Nếu bạn tin rằng các câu hỏi bảo mật là một lớp phòng thủ vững chắc cho mật khẩu, bạn có thể sẽ bất ngờ. Các tin tặc luôn có những cách thức tinh vi để khám phá những câu trả lời đó, và thường dễ dàng hơn bạn tưởng rất nhiều. Với vai trò là chuyên gia SEO và biên tập viên tại meocongnghe.com, chúng tôi sẽ đi sâu vào những kỹ thuật này để giúp bạn nhận diện và bảo vệ thông tin cá nhân của mình hiệu quả hơn.
1. Theo dõi Mạng Xã Hội (Social Media Snooping)
Mạng xã hội là một mỏ vàng thông tin cho bất kỳ ai muốn thu thập câu chuyện cá nhân của bạn – và tin tặc biết điều đó. Hầu hết mọi người vô tư chia sẻ các sự kiện quan trọng trong đời lên mạng, như ngày sinh nhật, ngày kỷ niệm, tên thú cưng hay trường học. Tuy nhiên, đối với một kẻ muốn vượt qua câu hỏi bảo mật của bạn, đó không phải là hoài niệm. Đó chính là thông tin tình báo.
Người phụ nữ chỉ tay vào ứng dụng mạng xã hội, ám chỉ nguy cơ lộ thông tin cá nhân khi trả lời câu hỏi bảo mật
Ví dụ, nếu câu hỏi bảo mật của bạn là “Bộ phim yêu thích của bạn là gì?”. Chỉ cần hai lần cuộn qua tài khoản X (Twitter cũ) của bạn là đã có thể tiết lộ tình yêu bất diệt của bạn dành cho “Vua Sư Tử”. Hoặc có thể phần giới thiệu (bio) trên Instagram của bạn ghi “Mẹ của Max (chó)”, và đó chính là câu trả lời cho câu hỏi “Tên thú cưng đầu tiên của bạn là gì?”.
Kiểu theo dõi này không đòi hỏi công cụ phức tạp. Tất cả những gì một tin tặc cần là tên của bạn, hồ sơ của bạn và một chút kiên nhẫn. Chúng sẽ đào sâu các bài đăng cũ, ảnh được gắn thẻ, và thậm chí cả bình luận của bạn bè. Nếu cài đặt quyền riêng tư của bạn để mở công khai, bạn thực chất đang tự tay trao đáp án cho kẻ gian.
Ngay cả tài khoản riêng tư cũng không hoàn toàn an toàn. Nếu một tin tặc thành công theo dõi bạn, có thể thông qua một hồ sơ giả mạo, các bài đăng của bạn sẽ trở nên dễ tiếp cận. Một bài đăng kỷ niệm vô hại có thể biến thành dấu vết dẫn thẳng đến các tài khoản quan trọng của bạn.
2. Bẫy Qua Các Bài Quiz “Vui Vẻ” (Fake “Fun” Quizzes)
Rất có thể bạn đã từng thấy một phiên bản của những bài kiểm tra vui nhộn trên mạng xã hội với những câu hỏi như “Tên hoàng gia của bạn là gì?” hay “Chúng tôi có thể đoán tuổi của bạn dựa trên món ăn yêu thích không?”. Chúng thường được ngụy trang như những trò giải trí vô hại, nhưng đây lại là một trong những lỗi riêng tư phổ biến nhất bạn có thể mắc phải trên mạng xã hội.
Bài kiểm tra vui trên Facebook có thể là công cụ thu thập dữ liệu cho hacker
Tin tặc, hoặc ít nhất là những kẻ thu thập dữ liệu đáng ngờ, sử dụng các bài quiz này để thu thập chính xác loại thông tin cá nhân thường được liên kết với các câu hỏi bảo mật. Chúng hạ thấp cảnh giác của bạn bằng sự hài hước và cá nhân hóa, khiến bạn quên rằng mình đang thực chất trao một bản đồ dẫn đến danh tính số của mình.
3. Khai Thác Hồ Sơ Công Khai (Public Records)
Đôi khi tin tặc không cần bất kỳ mánh khóe nào. Chúng chỉ đơn giản sử dụng các hồ sơ công khai.
Giấy chứng nhận kết hôn, hồ sơ tài sản, đăng ký cử tri, và thậm chí cả kỷ yếu cũ đều có thể là nguồn thông tin phong phú để trả lời các câu hỏi bảo mật. Những thông tin như họ thời con gái của mẹ bạn, địa chỉ thời thơ ấu, hoặc nơi sinh thường chỉ cách vài cú tìm kiếm.
