Hãng bảo mật F-Secure trong một thông cáo vừa phát đi cho biết, hiện nay đang có hơn 80% người dùng Internet dùng chung mật khẩu trên nhiều nền tảng dịch vụ, thậm chí tất cả các nền tảng, điều này vô hình tạo kẽ hở cho hacker xâm nhập nhiều tài khoản khác nhau.
Cụ thể, theo nghiên cứu của F-Secure, hacker ăn cắp dữ liệu hàng loạt bằng công cụ tự động. Hàng tỷ bản ghi dữ liệu cá nhân bị ăn cắp từ các dịch vụ web mỗi năm. Thường hacker không nhắm cụ thể vào dữ liệu của một người nào vì mỗi lần xâm nhập thành công có thể lấy hàng triệu dữ liệu cá nhân, thậm chí còn nhiều hơn. Ví dụ trong năm 2021, dữ liệu cá nhân của hơn 500 ngàn tài khoản người dùng Facebook đã bị phát tán miễn phí trên DarkWeb.
Ví dụ chuỗi cung ứng của hacker hoạt động như sau: Tội phạm A ăn cắp danh tính của hàng nghìn người dùng từ cơ sở dữ liệu một dịch vụ mạng xã hội; rồi bán dữ liệu này cho tội phạm B trên Darkweb.
Sau khi ăn trộm thành công mật khẩu đăng nhập ở một trang web, hacker sẽ cố gắng đăng nhập vào càng nhiều nền tảng càng tốt. Theo đó hacker sẽ tìm tài khoản có cài thanh toán tự động và dữ liệu cá nhân có thể dùng để ăn cắp danh tính. Các tài khoản mua hàng online thường có các dữ liệu này để mua và giao hàng.
“Tiến trình này cũng tự động, không có kẻ tội phạm nào tốn thời gian ngồi bên máy tính nhập hàng triệu danh tính từng cái một vào một nền tảng dịch vụ. Có phần mềm lập trình riêng để làm việc này, rất nhanh. Nếu thông tin đăng nhập cũng dùng trên các nền tảng dịch vụ khác, tội phạm có thể truy cập vào chúng”, báo cáo của F-Secure nhấn mạnh.
Báo cáo minh họa, ví dụ chuỗi cung ứng của hacker hoạt động như sau: Tội phạm A ăn cắp danh tính của hàng nghìn người dùng từ cơ sở dữ liệu một dịch vụ mạng xã hội; rồi bán dữ liệu này cho tội phạm B trên Darkweb. Tội phạm B dùng phần mềm để đẩy 1 triệu tên người dùng và mật khẩu vào web bán hàng Amazon với tốc độ cực nhanh.
Tất nhiên không phải tất cả tài khoản đều đăng nhập được, nhưng theo của F-Secure, chỉ cần 1% trong đó đăng nhập được, tội phạm B mở khóa được 10.000 tài khoản, bạn có thể nằm trong số đó. Tội phạm B sau đó bán số thẻ tín dụng, tên, địa chỉ của bạn cho tội phạm C. Tội phạm C dùng thẻ tín dụng của bạn để mua thẻ quà tặng online, rồi bán lại thẻ cho người khác với giá rẻ hơn.
Theo F-Secure, mật khẩu có thể là mắt xích yếu nhưng nếu sử dụng đúng cách thì vẫn có thể bảo vệ được thông tin cá nhân online. Khi sử dụng mật khẩu khác nhau cho mỗi tài khoản online, hacker không thể xâm nhập vào tất cả các tài khoản sau khi ăn cắp được một mật khẩu.
Do vậy, mật khẩu phải đủ phức tạp, còn mật khẩu đơn giản có thể dễ dàng bị bẻ khóa. Mật khẩu càng dài càng bảo mật, có thể dùng một câu và dùng số thay cho một vài ký tự, và tốt nhất người dùng nên tạo mật khẩu khó nhớ được.
Ngoài ra người dùng Internet nên dùng xác thực 2 lớp - xác thực đa phương thức, tức là thêm một lần đăng nhập nữa vào tài khoản online cá nhân, như vân tay, mật mã dùng một lần gửi qua tin nhắn. Dùng cách này kể cả khi hacker ăn cắp mật khẩu thì vẫn phải dùng vân tay hoặc mật mã dùng một lần để lấy dữ liệu.