Nếu bạn vẫn tin rằng các câu hỏi bảo mật là một lớp phòng thủ vững chắc cho mật khẩu của mình, bạn có thể sẽ bất ngờ. Các tin tặc có những phương pháp tinh vi để tìm ra câu trả lời đó, và điều này thường dễ dàng hơn bạn nghĩ rất nhiều. Những rủi ro tiềm ẩn từ việc lộ các câu trả lời tưởng chừng vô hại này có thể dẫn đến hậu quả nghiêm trọng, đe dọa trực tiếp đến an toàn thông tin cá nhân và tài chính của bạn.
8. Trinh Sát Trên Mạng Xã Hội
Một người phụ nữ đang chỉ tay vào ứng dụng mạng xã hội trên điện thoại, minh họa việc hacker khai thác thông tin cá nhân từ mạng xã hội.
Mạng xã hội là một “mỏ vàng” cho bất kỳ ai muốn ráp nối câu chuyện cá nhân của bạn – và tin tặc biết rõ điều đó. Hầu hết mọi người thường xuyên chia sẻ các sự kiện quan trọng trong cuộc đời như sinh nhật, ngày kỷ niệm, tên thú cưng và trường học lên mạng mà không hề cảnh giác. Tuy nhiên, đối với một kẻ đang cố gắng phá vỡ câu hỏi bảo mật của bạn, đó không phải là ký ức đẹp mà là thông tin tình báo quý giá.
Ví dụ, nếu câu hỏi bảo mật của bạn là “Phim yêu thích của bạn là gì?”, chỉ cần hai lần cuộn qua tài khoản X (trước đây là Twitter) của bạn cũng có thể tiết lộ tình yêu bất diệt của bạn dành cho “Vua Sư Tử”. Hoặc có thể tiểu sử Instagram của bạn ghi “Mẹ của Max”, và đó chính là câu trả lời cho câu hỏi “Tên thú cưng đầu tiên của bạn là gì?”.
Kiểu trinh sát này không đòi hỏi công cụ phức tạp. Tất cả những gì một tin tặc cần là tên của bạn, hồ sơ của bạn, và một chút kiên nhẫn. Chúng sẽ đào sâu vào các bài đăng cũ, ảnh được gắn thẻ, và thậm chí cả những bình luận mà bạn bè của bạn để lại. Nếu cài đặt quyền riêng tư của bạn để mở rộng, bạn đang gián tiếp giao nộp câu trả lời.
Ngay cả tài khoản riêng tư cũng không an toàn hoàn toàn. Nếu một tin tặc tìm cách theo dõi bạn, có thể thông qua một hồ sơ giả mạo, các bài đăng của bạn sẽ trở nên dễ tiếp cận. Một bài đăng kỷ niệm vô hại có thể biến thành một chuỗi manh mối dẫn thẳng đến các tài khoản của bạn.
7. Sử Dụng Các Bài Trắc Nghiệm “Vui” Giả Mạo
Một bài trắc nghiệm về tên trên Facebook, minh họa hình thức lừa đảo thu thập thông tin cá nhân qua các ứng dụng giải trí.
Rất có thể bạn đã từng thấy các phiên bản của những bài trắc nghiệm vui vẻ trên mạng xã hội hỏi những câu như “Tên hoàng gia của bạn là gì?” hoặc “Chúng tôi có thể đoán tuổi của bạn dựa trên món ăn yêu thích không?”. Chúng thường được ngụy trang là vô hại, nhưng đây lại là một trong những lỗi riêng tư phổ biến nhất bạn có thể mắc phải trên mạng xã hội.
Tin tặc, hoặc ít nhất là những kẻ thu thập dữ liệu bất hợp pháp, sử dụng các bài trắc nghiệm này để thu thập chính xác loại thông tin cá nhân thường được liên kết với câu hỏi bảo mật. Chúng làm giảm cảnh giác của bạn bằng sự hài hước và tính cá nhân hóa để bạn quên mất rằng mình đang tự tay trao bản đồ dẫn đến danh tính số của mình.
6. Tìm Kiếm Thông Tin Trong Hồ Sơ Công Khai
Ảnh chụp màn hình trang web Chronicling America, minh họa cách thông tin cá nhân có thể bị khai thác từ các tài liệu công khai trực tuyến.
Đôi khi tin tặc không cần bất kỳ thủ thuật nào cả. Chúng chỉ đơn giản là sử dụng các hồ sơ công khai.
