Giang hồ vẫn đồn rằng đột nhập Gmail không khó. Hôm nay thong thả thử tìm hiểu xem đại thể các chiêu thức bọn trộm sử dụng như thế nào.

Muốn bảo vệ mình phải biết cách bọn trộm hành động. Bài viết này nhằm mục đích đó và là bài tiếp theo trong loại bài về an ninh bảo mật đã viết trước đây.

Các cách nêu dưới đây không chỉ đúng cho Gmail mà cũng đúng cho các tài khoản online khác (tài khoản ngân hàng, các tài khoản mua sắm trực tuyến, …)

Search cụm từ “hack Gmail” ra 108.000 kết quả. Dưới đây thử điểm qua vài cách để dò ra password Gmail. (link gốc ở tiêu đề)

I- Vài cách lấy password Gmail

1-Dùng phishing

Phishing là cách lừa nạn nhân mở một trang web đăng nhập Gmail giả mạo nhưng giống như trang Gmail thật, để nạn nhân gõ username và password vào đó.

Trong cách này, hacker tải về file Gmail Phisher có chứa 3 file:

• gmail.html
• log.txt
• mail.php

Upload cả 3 file đó lên một web server miễn phí trên Internet.

Sau đó gửi mail có chứa link đến file gmail.html cho nạn nhân với một nội dung lừa đảo ví dụ “Có thư quan trọng gửi cho bạn, hãy nhấn vào đây”. Khi nạn nhân kích vào link, màn hình đăng nhập Gmail giống như thật sẽ xuất hiện (nhưng trên thanh địa chỉ không phải địa chỉ của gmail mà là địa chỉ của web server chứa file gmail.html). Nạn nhân sẽ nhập username, password Gmail của họ để vào và username, password đó được ghi vào file log.txt, đồng thời xuất hiện thông báo “There has been a temporary error Please Try Again” . Khi nạn nhân kích chuột để thử lại lần nữa thì được dẫn đến trang đăng nhập của Gmail thực, do đó không biết lần trước mình bị lừa.

Hacker chỉ cần đọc file log.txt là có username và password của nạn nhân. Khai thác một số lỗi của trình duyệt hoặc DNS server, hacker còn có thể làm giả cả địa chỉ trang giả giống như địa chỉ trang thật.

Phishing là cách phổ biến nhất hiện nay để lấy username, password, mã PIN của các tài khoản online.

2- Dùng keylogger

Keylloger là phần mềm được bí mật cài trên máy nạn nhân tự động ghi lại các phím đã gõ, từ đó có thể dò ra username và password. Keylloger có thể được cài dưới dạng rootkit để xóa dấu vết. Các file log ghi được sẽ được tự động gửi về cho hacker. Các phần mềm keylloger có đầy trên Internet kể cả phần mềm thương mại.

Keylloger có thể cài vào máy bằng rất nhiều cách giống như virus: qua email, qua các trang web có chứa keylloger, qua các phần mềm tải về từ Internet, qua các usb, … thậm chí hacker trực tiếp cài vào máy nạn nhân.

Hiện nay còn có các keylloger phần cứng (hardware keylloger), khoảng từ 90-200$ một cái, được bí mật lắp vào máy lưu được 2,000,000 lần gõ phím!

3- Đọc password được Firefox “remember”

Firefox có tính năng nhớ username và password (nếu bạn ra lệnh cho nó làm như vậy). Các password đã nhớ có thể đọc từ Edit → Preferences → Security → Saved Passwords → Show Passwords.

4- Dò các câu trả lời an ninh yếu

Gmail có 5 câu hỏi an ninh sẵn và một câu tự viết dùng để khôi phục password khi quên. Nếu bạn chọn câu trả lời quá thật thà, ví dụ với câu hỏi “What is your library card number?”, bạn trả lời bằng số thẻ thư viện thật thì có rất nhiều người có thể biết số thẻ này và từ đó có thể reset password của bạn.

5- Dò từ các website an ninh yếu.

Người dùng Internet ngại nhớ password thường có thói quen dùng chung một password cho nhiều site khác nhau. Thông thường, các site đều lưu password dưới dạng đã mã hóa. Nhưng nếu có một site nào đó lưu password dưới dạng text thì hacker có thể đột nhập cơ sở dữ liệu, đọc password dễ dàng.

6- Các cách khác

Còn vài cách khác tinh vi hơn nhưng không hiểu còn tác dụng sau đợt siết chặt an ninh của Google vừa qua không.