Trang web Chronicling America hiển thị hồ sơ công khai có thể bị hacker khai thác
Ví dụ, nếu câu hỏi bảo mật của bạn là “Thành phố bạn sinh ra là gì?”, một thông báo sinh cũ có thể dễ dàng tiết lộ điều đó. Tương tự, giấy phép kết hôn có thể tiết lộ tên đệm của bố bạn. Một tin tặc quyết tâm thậm chí không cần biết bạn cá nhân. Chúng chỉ cần tên của bạn và một chút kiên trì. Hồ sơ công khai có thể cung cấp phần còn lại.
4. Lục Lọi Bài Đăng Diễn Đàn Cũ (Old Forum Posts)
Bạn có thể nghĩ rằng các bài đăng trên diễn đàn cũ là an toàn vì hầu hết các diễn đàn đều ẩn danh. Nhưng tin tặc biết rằng tính ẩn danh không phải là bất khả xâm phạm – đặc biệt khi mọi người vô tình để lại dấu vết.
Có thể bạn đã sử dụng một tên người dùng (handle) trên diễn đàn trùng khớp với một phần địa chỉ email của bạn. Hoặc bạn đã đăng bài về quê hương, thú cưng đầu tiên, hoặc linh vật trường trung học của mình. Ngay cả những chi tiết nhỏ như năm bạn tốt nghiệp hoặc đội thể thao yêu thích cũng có thể bắt đầu kết nối các mảnh ghép trở lại với bạn.
Điều này cũng không đòi hỏi kỹ năng hack. Một tin tặc kiên nhẫn có thể tìm kiếm các diễn đàn cũ, đối chiếu tên người dùng, hoặc Google một vài từ khóa cùng với tên của bạn. Các diễn đàn mà bạn hầu như không nhớ đã tham gia có thể vẫn có các kho lưu trữ công khai, lặng lẽ rò rỉ các phần lịch sử cá nhân của bạn.
Tính ẩn danh có giúp ích, nhưng nếu bạn đã để lại đủ dấu vết, các bài đăng cũ vẫn có thể “phản bội” bạn. Và khi tin tặc đang săn lùng câu trả lời cho các câu hỏi bảo mật của bạn, ngay cả manh mối nhỏ nhất cũng có thể là đủ.
5. Tận Dụng Dữ Liệu Rò Rỉ Từ Các Trang Khác (Using Leaked Data)
Các vụ rò rỉ dữ liệu giống như “trúng số độc đắc” đối với tin tặc. Khi một trang web bị tấn công, không chỉ tên người dùng và mật khẩu bị rò rỉ. Đôi khi, cả câu trả lời cho câu hỏi bảo mật của bạn cũng bị lộ.
Ví dụ, giả sử bạn đã tạo một tài khoản trên một diễn đàn từ nhiều năm trước. Bạn đã sử dụng “Arsenal” làm câu trả lời cho câu hỏi “Đội thể thao yêu thích của bạn là gì?” và sau đó quên bẵng đi. Nếu trang web đó bị tấn công và câu trả lời của bạn không được mã hóa, tin tặc có thể sử dụng thông tin đó để truy cập các tài khoản quan trọng của bạn ngày hôm nay.
Việc tái sử dụng câu trả lời bảo mật giữa các trang web cũng nguy hiểm như việc tái sử dụng mật khẩu. Một khi thông tin của bạn đã lộ ra ngoài, tin tặc sẽ sử dụng các công cụ chuyên dụng để đối chiếu. Hãy sử dụng một công cụ như Have I Been Pwned để kiểm tra xem dữ liệu của bạn có bị lộ không. Và luôn coi câu trả lời bảo mật như mật khẩu dùng một lần: độc đáo cho mỗi tài khoản.
Kết quả kiểm tra rò rỉ dữ liệu trên Have I Been Pwned, cảnh báo tài khoản bị lộ
6. Giả Mạo Cuộc Trò Chuyện Hỗ Trợ (Creating Fake Support Chats)
Kỹ thuật này tinh vi hơn nhưng cực kỳ hiệu quả: các cuộc trò chuyện hỗ trợ khách hàng giả mạo.
Nó thường bắt đầu bằng một email, tin nhắn trực tiếp (DM), hoặc cửa sổ pop-up giả mạo ngân hàng, nhà cung cấp email, hoặc cửa hàng yêu thích của bạn. Đại diện hỗ trợ giả mạo sẽ yêu cầu bạn xác nhận danh tính bằng cách trả lời các câu hỏi bảo mật.
