Theo các số liệu thông kế, tấn công Brute Force (hay Brute Force Cracking) chiếm khoảng 5% trong tổng số các cuộc tấn công mạng vào năm 2017. Nạn nhân bị tấn công có thể bị đánh cắp dữ liệu cá nhân, dữ liệu liên quan đến thẻ tín dụng, và các doanh nghiệp có thể bị lộ thông tin cá nhân của khách hàng. Trong bài viết này, Vietnix sẽ cung cấp đến bạn đọc những kiến thức cơ bản về tấn công Brute Force và những biện pháp ngăn chặn hiệu quả nhất.
Tấn công Brute Force là gì?
Tấn công brute-force là một phương pháp bẻ khóa phổ biến trong an ninh mạng. Cuộc tấn công này liên quan đến việc “đoán” tên người dùng và mật khẩu để truy cập trái phép vào hệ thống. Hacker sẽ sử dụng phương pháp thử và sai để cố gắng đoán thông tin đăng nhập hợp lệ. Ngoài ra, brute-force còn có thể được sử dụng để khai thác OTP, Timestamp, Cookie, và nhiều yếu tố khác.
Các hacker thường sử dụng ứng dụng và script để làm công cụ để tấn công Brute Force. Các công cụ này sẽ thử nhiều tổ hợp password khác nhau để có thể bypass quá trình xác thực. Bên cạnh đó, các hacker cũng có thể cố gắng truy cập vào ứng dụng web bằng cách tìm session ID phù hợp. Mục tiêu của tấn công Brute Force có thể là để đánh cắp thông tin, lây nhiễm malware vào các trang web hay làm gián đoạn dịch vụ.
Nguyên nhân bị tấn công Brute Force
Tấn công Brute Force rất dễ xảy ra khi người dùng các tài khoản chủ quan trong việc đặt mật khẩu và username của mình. Dưới đây là các nguyên nhân chính khiến người dùng bị tấn công Brute Force:
- Đặt username là admin, administrator hoặc các tên phổ biến khác.
- Mật khẩu không an toàn, dễ đoán được hoặc là các từ được sử dụng phổ biến.
- Không bảo mật đường dẫn đăng nhập.
- Không thay đổi mật khẩu thường xuyên.
Hacker thu thập được gì từ Brute Force?
Vậy những lợi ích mà hacker thu được từ các cuộc tấn công Brute Force là gì? Sau đây là một số cách các hacker có thể thu lợi:
- Thu lợi từ quảng cáo, thu thập dữ liệu hoạt động.
- Đánh cắp dữ liệu cá nhân.
- Phát tán malware, gây gián đoạn công việc.
- Đánh cắp hệ thống để thực hiện các hoạt động động hại.
- Ảnh hưởng xấu đến danh tiếng trang web, doanh nghiệp.
Thu lợi từ quảng cáo hoặc thu thập dữ liệu hoạt động
Các hacker có thể khai thác các trang web để thu đợi lợi nhuận từ tiền hoa hồng quảng cáo. Các cách phổ biến là:
- Đặt quảng cáo spam trên các trang web có nhiều khách truy cập. Mỗi khi quảng cáo được click hay xem, hacker sẽ có được một khoản tiền nhất định.
- Định tuyến lại lưu lượng truy cập của trang web đến các trang web quảng cáo.
- Lây nhiễm các malware theo dõi hoạt động đến trang web hay khách truy cập – thường là spyware. Dữ liệu sau đó sẽ được bán cho các nhà quảng cáo mà không cần sự chấp thuận của người dùng.
Đánh cắp dữ liệu cá nhân
Thông qua tấn công Brute Force, các hacker có thể bẻ khóa được ngân hàng. Khi đó, mọi thông tin từ tài khoản ngân hàng đến thông tin thuế đều có thể được tìm thấy online. Thậm chí, cơ sở dữ liệu nhạy cảm của các tổ chức cũng có thể bị rò rỉ.
Phần mềm độc hại lây lan để gây gián đoạn
Các hacker có thể chuyển hướng các lưu lượng truy cập của trang web đến những trang độc hại nhằm gián đoạn các hoạt động. Bên cạnh đó, chúng cũng có thể phát tán malware trực tiếp đến các trang web, để từ đó có thể cài đặt trên máy tính của khách truy cập.
