chưa được sửa, tin tặc có thể tận dụng điều đó để tấn công vào trình duyệt của người dùng. Khi trình duyệt đã bị tin tặc kiểm soát dẫn đến thể khai thác các phản hồi của một bất kỳ trang web nào như Facebook mà người dùng truy cập vào.

Với nguyên lý như trên thì cách phòng tránh bị tấn công hữu hiệu nhất là người dùng thường xuyên cập nhật trình duyệt của mình ngay khi có bản cập nhật mới. 

Facebook Zero Day

Zero Day là tên gọi chung cho các lỗ hổng bảo mật mà ngay chính bản thân nhà cung cấp phần mềm cũng không hề ý thức được sự tồn tại của nó. Đối với Facebook thì các lỗ hổng dạng như này sẽ được gọi là Facebook Zero Day. Facebook chủ động đưa ra các mức thưởng lớn để kêu gọi các nhà nghiên cứu bảo mật khắp thế giới tham gia tìm kiếm và phản hồi lại các lỗ hổng mà họ tìm được. Nếu các lỗ hổng này bị phát hiện ra bởi một tin tặc (Hackers mũ đen), thì có thể nó sẽ không được báo cáo cho Facebook, mà được sử dụng với mục đích cá nhân riêng.

Một số Facebook Zero Day từng được phát hiện trong quá khứ: Thực thi mã từ xa trong máy chủ Facebook (Remote Code Execution in Facebook Server); tấn công bất kỳ tài khoản Facebook nào liên kết với số điện thoại (Hacking any FB account using Phone Number); Tấn công tài khoản Facebook bằng API cũ (Facebook account hack using legacy API); Xoá mọi ảnh trên Facebook (Deleting any Facebook photos)....

Theo An toàn Thông tin

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Diễn đàn Thể thao Việt Nam quy tụ nhiều chuyên gia hàng đầu thế giới

Diễn đàn Thể thao Việt Nam quy tụ nhiều chuyên gia hàng đầu thế giới

Cảnh báo các ứng dụng chứng khoán không phép

Cảnh báo các ứng dụng chứng khoán không phép

Trao Giải thưởng Khoa học công nghệ Quả cầu vàng năm 2022

Trao Giải thưởng Khoa học công nghệ Quả cầu vàng năm 2022

Hà Nội: Khách mua ở thực săn lùng căn hộ sơ cấp tại nội đô

Hà Nội: Khách mua ở thực săn lùng căn hộ sơ cấp tại nội đô

'Mốt' sử dụng ứng dụng giao hàng để khám phá thêm các hàng quán mới

'Mốt' sử dụng ứng dụng giao hàng để khám phá thêm các hàng quán mới

'Khi Tình Yêu Đủ Lớn, Tận Hưởng Khoảnh Khắc Sum Vầy'

'Khi Tình Yêu Đủ Lớn, Tận Hưởng Khoảnh Khắc Sum Vầy'

Cước thuê bao tháng tăng gấp đôi nhà mạng mobifone nói gì?

Cước thuê bao tháng tăng gấp đôi nhà mạng mobifone nói gì?

Baemin bắt tay Shinhan Bank ra mắt thẻ tín dụng 'Hội viên sành ăn'

Baemin bắt tay Shinhan Bank ra mắt thẻ tín dụng 'Hội viên sành ăn'

Sunshine Golden River - đáp ứng nhu cầu sống “khắt khe” của cư dân ngoại quốc

Sunshine Golden River - đáp ứng nhu cầu sống “khắt khe” của cư dân ngoại quốc

Khi nào thì robot 'nghỉ hưu'

Khi nào thì robot 'nghỉ hưu'