Giấy chứng nhận kết hôn, hồ sơ tài sản, đăng ký cử tri, và thậm chí cả những cuốn kỷ yếu cũ có thể là những nguồn thông tin phong phú cho các câu trả lời bảo mật. Các thông tin như tên thời con gái của mẹ bạn, địa chỉ thời thơ ấu, hoặc nơi sinh thường chỉ cách vài cú tìm kiếm.
Ví dụ, nếu câu hỏi bảo mật của bạn là “Bạn sinh ra ở thành phố nào?”, một thông báo khai sinh cũ có thể dễ dàng tiết lộ thông tin đó. Tương tự, giấy phép kết hôn có thể để lộ tên đệm của bố bạn.
Một tin tặc quyết tâm thậm chí không cần biết bạn cá nhân. Chúng chỉ cần tên của bạn và một chút kiên trì. Các hồ sơ công khai có thể bổ sung phần còn lại.
5. Rà Soát Các Bài Đăng Diễn Đàn Cũ
Bạn có thể nghĩ rằng các bài đăng diễn đàn cũ an toàn vì hầu hết các diễn đàn đều ẩn danh. Nhưng tin tặc biết rằng tính ẩn danh không phải là bất khả xâm phạm – đặc biệt khi mọi người vô tình để lại dấu vết.
Có thể bạn đã sử dụng một tên người dùng diễn đàn trùng với một phần địa chỉ email của mình. Có thể bạn đã đăng bài về quê hương, thú cưng đầu tiên, hoặc linh vật trường trung học của mình. Ngay cả những chi tiết nhỏ như năm bạn tốt nghiệp hoặc đội thể thao yêu thích của bạn cũng có thể bắt đầu kết nối các dấu chấm trở lại với bạn.
Điều này cũng không đòi hỏi kỹ năng hack. Một tin tặc kiên nhẫn có thể tìm kiếm các diễn đàn cũ, đối chiếu tên người dùng hoặc Google một vài từ khóa cùng với tên của bạn. Các diễn đàn mà bạn hầu như không nhớ đã tham gia vẫn có thể có kho lưu trữ công khai trôi nổi, lặng lẽ rò rỉ từng chút lịch sử cá nhân của bạn.
Tính ẩn danh có ích, nhưng nếu bạn để lại đủ “mẩu bánh mì”, các bài đăng cũ vẫn có thể phản bội bạn. Và khi tin tặc đang săn lùng câu trả lời cho các câu hỏi bảo mật của bạn, ngay cả manh mối nhỏ nhất cũng có thể là đủ.
4. Tận Dụng Dữ Liệu Rò Rỉ Từ Các Vụ Tấn Công Mạng
Ảnh chụp màn hình kết quả Have I Been Pwned, minh họa công cụ kiểm tra dữ liệu cá nhân bị rò rỉ trong các vụ tấn công mạng.
Các vụ rò rỉ dữ liệu giống như “kho báu” đối với tin tặc. Khi một trang web bị hack, không chỉ tên người dùng và mật khẩu bị rò rỉ. Đôi khi, cả câu trả lời cho câu hỏi bảo mật của bạn cũng bị lộ.
Ví dụ, giả sử bạn đã tạo một tài khoản trên một diễn đàn nhiều năm trước. Bạn đã sử dụng “Arsenal” làm câu trả lời cho câu hỏi “Đội thể thao yêu thích của bạn là gì?” và sau đó quên mất nó. Nếu trang web đó bị xâm phạm và các câu trả trả lời của bạn không được mã hóa, tin tặc có thể sử dụng thông tin đó để truy cập vào các tài khoản quan trọng của bạn ngay hôm nay.
Việc tái sử dụng câu trả lời bảo mật trên nhiều trang web cũng nguy hiểm như việc tái sử dụng mật khẩu. Khi thông tin của bạn đã bị lộ, tin tặc sẽ sử dụng các công cụ chuyên biệt để đối chiếu chúng. Hãy sử dụng một công cụ như Have I Been Pwned để kiểm tra xem dữ liệu của bạn có bị phơi bày hay không. Và luôn coi câu trả lời bảo mật như mật khẩu dùng một lần: phải là duy nhất cho mỗi tài khoản.
3. Tạo Các Cuộc Trò Chuyện Hỗ Trợ Giả Mạo
Phương pháp này tinh vi hơn nhưng cực kỳ hiệu quả: các cuộc trò chuyện hỗ trợ khách hàng giả mạo.
Nó thường bắt đầu bằng một email, tin nhắn trực tiếp (DM), hoặc cửa sổ pop-up nhái theo ngân hàng, nhà cung cấp email, hoặc cửa hàng yêu thích của bạn. Đại diện hỗ trợ giả mạo sẽ yêu cầu bạn xác nhận danh tính bằng cách trả lời các câu hỏi bảo mật.
