Nhiều người dùng Internet tin rằng các câu hỏi bảo mật là một phương án dự phòng vững chắc cho mật khẩu của họ. Tuy nhiên, nếu bạn cũng nghĩ vậy, rất có thể bạn sẽ phải bất ngờ. Tin tặc ngày nay có rất nhiều chiêu thức thông minh để khám phá những câu trả lời này, và thường thì việc này lại dễ dàng hơn bạn tưởng rất nhiều. Dù trông có vẻ đơn giản, những câu hỏi như “Tên thú cưng đầu tiên của bạn là gì?” hay “Ngày sinh của mẹ bạn là bao nhiêu?” lại tiềm ẩn nguy cơ bảo mật nghiêm trọng. Hãy cùng thuthuat365.net tìm hiểu 8 cách phổ biến mà tin tặc có thể khai thác câu hỏi bảo mật của bạn và làm thế nào để bảo vệ tài khoản của mình hiệu quả hơn.
1. Theo Dõi Mạng Xã Hội (Social Media Snooping)
Mạng xã hội chính là một “mỏ vàng” thông tin đối với bất kỳ ai đang cố gắng ghép nối câu chuyện cá nhân của bạn, và tin tặc biết rõ điều đó. Hầu hết mọi người thường vô tư chia sẻ các sự kiện quan trọng trong đời lên mạng xã hội, như sinh nhật, ngày kỷ niệm, tên thú cưng hay trường học. Tuy nhiên, đối với một kẻ đang cố gắng bẻ khóa các câu hỏi bảo mật của bạn, đó không phải là sự hoài niệm mà là thông tin tình báo quý giá.
Ví dụ, nếu câu hỏi bảo mật của bạn là “Tên bộ phim yêu thích của bạn là gì?”, chỉ cần hai lần lướt qua tài khoản X (Twitter) của bạn có thể tiết lộ tình yêu bất diệt của bạn dành cho “Vua Sư Tử” (The Lion King). Hoặc nếu tiểu sử Instagram của bạn ghi “Mẹ của Max”, thì đó chính là câu trả lời cho câu hỏi “Tên thú cưng đầu tiên của bạn là gì?”.
Kiểu theo dõi này không đòi hỏi công cụ phức tạp. Tất cả những gì tin tặc cần là tên của bạn, hồ sơ công khai của bạn và một chút kiên nhẫn. Chúng sẽ đào sâu vào các bài đăng cũ, ảnh được gắn thẻ và thậm chí cả bình luận mà bạn bè của bạn để lại. Nếu cài đặt quyền riêng tư của bạn quá mở, bạn gần như đang tự tay trao chìa khóa cho chúng. Ngay cả các tài khoản riêng tư cũng không hoàn toàn an toàn. Nếu tin tặc tìm cách theo dõi bạn, có thể thông qua một hồ sơ giả mạo, các bài đăng của bạn sẽ trở nên dễ dàng tiếp cận. Một bài đăng kỷ niệm vô hại có thể trở thành một con đường dẫn thẳng đến các tài khoản của bạn.
Người phụ nữ chỉ tay vào ứng dụng mạng xã hội trên điện thoại, minh họa việc thu thập thông tin cá nhân qua mạng xã hội.
2. Các Bài Trắc Nghiệm “Vui” Giả Mạo
Rất có thể bạn đã từng thấy một phiên bản của những bài trắc nghiệm vui nhộn trên mạng xã hội hỏi những câu như “Tên hoàng gia của bạn là gì?” hoặc “Chúng tôi có thể đoán tuổi của bạn dựa trên món ăn yêu thích không?”. Chúng thường được đóng khung như những trò giải trí vô hại, nhưng đây lại là một trong những sai lầm quyền riêng tư phổ biến nhất bạn có thể mắc phải trên mạng xã hội.
Tin tặc, hoặc ít nhất là những kẻ chuyên thu thập dữ liệu một cách mờ ám, sử dụng các bài trắc nghiệm này để thu thập chính xác những loại thông tin cá nhân thường được dùng làm câu trả lời cho câu hỏi bảo mật. Chúng hạ thấp cảnh giác của bạn bằng sự hài hước và tính cá nhân hóa để bạn quên mất rằng mình đang cung cấp một bản đồ dẫn đến danh tính số của mình.
Ảnh chụp màn hình bài kiểm tra NameTest trên Facebook, biểu thị việc sử dụng các trò chơi trực tuyến để thu thập dữ liệu cá nhân.
3. Tìm Kiếm Thông Tin Từ Hồ Sơ Công Khai
Đôi khi, tin tặc không cần bất kỳ thủ đoạn nào cả. Chúng chỉ đơn giản là sử dụng các hồ sơ công khai. Giấy chứng nhận kết hôn, hồ sơ tài sản, đăng ký cử tri, và thậm chí cả những cuốn kỷ yếu cũ có thể là nguồn thông tin phong phú cho các câu trả lời bảo mật. Các thông tin như tên thời con gái của mẹ bạn, địa chỉ thời thơ ấu, hoặc nơi sinh thường chỉ cách vài lần tìm kiếm.