Phái đoàn New Zealand ký kết hợp tác cùng Tiki

Phái đoàn New Zealand ký kết hợp tác cùng Tiki

Tin giả trong thời đại số có thể khiến cả một doanh nghiệp sụp đổ

Tin giả trong thời đại số có thể khiến cả một doanh nghiệp sụp đổ

Tin mới cập nhật

Fonos nhận 1,8 triệu USD từ vòng Pre-Series A

Fonos nhận 1,8 triệu USD từ vòng Pre-Series A

Vertiv™ Liebert® APM Plus: UPS thiết kế dạng mô-đun, thân thiện môi trường

Vertiv™ Liebert® APM Plus: UPS thiết kế dạng mô-đun, thân thiện môi trường

Solve for Tomorrow 2022: Vinh danh những giải pháp sáng tạo vì cộng đồng

Solve for Tomorrow 2022: Vinh danh những giải pháp sáng tạo vì cộng đồng

Diễn đàn Thể thao Việt Nam quy tụ nhiều chuyên gia hàng đầu thế giới

Diễn đàn Thể thao Việt Nam quy tụ nhiều chuyên gia hàng đầu thế giới

Cảnh báo các ứng dụng chứng khoán không phép

Cảnh báo các ứng dụng chứng khoán không phép

Nỗi tuyệt vọng của những nhà đầu tư tiền mã hóa

Nỗi tuyệt vọng của những nhà đầu tư tiền mã hóa

Trao Giải thưởng Khoa học công nghệ Quả cầu vàng năm 2022

Trao Giải thưởng Khoa học công nghệ Quả cầu vàng năm 2022

OtterBox: Phụ kiện cao cấp chinh phục mọi thách thức

OtterBox: Phụ kiện cao cấp chinh phục mọi thách thức

Hà Nội: Khách mua ở thực săn lùng căn hộ sơ cấp tại nội đô

Hà Nội: Khách mua ở thực săn lùng căn hộ sơ cấp tại nội đô

Xu hướng tội phạm mạng năm 2023 có gì mới?

Xu hướng tội phạm mạng năm 2023 có gì mới?

Sony SRS-XV900: Mẫu loa uy lực nhất dòng X series

Sony SRS-XV900: Mẫu loa uy lực nhất dòng X series

'Mốt' sử dụng ứng dụng giao hàng để khám phá thêm các hàng quán mới

'Mốt' sử dụng ứng dụng giao hàng để khám phá thêm các hàng quán mới

Tin đọc nhiều

Phó Thủ tướng Trương Hoà Bình yêu cầu Hà Nội xem xét kiến nghị của người dân “phố cà phê đường tàu”

Phó Thủ tướng Trương Hoà Bình yêu cầu Hà Nội xem xét kiến nghị của người dân “phố cà phê đường tàu”

Cô gái 25 tuổi tỉnh táo livestream trong ca phẫu thuật não của chính mình

Cô gái 25 tuổi tỉnh táo livestream trong ca phẫu thuật não của chính mình

Google Maps được nâng cấp để cảnh báo “bẫy” tốc độ

Google Maps được nâng cấp để cảnh báo “bẫy” tốc độ

Smart City Summit 2019 bàn việc điều hành thành phố thông minh dựa trên phân tích dữ liệu

Smart City Summit 2019 bàn việc điều hành thành phố thông minh dựa trên phân tích dữ liệu

AI là công cụ đắc lực để Việt Nam bắt nhịp với thế giới

AI là công cụ đắc lực để Việt Nam bắt nhịp với thế giới

Thủy điện Trị An tiếp tục tăng lượng xả nước xuống hạ du vào 15h chiều nay

Thủy điện Trị An tiếp tục tăng lượng xả nước xuống hạ du vào 15h chiều nay

Xu thế số hoá mở ra cơ hội và cũng là thách thức của ngành kế toán

Xu thế số hoá mở ra cơ hội và cũng là thách thức của ngành kế toán

'Vũ khí Facebook' trong lời đe dọa của đại uý Hiền ở sân bay là gì?

'Vũ khí Facebook' trong lời đe dọa của đại uý Hiền ở sân bay là gì?

Khám chữa bệnh bằng áp dụng AI và IoT

Khám chữa bệnh bằng áp dụng AI và IoT

Tăng cường kết nối dữ liệu điện thoại khi bị chậm và cường độ tín hiệu kém

Tăng cường kết nối dữ liệu điện thoại khi bị chậm và cường độ tín hiệu kém

Video xem nhiều

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Thông điệp lan tỏa mùa dịch COVID-19

Thông điệp lan tỏa mùa dịch COVID-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Những gì bạn muốn biết về 5G

Những gì bạn muốn biết về 5G

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019