Những cuộc trò chuyện giả mạo này thường sao chép thương hiệu, ngôn ngữ, và thậm chí cả thời gian, ví dụ, trong thời gian trang web thực sự bị gián đoạn. Và bởi vì chúng tạo cảm giác cá nhân, bạn có nhiều khả năng tuân thủ nhanh chóng mà không suy nghĩ. Một khi bạn trao những câu trả lời đó, tin tặc có thể truy cập tài khoản của bạn bằng cách đặt lại thông tin đăng nhập.
Quy tắc vàng ở đây rất đơn giản: Đại diện hỗ trợ hợp pháp sẽ không bao giờ yêu cầu các câu hỏi bảo mật của bạn qua trò chuyện, email, hoặc tin nhắn trực tiếp. Nếu bạn nhận được yêu cầu như vậy, hãy đóng cuộc trò chuyện và xác minh trực tiếp qua trang web chính thức.
7. Lợi Dụng Lòng Tin Từ Bạn Bè (Tricking Your Friends Into Sharing Details)
Tin tặc biết rằng ngay cả khi bạn cẩn trọng, bạn bè của bạn có thể không như vậy. Việc lấy được thông tin cá nhân bằng cách lừa những người bạn tin tưởng là điều đáng ngạc nhiên.
Đôi khi, nó bắt đầu bằng một hồ sơ giả mạo tự nhận là một người bạn học cũ hoặc bạn chung. Chúng len lỏi vào các cuộc trò chuyện, hỏi về “những ngày xưa tươi đẹp,” hoặc bắt đầu một trò chơi có vẻ vô hại. Trước khi bạn của bạn kịp nhận ra, họ đã vô tình tiết lộ nơi bạn lớn lên, tên thú cưng thời thơ ấu của bạn, hoặc thậm chí là giáo viên yêu thích của bạn.
Ngay cả một bài đăng Facebook hoài niệm đơn giản cũng có thể tiết lộ quá nhiều. Một người bạn gắn thẻ bạn trong một bức ảnh kỷ yếu cũ hoặc đùa cợt về chiếc xe đầu tiên của bạn có thể cung cấp chính xác những gì tin tặc cần, mà không cần bạn phải gõ một từ nào.
Đây là một chiến thuật lén lút vì nó tạo cảm giác rất tự nhiên. Bạn bè tin tưởng lẫn nhau. Tin tặc lợi dụng lòng tin đó để thực hiện việc khai thác thông tin thay cho chúng. Nếu bạn nghiêm túc về bảo mật, hãy nhắc nhở những người thân thiết của mình cũng nên thận trọng.
8. Đoán Câu Trả Lời Phổ Biến (Guessing Common Answers)
Đôi khi, tin tặc thậm chí không cần phải theo dõi. Chúng chỉ đơn giản là đoán, và thật không may, chúng thường đoán đúng.
Người dùng laptop đối mặt với cảnh báo bảo mật, nhấn mạnh rủi ro từ việc đoán câu trả lời
Các câu hỏi như “Màu sắc yêu thích của bạn là gì?” dẫn đến những câu trả lời dễ đoán như “xanh lam”. Tên thú cưng thường là Max, Bella hoặc Lucky. Ngay cả câu “Họ thời con gái của mẹ bạn” cũng thường dẫn đến những họ phổ biến. Nhiều câu trả lời khác cũng tương tự: Rất nhiều người trả lời “kỳ nghỉ mơ ước” là “Paris” chẳng hạn.
Tin tặc đôi khi tự động hóa quá trình đoán này, duyệt qua các câu trả lời phổ biến nhất cho đến khi chúng gặp may. Nếu không có các biện pháp bảo vệ mạnh mẽ của trang web như khóa tài khoản sau nhiều lần thử sai, chúng có thể chỉ cần một vài lần thử.
Bài học rút ra rất đơn giản. Hãy coi câu trả lời cho câu hỏi bảo mật như mật khẩu. Đừng sử dụng sự thật nếu sự thật quá dễ đoán. Hãy biến nó thành một cụm mật khẩu, một thứ vô nghĩa, hoặc tốt hơn nữa, sử dụng trình quản lý mật khẩu để lưu trữ các câu trả lời ngẫu nhiên.
Câu hỏi bảo mật có thể cảm thấy như một bản sao lưu vô hại, nhưng đối với tin tặc, chúng là một cánh cửa phụ không khóa. Tin tặc không phải lúc nào cũng cần đột nhập bằng vũ lực. Đôi khi chúng chỉ đơn giản là bước vào bằng cách sử dụng các chi tiết mà bạn đã vô tình để lộ ra. Để đảm bảo an toàn thông tin tối đa, hãy luôn cảnh giác và cập nhật kiến thức về các mối đe dọa mạng.
