Bằng cách sử dụng các thủ thuật đơn giản, tin tặc có thể tìm hiểu về những thông tin cá nhân của bạn. Biết về các kỹ thuật hack phổ biến như phishing, DDoS, clickjacking,… có thể sẽ hữu ích cho sự an toàn cá nhân của bạn.
Top 10 kỹ thuật hack phổ biến nhất mà bạn nên biết
1. Bait and Switch
Sử dụng kỹ thuật hack Bait and Switch, kẻ tấn công có thể mua các chỗ quảng cáo trên các trang web. Sau đó, khi người dùng nhấp vào quảng cáo, họ có thể được chuyển hướng đến một trang bị nhiễm phần mềm độc hại. Bằng cách này, người dùng có thể cài đặt thêm phần mềm độc hại hoặc phần mềm quảng cáo vào máy tính của mình. Các quảng cáo và liên kết tải xuống được hiển thị trong kỹ thuật này rất hấp dẫn và nhiều khả năng là người dùng sẽ nhấp vào.
Tin tặc có thể chạy một chương trình độc hại mà người dùng tin là an toàn. Bằng cách này, sau khi cài đặt chương trình độc hại vào máy tính của bạn, tin tặc sẽ có quyền truy cập vào máy tính của bạn.
2. Đánh cắp cookie
Các cookie trong trình duyệt của chúng ta lưu trữ các dữ liệu cá nhân như lịch sử duyệt web, tên người dùng và mật khẩu cho các trang web khác nhau mà chúng ta đã truy cập. Sau khi tin tặc truy cập vào cookie của bạn, chúng có thể truy cập các tài khoản của bạn trên trình duyệt. Một phương pháp phổ biến để thực hiện cuộc tấn công này là thao túng các gói IP của người dùng để chuyển qua máy của kẻ tấn công.
Còn được gọi là SideJacking hoặc Session Hijacking, cuộc tấn công này rất dễ thực hiện nếu người dùng không sử dụng SSL (HTTPS) cho toàn bộ phiên duyệt web. Trên các trang web mà bạn nhập mật khẩu và chi tiết dữ liệu ngân hàng của mình, điều quan trọng nhất là kết nối của bạn và trang web phải được mã hóa.
3. Tấn công ClickJacking
ClickJacking còn được biết đến với một cái tên khác là UI Redress. Trong cuộc tấn công này, tin tặc ẩn giao diện người dùng thực tế mà nạn nhân sẽ tương tác. Hành vi này rất phổ biến trên các trang web tải ứng dụng, phát trực tuyến phim và torrent. Mặc dù chúng chủ yếu sử dụng kỹ thuật này để kiếm tiền quảng cáo, nhưng những kẻ khác có thể sử dụng nó để lấy cắp thông tin cá nhân của bạn.
Nói cách khác, trong kiểu tấn công này, tin tặc sẽ đánh lừa người dùng nhấp chuột vô ý vào một đối tượng trên website. Khi nhấp chuột vào một đối tượng trên màn hình, người dùng nghĩ là mình đang click vào đối tượng đó nhưng thực chất họ đang bị lừa click vào một đối tượng khác, đã bị làm mờ hay ẩn đi.
4. Virus, Trojan,…
Virus hoặc Trojan là các chương trình phần mềm độc hại được cài đặt vào hệ thống của nạn nhân và gửi dữ liệu của nạn nhân cho tin tặc. Chúng cũng có thể khóa tệp của bạn, phân phát quảng cáo, chuyển hướng lưu lượng truy cập, đánh cắp dữ liệu của bạn hoặc lây lan sang tất cả các máy tính được kết nối với mạng của bạn.
Bạn có thể đọc bài viết này để biết thêm thông tin về Trojan, Worm và Virus.
5. Phishing
Phishing là một kỹ thuật tấn công bằng cách sao chép các trang web được truy cập nhiều nhất và bẫy nạn nhân bằng cách gửi liên kết giả mạo đó. Kết hợp với social engineering, nó trở thành một trong những vectơ tấn công thường được sử dụng nhất và nguy hiểm nhất.
Khi nạn nhân cố gắng đăng nhập hoặc nhập một số dữ liệu, tin tặc sẽ lấy thông tin cá nhân của nạn nhân bằng cách sử dụng trojan đang chạy trên trang web giả mạo. Lừa đảo tài khoản iCloud và Gmail là các dịch vụ được các tin tặc nhắm vào vụ trong rò rỉ “Fappening”, liên quan đến nhiều nữ minh tinh Hollywood.
