Theo chuyên gia an ninh mạng Nguyễn Minh Đức – CEO của Công ty bảo mật CyRadar, đây có lẽ là tập hợp mật khẩu bị lộ lọt và hacker thu thập được lớn nhất từ trước tới nay.
Lượng mật khẩu trong tập hợp này, theo ông Đức, hoàn toàn có thể có những mật khẩu cũ người dùng đã từng sử dụng qua và giờ không sử dụng đến nữa, và những mật khẩu hiện hữu người dùng đang sử dụng.
Trong đó, có thể có những mật khẩu được đặt theo kiểu đơn giản, nên dễ dàng bị hacker đoán ra và thu thập; hoặc cũng có những mật khẩu phức tạp hơn được hacker sử dụng các cách tấn công khác để đánh cắp.
Tuy nhiên, thế giới hiện với 7 tỉ người mà lượng mật khẩu trong tập hợp này lên đến 8,4 tỉ, cho thấy khả năng rất cao là việc thu thập từ nhiều nguồn rò rỉ, trải qua nhiều thời điểm và các vụ việc rò rỉ khác nhau. Lượng mật khẩu này có thể không chỉ thuần từ riêng một ứng dụng, mạng xã hội, website, hay từ người dùng dịch vụ của một doanh nghiệp nào đó, mà đến từ rất nhiều nơi.
Hacker có thể tấn công lấy bất cứ thứ gì
Tuy nhiên, một khi đã rơi vào tay hacker thì tập hợp những mật khẩu trên hoàn toàn có thể được phục vụ cho mục đích của chúng.
Ông Đức cho rằng, với lượng mật khẩu lớn như vậy lọt vào tay hacker có thể được sử dụng vào việc xâm nhập vào các tài khoản của người dùng Internet, đặc biệt là những tài khoản để sử dụng các dịch vụ online như mạng xã hội, mua sắm trực tuyến, giải trí trực tuyến, ngân hàng trực tuyến…
Theo cảnh báo từ trang CyberNews, hacker có thể kết hợp lượng mật khẩu này với các yếu tố vi phạm khác sẵn có trong tay như địa chỉ email, tên đăng nhập của người dùng để tấn công dò mật khẩu vào các tài khoản trực tuyến mạng xã hội, ứng dụng, website, hệ thống dịch vụ của doanh nghiệp…
Trong một lần trao đổi với chúng tôi, chuyên gia bảo mật Võ Đỗ Thắng cho rằng, với các đợt tấn công dò mật khẩu và tài khoản, mức thành công chỉ cần 1-2 phần ngàn cũng có thể mang lại cho chúng những món lợi.
Một cách tấn công “phun mật khẩu” vào các tài khoản trực tuyến được CyberNews chỉ ra. Theo ông Nguyễn Minh Đức, đây là cách “tấn công dò mật khẩu” (Brute Force Attack). Hacker sử dụng loại công cụ mạnh mẽ có khả năng kết hợp nhiều tên đăng nhập (username) và mật khẩu (password) cùng lúc với mức độ từ dễ đến khó cho tới khi đăng nhập thành công.
Phương thức dò tài khoản để khớp được với mật khẩu theo cách này cũng tương tự như cách “tấn công từ điển” (Dictionary Attack, một biến thể khác của Brute Force Attack) mà hacker sử dụng để lấy mật khẩu của người dùng. Chúng nhắm vào các từ/cụm từ có nghĩa thay vì thử tất cả mọi khả năng để dò các tài khoản trực tuyến, mang đến tỉ lệ thành công cao hơn.
Theo nguồn sưu tầm.