Ví dụ, nếu câu hỏi bảo mật của bạn là “Bạn sinh ra ở thành phố nào?”, một thông báo sinh cũ có thể dễ dàng tiết lộ thông tin đó. Tương tự, một giấy phép kết hôn có thể để lộ tên đệm của cha. Một tin tặc kiên trì thậm chí không cần biết bạn cá nhân. Chúng chỉ cần tên của bạn và một chút kiên trì. Hồ sơ công khai có thể bổ sung phần còn lại.
Ảnh chụp màn hình trang web Chronicling America, minh họa cách tin tặc có thể tìm kiếm thông tin cá nhân từ các tài liệu công khai.
4. Lục Lọi Bài Đăng Diễn Đàn Cũ
Bạn có thể nghĩ rằng các bài đăng diễn đàn cũ là an toàn vì hầu hết các diễn đàn đều ẩn danh. Nhưng tin tặc biết rằng tính ẩn danh không phải là bất khả xâm phạm—đặc biệt khi mọi người vô tình để lại dấu vết.
Có thể bạn đã sử dụng một tên người dùng trên diễn đàn khớp với một phần địa chỉ email của bạn. Có thể bạn đã đăng bài về quê hương, thú cưng đầu tiên hoặc linh vật của trường trung học. Ngay cả những chi tiết nhỏ như năm bạn tốt nghiệp hoặc đội thể thao yêu thích cũng có thể bắt đầu kết nối các dấu chấm lại với bạn.
Việc này cũng không đòi hỏi kỹ năng hack. Một tin tặc kiên nhẫn có thể tìm kiếm các diễn đàn cũ, đối chiếu tên người dùng hoặc tìm kiếm một vài từ khóa cùng với tên của bạn trên Google. Các diễn đàn mà bạn hầu như không nhớ đã tham gia vẫn có thể có các kho lưu trữ công khai trôi nổi, âm thầm rò rỉ các mẩu lịch sử cá nhân của bạn. Tính ẩn danh có giúp ích, nhưng nếu bạn để lại đủ “mảnh vụn bánh mì”, các bài đăng cũ vẫn có thể “phản bội” bạn. Và khi tin tặc đang săn lùng câu trả lời cho các câu hỏi bảo mật của bạn, ngay cả manh mối nhỏ nhất cũng có thể là đủ.
5. Tận Dụng Dữ Liệu Rò Rỉ Từ Các Trang Web Khác
Các vụ vi phạm dữ liệu giống như những “món hời lớn” đối với tin tặc. Khi một trang web bị hack, không chỉ tên người dùng và mật khẩu bị rò rỉ. Đôi khi, cả các câu trả lời bảo mật của bạn cũng bị lộ.
Ví dụ, giả sử bạn đã tạo một tài khoản trên một diễn đàn từ nhiều năm trước. Bạn đã dùng “Arsenal” làm câu trả lời cho câu hỏi “Đội thể thao yêu thích của bạn là gì?” và quên bẵng nó đi. Nếu trang web đó bị tấn công và các câu trả lời của bạn không được mã hóa, tin tặc có thể sử dụng thông tin đó để truy cập các tài khoản quan trọng của bạn ngày nay.
Việc tái sử dụng các câu trả lời bảo mật trên nhiều trang web cũng nguy hiểm như việc tái sử dụng mật khẩu. Một khi thông tin của bạn đã lộ ra ngoài, tin tặc sẽ sử dụng các công cụ chuyên dụng để đối chiếu. Hãy sử dụng một công cụ như Have I Been Pwned để kiểm tra xem dữ liệu của bạn có bị lộ hay không. Và hãy luôn coi các câu trả lời bảo mật như mật khẩu dùng một lần: độc nhất cho mỗi tài khoản.
Ảnh chụp màn hình kết quả từ HaveIBeenPwned, hiển thị thông báo dữ liệu cá nhân đã bị rò rỉ trong một vụ vi phạm an ninh.
6. Tạo Cuộc Trò Chuyện Hỗ Trợ Giả Mạo
Đây là một chiêu thức tinh vi hơn nhưng cực kỳ hiệu quả: các cuộc trò chuyện hỗ trợ khách hàng giả mạo.
Nó thường bắt đầu bằng một email, tin nhắn trực tiếp (DM) hoặc cửa sổ bật lên (pop-up) mạo danh ngân hàng, nhà cung cấp email hoặc cửa hàng yêu thích của bạn. Đại diện hỗ trợ giả mạo sẽ yêu cầu bạn xác nhận danh tính bằng cách trả lời các câu hỏi bảo mật.
