Các vụ rò rỉ dữ liệu và chiếm đoạt tài khoản ngày càng có dấu hiệu gia tăng, nhiều người dùng vẫn cho rằng chỉ những mật khẩu yếu hoặc các cuộc tấn công dò quét tự động mới khiến tài khoản bị xâm nhập. Tuy nhiên, thực tế cho thấy một mối đe dọa nguy hiểm hơn đang âm thầm hoạt động trên máy tính của nạn nhân, đó chính là phần mềm ghi lại thao tác bàn phím, hay còn gọi là Keylogger.
Các chuyên gia an ninh mạng cảnh báo rằng chỉ một lần thiết bị bị nhiễm mã độc, toàn bộ thông tin đăng nhập từ email, mạng xã hội cho đến tài khoản quản trị website có thể bị thu thập và gửi thẳng tới tay kẻ tấn công.
Các chuyên gia an ninh mạng cảnh báo rằng chỉ một lần thiết bị bị nhiễm mã độc, toàn bộ thông tin đăng nhập từ email, mạng xã hội cho đến tài khoản quản trị website có thể bị thu thập và gửi thẳng tới tay kẻ tấn công.
Dấu hiệu bất thường từ các yêu cầu đăng nhập
Trong quá trình theo dõi hoạt động bảo mật của một website, các nhà nghiên cứu đã phát hiện những yêu cầu đăng nhập đáng ngờ xuất hiện từ địa chỉ IP nước ngoài.
Các bản ghi cho thấy yêu cầu truy cập được gửi trực tiếp tới trang đăng nhập quản trị WordPress, kèm theo đầy đủ tên đăng nhập và mật khẩu hợp lệ. Đáng chú ý, những thông tin này không phải kết quả của quá trình dò quét hay tấn công brute-force thông thường mà dường như đã được thu thập trước đó và được sử dụng để xác minh khả năng truy cập tài khoản.
Việc xuất hiện các phiên đăng nhập từ địa chỉ IP ở nước ngoài là dấu hiệu cho thấy thông tin xác thực có thể đã bị đánh cắp và đang được tin tặc kiểm tra tính hợp lệ trước khi tiếp tục khai thác hoặc chiếm quyền kiểm soát tài khoản.
Các bản ghi cho thấy yêu cầu truy cập được gửi trực tiếp tới trang đăng nhập quản trị WordPress, kèm theo đầy đủ tên đăng nhập và mật khẩu hợp lệ. Đáng chú ý, những thông tin này không phải kết quả của quá trình dò quét hay tấn công brute-force thông thường mà dường như đã được thu thập trước đó và được sử dụng để xác minh khả năng truy cập tài khoản.
Việc xuất hiện các phiên đăng nhập từ địa chỉ IP ở nước ngoài là dấu hiệu cho thấy thông tin xác thực có thể đã bị đánh cắp và đang được tin tặc kiểm tra tính hợp lệ trước khi tiếp tục khai thác hoặc chiếm quyền kiểm soát tài khoản.
Keylogger hoạt động như thế nào?
Theo phân tích của các chuyên gia, nhiều khả năng máy tính của chủ tài khoản đã từng bị nhiễm phần mềm Keylogger trong một khoảng thời gian trước đó. Keylogger là một dạng mã độc được thiết kế để ghi lại mọi thao tác gõ phím trên thiết bị của nạn nhân. Khi hoạt động trong nền hệ thống, chương trình này có thể thu thập:
- Tên đăng nhập và mật khẩu
- Mã xác thực hoặc câu hỏi bảo mật
- Nội dung thư điện tử
- Thông tin thanh toán trực tuyến
- Dữ liệu cá nhân và tài liệu nhạy cảm
Điểm nguy hiểm nằm ở chỗ phần mềm thường hoạt động rất kín đáo, không gây ra biểu hiện rõ ràng khiến người dùng khó nhận biết thiết bị đã bị xâm nhập.
Sau khi thu thập đủ dữ liệu, Keylogger sẽ tự động gửi thông tin về máy chủ điều khiển của kẻ tấn công. Tin tặc sau đó sử dụng các thông tin này để đăng nhập vào các dịch vụ trực tuyến, kiểm tra quyền truy cập hoặc thực hiện các hành vi đánh cắp dữ liệu và tài sản số.
Sau khi thu thập đủ dữ liệu, Keylogger sẽ tự động gửi thông tin về máy chủ điều khiển của kẻ tấn công. Tin tặc sau đó sử dụng các thông tin này để đăng nhập vào các dịch vụ trực tuyến, kiểm tra quyền truy cập hoặc thực hiện các hành vi đánh cắp dữ liệu và tài sản số.
Không chỉ mất mật khẩu
Nhiều người cho rằng việc lộ mật khẩu chỉ ảnh hưởng đến một tài khoản riêng lẻ. Tuy nhiên, hậu quả thực tế thường nghiêm trọng hơn rất nhiều.
Nếu người dùng sử dụng cùng một mật khẩu cho nhiều dịch vụ khác nhau, chỉ cần một lần thông tin bị đánh cắp, kẻ tấn công có thể lần lượt truy cập email, tài khoản mạng xã hội, dịch vụ lưu trữ đám mây, hệ thống ngân hàng trực tuyến hoặc thậm chí các nền tảng quản trị doanh nghiệp.
Nếu người dùng sử dụng cùng một mật khẩu cho nhiều dịch vụ khác nhau, chỉ cần một lần thông tin bị đánh cắp, kẻ tấn công có thể lần lượt truy cập email, tài khoản mạng xã hội, dịch vụ lưu trữ đám mây, hệ thống ngân hàng trực tuyến hoặc thậm chí các nền tảng quản trị doanh nghiệp.