Những cuộc trò chuyện giả mạo này thường sao chép thương hiệu, ngôn ngữ, và thậm chí cả thời điểm, ví dụ như trong một đợt mất dịch vụ thật của trang web. Và vì chúng mang tính cá nhân, bạn có nhiều khả năng tuân thủ nhanh chóng mà không suy nghĩ. Một khi bạn cung cấp những câu trả lời đó, tin tặc có thể truy cập vào tài khoản của bạn bằng cách đặt lại thông tin đăng nhập.
Quy tắc vàng ở đây rất đơn giản. Đại diện hỗ trợ hợp pháp sẽ không bao giờ yêu cầu câu hỏi bảo mật của bạn qua trò chuyện, email hoặc tin nhắn trực tiếp. Nếu bạn nhận được yêu cầu như vậy, hãy đóng cuộc trò chuyện và xác minh trực tiếp thông qua trang web chính thức.
2. Lừa Bạn Bè Của Bạn Chia Sẻ Thông Tin
Tin tặc biết rằng ngay cả khi bạn cẩn trọng, bạn bè của bạn có thể không như vậy. Việc lấy được thông tin cá nhân bằng cách lừa những người bạn tin tưởng là điều đáng ngạc nhiên.
Đôi khi nó bắt đầu bằng một hồ sơ giả mạo giả vờ là một bạn học cũ hoặc một người bạn chung. Chúng len lỏi vào các cuộc trò chuyện, hỏi về “những ngày xưa tươi đẹp”, hoặc bắt đầu một trò chơi có vẻ vô hại. Trước khi bạn bè của bạn nhận ra, họ đã vô tình nhắc đến nơi bạn lớn lên, tên thú cưng thời thơ ấu, hoặc thậm chí là giáo viên yêu thích của bạn.
Ngay cả một bài đăng Facebook hoài niệm đơn giản cũng có thể tiết lộ quá nhiều. Một người bạn gắn thẻ bạn trong một bức ảnh kỷ yếu cũ hoặc đùa cợt về chiếc xe đầu tiên của bạn cũng có thể cung cấp chính xác những gì tin tặc cần, mà bạn không cần phải gõ một từ nào.
Đây là một chiến thuật lén lút vì nó cảm thấy rất tự nhiên. Bạn bè tin tưởng lẫn nhau. Tin tặc lợi dụng sự tin tưởng đó để tự mình thực hiện việc đào bới thông tin. Nếu bạn nghiêm túc về bảo mật, hãy nhắc nhở những người thân cận của bạn cũng nên cẩn trọng.
1. Đoán Câu Trả Lời Phổ Biến
Một người đang sử dụng máy tính xách tay với cảnh báo bảo mật, minh họa rủi ro khi hacker cố gắng đoán các câu hỏi bảo mật phổ biến.
Đôi khi, tin tặc thậm chí không cần phải rình mò. Chúng chỉ cần đoán, và không may là chúng thường đúng.
Các câu hỏi như “Màu sắc yêu thích của bạn là gì?” thường dẫn đến những câu trả lời dễ đoán như xanh dương. Tên thú cưng thường là Max, Bella hoặc Lucky. Ngay cả câu “Tên thời con gái của mẹ bạn” cũng thường dẫn đến các họ phổ biến như Nguyễn, Trần, Lê. Những câu trả lời khác cũng dễ đoán tương tự: Rất nhiều người trả lời “Kỳ nghỉ mơ ước” là “Paris” chẳng hạn.
Tin tặc đôi khi tự động hóa việc đoán này, lặp đi lặp lại các câu trả lời phổ biến nhất cho đến khi chúng gặp may. Nếu không có các biện pháp bảo vệ mạnh mẽ của trang web như khóa tài khoản sau nhiều lần thử sai, chúng có thể chỉ cần vài lần thử.
Bài học rút ra rất đơn giản. Hãy coi câu trả lời cho câu hỏi bảo mật như mật khẩu. Đừng chọn sự thật nếu sự thật quá dễ đoán. Hãy biến nó thành một cụm mật khẩu, một cái gì đó vô nghĩa, hoặc tốt hơn hết, hãy sử dụng trình quản lý mật khẩu để lưu trữ các câu trả lời ngẫu nhiên.
Các câu hỏi bảo mật có thể cảm thấy như một lớp dự phòng vô hại, nhưng đối với một tin tặc, chúng là một cánh cửa phụ không khóa. Tin tặc không phải lúc nào cũng cần đột nhập bằng vũ lực. Đôi khi chúng chỉ đơn giản là bước vào bằng cách sử dụng những thông tin chi tiết mà bạn đã vô tình để lại.