Những cuộc trò chuyện giả mạo này thường sao chép thương hiệu, ngôn ngữ và thậm chí cả thời điểm, ví dụ như trong một sự cố ngừng hoạt động thực sự của trang web. Và vì chúng mang tính cá nhân, bạn có nhiều khả năng tuân thủ nhanh chóng mà không suy nghĩ. Một khi bạn cung cấp những câu trả lời đó, tin tặc có thể truy cập tài khoản của bạn bằng cách đặt lại thông tin đăng nhập. Quy tắc vàng ở đây rất đơn giản: Các đại diện hỗ trợ hợp pháp sẽ không bao giờ yêu cầu câu hỏi bảo mật của bạn qua trò chuyện, email hoặc tin nhắn trực tiếp. Nếu bạn nhận được yêu cầu như vậy, hãy đóng cuộc trò chuyện và xác minh trực tiếp thông qua trang web chính thức.
7. Lừa Bạn Bè Tiết Lộ Thông Tin
Tin tặc biết rằng ngay cả khi bạn cẩn trọng, bạn bè của bạn có thể không như vậy. Việc lấy được thông tin cá nhân bằng cách lừa những người bạn tin tưởng là điều đáng ngạc nhiên.
Đôi khi, nó bắt đầu bằng một hồ sơ giả mạo giả vờ là một người bạn học cũ hoặc một người bạn chung. Chúng len lỏi vào các cuộc trò chuyện, hỏi về “những ngày xưa tốt đẹp” hoặc bắt đầu một trò chơi có vẻ vô hại. Trước khi bạn bè của bạn kịp nhận ra, họ đã vô tình nhắc đến nơi bạn lớn lên, tên thú cưng thời thơ ấu của bạn, hoặc thậm chí là giáo viên yêu thích của bạn. Ngay cả một bài đăng hoài niệm đơn giản trên Facebook cũng có thể tiết lộ quá nhiều. Một người bạn gắn thẻ bạn trong một bức ảnh kỷ yếu cũ hoặc đùa về chiếc xe đầu tiên của bạn có thể cung cấp chính xác những gì tin tặc cần, mà bạn không cần phải gõ một từ nào. Đây là một chiến thuật lén lút vì nó cảm thấy rất tự nhiên. Bạn bè tin tưởng lẫn nhau, và tin tặc khai thác lòng tin đó để chúng làm “công việc đào bới” thay mình. Nếu bạn nghiêm túc về bảo mật, hãy nhắc nhở những người thân cận của bạn cũng nên cẩn trọng.
8. Đoán Các Câu Trả Lời Phổ Biến
Đôi khi, tin tặc thậm chí không cần phải theo dõi. Chúng chỉ đơn giản là đoán, và thật không may, chúng thường đoán đúng.
Các câu hỏi như “Màu sắc yêu thích của bạn là gì?” thường dẫn đến các câu trả lời dễ đoán như “xanh dương”. Tên vật nuôi thường liên quan đến “Max”, “Bella” hoặc “Lucky”. Ngay cả một câu như “tên thời con gái của mẹ” cũng thường dẫn đến các họ phổ biến như “Nguyễn”, “Trần”, hoặc “Lê” (ở Việt Nam). Các câu trả lời khác cũng dễ đoán tương tự: Ví dụ, rất nhiều người trả lời “kỳ nghỉ mơ ước” là “Paris” hay “Đà Lạt”.
Tin tặc đôi khi tự động hóa quá trình đoán này, lặp đi lặp lại các câu trả lời phổ biến nhất cho đến khi chúng may mắn. Nếu không có các biện pháp bảo vệ mạnh mẽ của trang web như khóa tài khoản sau nhiều lần thử sai, chúng có thể chỉ cần một vài lần thử.
Người dùng máy tính xách tay với cảnh báo bảo mật trên màn hình, tượng trưng cho nguy cơ từ việc đoán câu trả lời bảo mật và các vấn đề an ninh mạng.
Kết luận rút ra rất đơn giản: Hãy coi các câu trả lời bảo mật như mật khẩu. Đừng sử dụng câu trả lời thật nếu câu trả lời đó quá dễ đoán. Hãy biến nó thành một cụm mật khẩu, một thứ gì đó vô nghĩa hoặc tốt hơn hết là sử dụng trình quản lý mật khẩu để lưu trữ các câu trả lời ngẫu nhiên.
Các câu hỏi bảo mật có thể cảm thấy như những bản sao lưu vô hại, nhưng đối với một tin tặc, chúng là một cánh cửa phụ không khóa. Tin tặc không phải lúc nào cũng cần đột nhập bằng vũ lực. Đôi khi, chúng chỉ cần đi thẳng vào bằng cách sử dụng các chi tiết mà bạn đã vô tình để lộ ra ngoài. Hãy luôn cảnh giác và áp dụng các biện pháp bảo mật mạnh mẽ để bảo vệ thông tin cá nhân của mình trên không gian mạng. Bạn đã từng gặp phải trường hợp nào tương tự chưa? Hãy chia sẻ kinh nghiệm của mình trong phần bình luận bên dưới!