Đánh cắp hệ thống của bạn để sử dụng cho hoạt động độc hại
Để tăng khả năng thành công khi tấn công Brute Force, các hacker có thể thuê một “đội quân” các thiết bị gọi là botnet. Malware có thể xâm nhập vào máy tính, thiết bị di động hay tài khoản online để spam phishing hay tấn công Brute Force nâng cao.
Do đó, nếu người dùng không có hệ thống antivirus nào, khả năng lây nhiễm sẽ cao hơn đáng kể.
Ảnh hưởng danh tiếng website
Các tội phạm mạng thậm chí còn có thể phát tán các nội dung không lành mạnh vào trang web. Chẳng hạn như các văn bản, hình ảnh, âm thanh bạo lực, khiêu dâm hay phân biệt chủng tộc. Từ đó ảnh hưởng nghiêm trọng đến hình ảnh của website, thậm chí là của cả doanh nghiệp hay tổ chức.
6 loại tấn công Brute Force phổ biến
- Tấn công Simple Brute Force: Sử dụng một cách tiếp cận có hệ thống để “đoán” username hay password, không cần dựa vào external logic.
- Tấn công Hybrid Brute Force: Bắt đầu từ external logic để xác định các tổ hợp password có khả năng thành công cao nhất. Sau đó tiếp cận với Simple Brute Force Attack để thử nhiều tổ hợp nhất có thể.
- Tấn công Dictionary: Đoán username hoặc password bằng cách sử dụng một từ điển các xâu hay cụm từ khả thi.
- Tấn công Rainbow table: Rainbow Table là một bảng được tính toán trước để so khớp với kết quả của các hàm hash. Nó có thể dùng để đoán một hàm có độ dài xác định và chứa một tập hợp kí tự cụ thể.
- Tấn công Reverse Brute Force: Sử dụng một password chung hay một tập hợp các password để thử với nhiều username khả thi. Loại tấn công này nhắm vào một mạng người dùng mà các hacker đã lấy được dữ liệu trước đó.
- Tấn công Credential Snuffing: sử dụng các cặp password-username đã biết trước, và thử chúng trên nhiều website khác nhau. Sở dĩ vì có không ít người dùng có thói quen sử dụng cùng một cặp password-username trên nhiều hệ thống khác nhau.
Hydra và các công cụ Brute Force Attack phổ biến
Các nhà phân tích bảo mật sử dụng công cụ THC-Hydra để xác định các lỗ hổng bảo mật có trong hệ thống client. Hydra sẽ chạy qua một lượng lớn các tổ hợp password với tốc độ lớn, dựa trên Dictionary hoặc Simple Brute Force Attack. Công cụ này có thể tấn công đến hơn 50 giao thức và rất nhiêu hệ điều hành khác nhau. Hydra là một nền tảng mã nguồn mở, có cộng đồng bảo mật và các hacker luôn liên tục phát triển các module mới.
Bên cạnh đó còn có nhiều công cụ cho tấn công Brute Force khác. Có thể kể đến như:
- Aircrack-ng: Có thể được dùng trên Windows, Linux, iOS và Android. Công cụ này sử dụng một dictionary (từ điển) gồm các password được sử dụng phổ biến, nhằm xâm nhập vào mạng không dây.
- John the Ripper: Chạy trên 15 nền tảng khác nhau, gồm cả Unix, Windows và OpenVMS. Nó sẽ thử tất cả tổ hợp có thể bằng một dictionary chứa các password khả thi.
- L0phtCrack: Công cụ crack password Windows. Nó sử dụng rainbow table, dictionary và các thuật toán multiprocessor.
- Hashcat: Hoạt động được trên Windows, Linux và Mac OS. Công cụ này có thể thực hiện Simole Brute Force, Rule-based và Hybrid Attack.
- DaveGrohl: Công cụ mã nguồn mở dùng để crack Mac OS. Nó có thể được phân phối trên nhiều máy tính khác nhau.
- Ncrack: Công cụ crack xác thực mạng. Có thể được sử dụng trên Windows, Linux và BSD.
