23 tháng 9, 2009

Hộp thư của bạn thật sự có an toàn không ?

Những người quan tâm tới bảo mật đều biết về vụ email cá nhân của nữ ứng viên phó tổng thống Hoa Kỳ bà Sarad Palin bị hack và phát tán nội dung thư và hình ảnh của bà trên internet.
Sau khi tìm hiểu về vụ việc này, bạn sẽ ngạc nhiên về mức độ dễ dàng của cuộc tấn công, hoàn toàn không có gì phức tạp hay mánh khóe cao siêu ( cài trojan, dò mật khẩu) để có thể xâm nhập vào tài khoản email của một ai đó.


Hacker tấn công hộp thư như thế nào ?

Cũng như các dịch vụ trực tuyến khác, Yahoo có cung cấp cách thức để khởi tạo lại mật khẩu, được lập trình tự động không cần có sự can thiệp của con người.
Với Yahoo, quá trình này được thực hiện bằng việc trả lời một câu hỏi bí mật đã đăng ký từ lúc bắt đầu sử dụng dịch vụ. Nếu trả lời chính xác câu hỏi này, Yahoo sẽ cho phép khai báo mật khẩu mới cho tài khoản email. Sau khi quá trình này hoàn tất, bạn có thể đăng nhập vào tài khoản Yahoo với mật khẩu mới và hoạt động bình thường
Trong trường hợp người dùng quên mật khẩu thì đây thực sự là một chức năng hữu ích. Tuy nhiên, khi một tin tặc dòm ngó tới tài khoản của một ai đó, chức năng này lại là cửa ngõ để xâm nhập. Điều đáng nói là không chỉ Yahoo mới có chức năng này, mà hầu hết các dịch vụ trực tuyến khác đều có chức năng khôi phục mật khẩu khi đã quên.

1./ Tìm câu trả lời bí mật
Yahoo có sẵn một danh sách 9 câu hỏi bí mật, đại loại như "Bạn gặp vợ bạn lần đầu tiên ở đâu?", "Tên trường trung học của bạn là gì?"...Khi đã có email, chỉ cần truy nhập vào chức năng quên mật khẩu là câu hỏi này sẽ hiện ra kèm theo một ô trống để điền câu trả lời. Như vậy, tin tặc chỉ cần tìm câu trả lời bí mật.

2./ Thông tin về bạn trên Internet.
Nếu bạn là người cởi mở thì việc này trở nên đơn giản hơn. Có thể tìm thấy nhiều thông tin về bạn trên Internet, từ việc search Google tới trang Wikipedia hay trang cá nhân… Chỉ cần lướt qua những nguồn thông tin công cộng này tin tặc đã có đủ thông tin để đoán trúng câu trả lời bí mật.
Với những thông tin đã chuẩn bị sẵn, việc tin tặc cần thực hiện là gọi chức năng khởi tạo lại mật khẩu và điền các thông tin vào biểu mẫu. Tin tặc được phép thử tới 10 lần trước khi bị Yahoo ngăn chặn trong 24 giờ (khi đó bạn vẫn có thể đăng nhập bình thường nếu nhập đúng mật khẩu). Khi thành công trong việc đoán đúng các thông tin mà Yahoo yêu cầu, tin tặc sẽ được chuyển tới trang cho phép đặt mật khẩu mới. Và nếu hacker đổi mật khẩu hộp thư thì tác hại… không thể đoán trước được (ảnh bên dưới).



Một số dịch vụ webmail khác, tin tặc sẽ gặp trở ngại. Khi yêu cầu khởi tạo lại mật khẩu, dịch vụ tự động gửi một email xác nhận đến địa chỉ email dự phòng mà bạn đã đăng ký khi mở tài khoản dịch vụ. Nếu bạn không thực hiện một việc xác thực như trong email đó yêu cầu thì mật khẩu của bạn sẽ không bị thay đổi.
Trong trường hợp này, mặc dù Yahoo có thông tin về email dự phòng khi bạn đăng ký tài khoản nhưng khi Yahoo không dùng cơ chế xác thực qua địa chỉ email này khi bạn yêu cầu khởi tạo lại mật khẩu. Bạn chỉ nhận được một email thông báo sau khi mật khẩu đã được khởi tạo lại, lúc đó thì đã quá muộn.


An toàn hộp thư.