6. Nghe lén (Tấn công bị động)
Không giống như các cuộc tấn công khác có bản chất là chủ động, sử dụng một cuộc tấn công bị động, một hacker có thể giám sát hệ thống máy tính và mạng để thu được một số thông tin của nạn nhân.
Động cơ đằng sau việc nghe trộm không phải là làm hại hệ thống mà là để lấy một số thông tin không xác định. Những loại tin tặc này có thể nhắm mục tiêu vào email, dịch vụ nhắn tin tức thời, cuộc gọi điện thoại, duyệt web và các phương thức liên lạc khác. Những người tham gia vào các hoạt động như vậy thường là tin tặc mũ đen, các cơ quan chính phủ,…
7. Giả mạo WAP
Một tin tặc có thể sử dụng phần mềm để giả mạo một điểm truy cập không dây. WAP (điểm truy cập không dây) này kết nối với WAP công cộng. Sau khi bạn kết nối với WAP giả mạo, tin tặc có thể truy cập dữ liệu của bạn, giống như trường hợp ở trên.
Đây là một trong những thủ thuật dễ thực hiện nhất và cần một phần mềm đơn giản và mạng không dây để thực hiện. Bất kỳ ai cũng có thể đặt tên cho WAP dưới dạng một số cái tên an toàn như “WiFi Sân bay” hoặc “WiFi Starbucks”. Một trong những cách tốt nhất để bảo vệ bạn khỏi các cuộc tấn công như vậy là sử dụng các dịch vụ VPN chất lượng.
8. Các cuộc tấn công vật lý
Để khai thác một nơi, tin tặc tấn công vào điểm vật lý dễ tiếp cận nhất của nạn nhân.
Ví dụ, nếu nguồn của một con sông bị nhiễm độc, nó sẽ ảnh hưởng đến toàn bộ động vật dưới hạ nguồn. Theo cách tương tự, tin tặc nhắm mục tiêu vào vị trí vật lý được truy cập nhiều nhất để tấn công nạn nhân. Điểm đó có thể là một quán cà phê, thư viện,….
Khi tin tặc biết được thời gian của bạn, chúng có thể sử dụng kiểu tấn công này để tạo điểm truy cập Wi-Fi giả. Và chúng có thể giả mạo trang web được bạn truy cập nhiều nhất để lấy thông tin cá nhân của bạn. Cuộc tấn công này thu thập thông tin về người dùng từ một nơi cụ thể, việc phát hiện kẻ tấn công thậm chí còn khó hơn. Một trong những cách tốt nhất để tự bảo vệ mình trước các loại tấn công như vậy là tuân theo các phương pháp bảo mật cơ bản và cập nhật phần mềm/hệ điều hành của bạn.
9. Từ chối dịch vụ (DoS/DDoS)
Tấn công từ chối dịch vụ là một kỹ thuật tấn công nhằm hạ gục một trang web hoặc máy chủ bằng cách làm tràn băng thông trang web hoặc máy chủ đó với một lượng lớn lưu lượng truy cập để máy chủ không thể xử lý tất cả các yêu cầu trong thời gian thực và cuối cùng bị sập.
Trong kỹ thuật này, kẻ tấn công làm tràn server mục tiêu với hàng tấn yêu cầu để áp đảo tài nguyên, do đó, hạn chế các yêu cầu thực tế được thực hiện.
Đối với các cuộc tấn công DDoS, tin tặc thường triển khai mạng botnet chỉ có một nhiệm vụ, đó là làm tràn hệ thống của bạn bằng các gói yêu cầu. Mỗi năm trôi qua, khi phần mềm độc hại và các loại tin tặc không ngừng phát triển, quy mô của các cuộc tấn công DDoS cũng không ngừng tăng lên.
10. Keylogger
Keylogger là một phần mềm đơn giản ghi lại các thao tác trên bàn phím vào một tệp nhật ký trên máy của bạn. Các tệp nhật ký này thậm chí có thể chứa ID và mật khẩu email cá nhân của bạn. Còn được gọi là chụp bàn phím, nó có thể là phần mềm hoặc phần cứng.
Keylogger là một trong những lý do chính khiến các trang ngân hàng trực tuyến cung cấp cho bạn tùy chọn sử dụng bàn phím ảo của họ. Vì vậy, bất cứ khi nào bạn đang chạy máy tính trong môi trường công cộng, hãy cố gắng hết sức thận trọng.