Mật khẩu yếu dễ dàng bị tấn công Brute Force
Ngày nay, nhiều người có xu hướng sử dụng các password đơn giản, do đó dễ bị tấn công Brute Force hơn. Bên cạnh đó, việc chỉ sử dụng một password duy nhất cho nhiều tài khoản cũng khiến cho các hacker dễ dàng truy cập hơn.
Có nhiều tài khoản email có password không đủ mạnh được kết nối với nhiều tài khoản bổ sung khác. Các tài khoản này còn có thể dùng để khôi phục mật khẩu. Khi đó, những tài khoản này chính là con mồi tiềm năng cho các hacker. Bên cạnh đó, nếu người dùng không thay đổi password mặc định của router, mạng cục bộ cũng của họ cũng sẽ dễ vị tấn công hơn. Các hacker chỉ cần thử một vài password mặc định đơn giản, rồi dễ dàng truy cập được vào toàn bộ mạng.
Một số password phổ biến được tìm thấy trong các danh sách brute force bao gồm: ngày sinh, tên con, qwerty, 123456, abcdef123, a123456, abc123, password, asdf, hello, welcome, zxcvbn, Qazwsx, 654321, 123321, 000000, 111111, 987654321, 1q2w3e,
Hãy luôn nhớ rằng: password mạnh sẽ tăng khả năng chống lại các hành vi đánh cắp danh tính, mất dữ liệu, truy cập trái phép…
Cách phòng chống bị tấn công Brute Force
Vậy cách phòng chống tấn công Brute Force là gì? Trước hết, hãy đảm bảo sử dụng mật khẩu có tính bảo mật cao. Tức là:
- Không sử dụng thông tin có thể dễ dàng tìm được trên mạng (chẳng hạn như họ, tên).
- Càng nhiều ký tự càng tốt.
- Kết hợp số, chữ cái, ký tự đặc biệt.
- Sử dụng password khác nhau cho các tài khoản.
- Tránh lặp lại một khuôn mẫu chung.
Đối với quản trị viên, sau đây là một số cách để bảo vệ người dùng khỏi tấn công Brute Force:
- Lockout privacy: Có thể khóa các tài khoản sau nhiều lần đăng nhập thất bại và unlock lại sau này.
- Delay; Khóa tài khoản sau một số lần đăng nhập thất bại nhất định, đồng thời làm cho thời gian delat sau mỗi lần đăng nhập dài hơn.
- Captcha: Các công cụ như reCAPTCHA yêu cầu người dùng hoàn thành các tác vụ đơn giản để có thể đăng nhập vào hệ thống. Mặc dù người dùng thực có thể dễ dàng hoàn thành, những công cụ brute force attack sẽ không thể nào làm được.
- Yêu cầu mật khẩu mạnh: Admin có thể bắt buộc người dùng sử dụng mật khẩu đủ dài và đủ phức tạp. Bên cạnh đó, ta cũng có thể yêu cầu người dùng thay đổi mật khẩu định kỳ.
- Xác thực hai yếu tố: Sử dụng nhiều yếu tố khác nhau để xác thực danh tính người dùng và cấp quyền truy cập vào tài khoản.
Câu hỏi thường gặp
Brute Force trong Python là gì?
Phương thức Brute Force là một phương pháp trong đó một tập hợp các giá trị được xác định trước được sử dụng để bẻ khóa mật khẩu cho đến khi thành công. Về cơ bản đây là một phương pháp “đánh và thử”. Phương pháp này có thể mất nhiều thời gian nếu tập giá trị cao, nhưng tỷ lệ thành công cao
Brute Force có phải là đệ quy không?
Kỹ thuật tấn công Brute Force – sử dụng đệ quy để đi qua một không gian tìm kiếm nơi hàm đệ quy nhận một giải pháp từng phần và trả về / xử lý tất cả các mục có giải pháp từng phần được điền vào là một kỹ thuật rất mạnh có thể được áp dụng cho nhiều bài toán Brute Force.
Lời kết
Với những kiến thức về tấn công Brute Force mà Vietnix vừa chia sẻ, hy vọng bạn sẽ có thêm nhiều kinh nghiệm để phòng chống việc bị hacker lấy mật khẩu cũng như biết cách bảo mật các tài khoản cá nhân của bạn tốt hơn. Chúc bạn thành công!