Trong nhiều trường hợp, email bị chiếm quyền kiểm soát sẽ trở thành "chìa khóa vạn năng" giúp tin tặc đặt lại mật khẩu của hàng loạt tài khoản khác, mở rộng phạm vi tấn công mà nạn nhân khó có thể kiểm soát kịp thời.
Cách bảo vệ tài khoản trước nguy cơ Keylogger
Để giảm thiểu rủi ro từ các phần mềm ghi bàn phím và các hình thức đánh cắp thông tin xác thực, chuyên gia khuyến nghị người dùng thực hiện đồng thời nhiều biện pháp bảo vệ:
Kiểm tra và làm sạch thiết bị
Ngay khi phát hiện dấu hiệu đăng nhập bất thường, cần tiến hành quét toàn bộ hệ thống bằng phần mềm bảo mật uy tín để phát hiện các tiến trình hoặc chương trình khả nghi.
Nếu không thể xác định chắc chắn mã độc đã được loại bỏ hoàn toàn, người dùng nên sao lưu dữ liệu quan trọng và cài đặt lại hệ điều hành nhằm đảm bảo môi trường sử dụng sạch và an toàn.
Nếu không thể xác định chắc chắn mã độc đã được loại bỏ hoàn toàn, người dùng nên sao lưu dữ liệu quan trọng và cài đặt lại hệ điều hành nhằm đảm bảo môi trường sử dụng sạch và an toàn.
Thay đổi toàn bộ mật khẩu
Việc đổi mật khẩu phải được thực hiện trên một thiết bị đã được xác nhận an toàn, không sử dụng máy tính nghi ngờ nhiễm mã độc. Mỗi tài khoản cần được đặt mật khẩu riêng biệt, có độ dài đủ lớn và kết hợp nhiều loại ký tự để hạn chế nguy cơ bị tái sử dụng thông tin đăng nhập.
Kích hoạt xác thực đa yếu tố (MFA)
Xác thực đa yếu tố là một trong những lớp bảo vệ hiệu quả nhất hiện nay. Ngay cả khi mật khẩu bị lộ, kẻ tấn công vẫn cần thêm mã xác minh hoặc khóa bảo mật vật lý để hoàn tất quá trình đăng nhập.
Người dùng nên ưu tiên sử dụng ứng dụng xác thực hoặc khóa bảo mật chuyên dụng thay vì chỉ dựa vào tin nhắn SMS.
Người dùng nên ưu tiên sử dụng ứng dụng xác thực hoặc khóa bảo mật chuyên dụng thay vì chỉ dựa vào tin nhắn SMS.
Hạn chế lưu mật khẩu trên trình duyệt
Mặc dù tiện lợi, việc lưu trữ mật khẩu trên trình duyệt không phải lúc nào cũng an toàn trước các loại mã độc đánh cắp thông tin. Các chuyên gia khuyến nghị sử dụng trình quản lý mật khẩu chuyên dụng từ những nhà cung cấp uy tín và kích hoạt thêm lớp xác thực đa yếu tố cho chính công cụ quản lý này.
Thường xuyên kiểm tra lịch sử đăng nhập
Nhiều nền tảng hiện nay cho phép người dùng xem lịch sử đăng nhập và danh sách thiết bị đã được cấp quyền truy cập. Việc kiểm tra định kỳ giúp phát hiện sớm các hoạt động bất thường, từ đó nhanh chóng đăng xuất khỏi các phiên làm việc đáng ngờ và thay đổi thông tin xác thực trước khi thiệt hại xảy ra.
Duy trì thói quen sử dụng an toàn
Người dùng cần tránh tải phần mềm từ nguồn không rõ ràng, không mở các tệp đính kèm hoặc liên kết đáng ngờ và luôn cập nhật hệ điều hành, trình duyệt cùng các phần mềm bảo mật lên phiên bản mới nhất.
Mối đe dọa âm thầm nhưng rất thực tế
Không giống những cuộc tấn công ồn ào làm gián đoạn hệ thống, Keylogger hoạt động âm thầm trong thời gian dài, thu thập từng ký tự người dùng nhập vào mà không để lại nhiều dấu vết. Chính sự kín đáo này khiến loại mã độc trở thành công cụ được nhiều nhóm tội phạm mạng ưa chuộng để đánh cắp tài khoản và dữ liệu nhạy cảm.
Việc xuất hiện các phiên đăng nhập trái phép từ nước ngoài có thể chỉ là dấu hiệu bề nổi của một quá trình theo dõi kéo dài trước đó. Vì vậy, bên cạnh việc sử dụng mật khẩu mạnh, người dùng cần chủ động bảo vệ thiết bị, kích hoạt xác thực đa yếu tố và thường xuyên rà soát các hoạt động đăng nhập để giảm thiểu nguy cơ trở thành nạn nhân của những cuộc tấn công đánh cắp thông tin xác thực.
Việc xuất hiện các phiên đăng nhập trái phép từ nước ngoài có thể chỉ là dấu hiệu bề nổi của một quá trình theo dõi kéo dài trước đó. Vì vậy, bên cạnh việc sử dụng mật khẩu mạnh, người dùng cần chủ động bảo vệ thiết bị, kích hoạt xác thực đa yếu tố và thường xuyên rà soát các hoạt động đăng nhập để giảm thiểu nguy cơ trở thành nạn nhân của những cuộc tấn công đánh cắp thông tin xác thực.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