Nếu bạn sử dụng dịch vụ trực tuyến cần phải đăng nhập và có chức năng khởi tạo lại mật khẩu thì tin tặc hoàn toàn có thể áp dụng kiểu tấn công này với bạn, đặc biệt khi bạn tham gia hoạt động nhiều trên những mạng xã hội và có những trang thông tin chi tiết về bản thân trên Facebook, Flickr,...
Nếu bạn nằm trong số đó, bạn nên kiểm tra chức năng khởi tạo lại mật khẩu của những tài khoản trực tuyến này.
Sau đây là một số những đặc điểm cần thiết của dịch vụ trực tuyến giúp tài khoản của bạn an toàn hơn:

1./ Có sẵn một danh sách nhiều câu hỏi bảo mật: Câu trả lời phải khó tìm thấy tại những nơi công cộng. Ví dụ, sẽ rất dễ tìm ra câu trả lời cho những câu hỏi đơn giản như "Bạn đã học trường cấp 3 nào?"... Những câu hỏi an toàn hơn có thể tìm thấy câu trả lời từ những giấy tờ ở nhà nhưng thường không xuất hiện công khai trên Internet.

2./ Tự định nghĩa một câu hỏi bí mật cho riêng mình: Một số dịch vụ trực tuyến cho phép bạn tự định nghĩa câu hỏi bí mật và trả lời. Như vậy bạn có thể yên tâm rằng câu hỏi bạn chọn (và phần trả lời) không phải là những thông tin thường xuất hiện trên Internet. Google là một ví dụ cho việc áp dụng biện pháp này.

3./ Bạn sẽ phải xác nhận bằng email trước khi quá trình khởi tạo lại mật khẩu được thực hiện. Ngay cả khi dịch vụ trực tuyến không có hai đặc điểm trên, tài khoản của bạn vẫn an toàn nếu dịch vụ bắt trực tuyến xác thực bạn bằng việc click vào một đường link xác nhận trong email trước khi khởi tạo lại mật khẩu.
Một số dịch vụ thực hiện tốt chức năng này, và bạn sẽ nhận được email xác thực việc khởi tạo lại mật khẩu ngay cả khi bạn không yêu cầu làm vậy. Thật yên tâm khi biết rằng quá trình khởi tạo lại mật khẩu không thực hiện nếu không phải chính bạn bấm nút OK.


Tự bảo vệ chính mình

Vậy phải làm gì nếu biết dịch vụ trực tuyến bạn đang dùng không đáp ứng những yêu cầu trên?

1./ Kiểm tra những câu hỏi bí mật: Bạn vẫn có phương án để bảo vệ chính mình. Trước hết, kiểm tra những câu hỏi bí mật mà dịch vụ cung cấp, so sánh với những thông tin mà bạn đã cung cấp công khai trên Internet. Ví dụ, bạn chọn câu hỏi "Bạn đã gặp người yêu lần đầu ở đâu?", bạn nên kiểm tra lại các thông tin về mình trên Internet xem bạn có từng kể về chuyện đó bao giờ chưa.

2./ Thay đổi câu trả lời sao cho nó trở nên khó đoán: Nếu bạn lỡ chia sẻ chuyện đó với mọi người, và dùng nó làm câu hỏi bảo mật ? Có thể bạn không chắc rằng thông tin đó có tồn tại trên Internet hay không, bạn nên thay đổi câu trả lời sao cho nó trở nên khó đoán. Trong ví dụ trên thay vì trả lời bằng một địa điểm cụ thể, bạn có thể trả lời bóng gió "một nơi đầy nắng và gió".

3./ Thận trọng khi chia sẻ thông tin cá nhân trên mạng: Khi bạn quyết định chia sẻ những thông tin về cuộc sống của mình với hàng chục triệu cư dân mạng trên các dịch vụ trực tuyến, nên nhớ rằng bất kỳ ai cũng có thể đăng ký một tài khoản ở đó, và nó có thể là chìa khóa để tin tặc tấn công bạn.

Ngoài việc trộm cắp những tài khoản trực tuyến, việc chia sẻ quá nhiều thông tin cũng tạo điều kiện thuận lợi cho các hành vi trộm cắp danh tính thậm chí bôi nhọ danh tính. Chia sẻ là cần thiết nhưng nên chia sẻ có giới hạn.

Tóm lại, cẩn trọng trong việc bảo vệ tài khoản email của bạn cũng chính là bảo vệ những thông tin cho gia đình và thân hữu của bạn tránh sự lợi dụng từ bọn tin tặc.

Không có nhận xét nào:

Đăng nhận xét