II- Các biện pháp phòng chống

1- Dùng riêng một trình duyệt chỉ để vào Gmail. Ngoài một trình duyệt chính để làm mọi việc khác, cài riêng một trình duyệt chỉ để vào Gmail. Trình duyệt này có thể là Portable Firefox, Opera, Tor browser, Google Chrome, v.v… Như vậy hạn chế được các mã độc từ Internet cài trong các thư mục làm việc và kích hoạt khi trình duyệt chạy.

2- Luôn cập nhật phần mềm để vá các khe hở an ninh, cập nhật trình antivirus (nếu dùng Windows) để phát hiện các keylloger.

3- Thực hiện các biện pháp phòng lây nhiễm virus thông thường: không mở các file đính kèm email đáng ngờ, không kích chuột vào các link đáng ngờ trong email, không tải về cài các phần mềm không tin cậy, không vào các site linh tinh có khả năng có virus, … Và tốt nhất để tránh virus nên dùng Linux.

(Theo một bản tin gần đây, hơn 3 triệu website nhà nước Trung quốc bị cấy liên kết bẩn. Không hiểu các website gov.vn thì sao?)

4- Đừng bao giờ nhập username và password vào một trang đăng nhập Gmail không phải do bạn mở trực tiếp bằng cách gõ địa chỉ hoặc mở từ Favorites, Bookmarks do bạn lưu từ trước.

5- Không dùng Firefox để nhớ password của Gmail. Khi lần đầu vào Gmail, Firefox sẽ hỏi có nhớ password không, nhấn vào Never for this site.

6- Không dùng chung password của Gmail cho các site khác.

7- Chọn câu trả lời an ninh mà chỉ có bạn biết, người khác không biết hoặc không đoán được. Hoặc tốt nhất là tự đặt câu hỏi và trả lời (Gmail cho phép làm điều này).

8- Chỉ mở Gmail qua giao diện web trong trình duyệt. Đừng kích hoạt các tính năng truy cập Gmail qua một trình thư điện tử khác bằng POP hoặc IMAP. Nhà có nhiều cửa thì khả năng bị trộm vào cao hơn.

9- Hiện nay Gmail mặc định dùng giao thức https, mọi dữ liệu trao đổi với Internet đều được mã hóa tránh bị xem trộm trên đường truyền. Để cẩn thận hơn, vào Settings → General, đánh dấu chọn mục Always use https.

10- Dùng hộp thư phụ: Nếu thường xuyên dùng một địa chỉ Gmail thì có hai nguy cơ:

a/ Do sử dụng password thường xuyên nên khả năng bị lộ cao qua một trong những cách đã nêu ở trên.

b/ Nếu hacker có được password của bạn, chỉ đổi password thì bạn vẫn có thể lấy lại địa chỉ mail bằng cách recovery password. Nhưng nếu hacker thay đổi cả password và các địa chỉ recovery mail, số mobile phone thì coi như bạn mất địa chỉ gmail đó.

Để tránh phải mở Gmail thường xuyên, nên khai thêm một địa chỉ email phụ, ví dụ tại zoho.com. Khi đó bạn sẽ có địa chỉ mail chính ví dụ là zxc@gmail.com và địa chỉ phụ là zxc@zoho.com. Đặt Gmail tự động forward các thư nhận được (gửi cho zxc@gmail.com) về zxc@zoho.com (nhưng vẫn lưu một bản copy tại Gmail). Zoho mail cho phép gửi thư đi với địa chỉ nơi gửi là zxc@gmail.com. Vì vậy khi mở Zoho mail vẫn nhận được các thư gửi đến Gmail và gửi thư đi dưới tên Gmail. Nếu địa chỉ Zoho mail bị hacker chiếm thì vẫn quay về dùng Gmail được, hoặc tạo một địa chỉ Zoho mail khác và lại forward thư Gmail đến đó.

Cách làm trên tránh phải mở Gmail thường xuyên mà vẫn nhận và gửi thư đi như dùng Gmail. Nhược điểm là các thư gửi đi chỉ lưu ở Zoho mail, do đó mỗi thư gửi đi nên Bcc đến địa chỉ Gmail. Khi đó trong Gmail sẽ có đủ cả thư đã nhận và đã gửi.

11- Trong các cách lấy password nêu ở trên, một người cẩn thận có thể tránh được hầu hết trừ keylloger. Để tránh bị cài keylloger, nên cố gắng “dành riêng” một môi trường sử dụng Gmail theo một trong các cách sau:

• Dành riêng một trình duyệt để vào Gmail như đã nói ở trên.
• Dành riêng một partition trên ổ cứng hoặc một ổ USB, cài Linux và trình duyệt chỉ dùng để vào Gmail, không làm các việc khác. Khi nào dùng Gmail mới boot vào bản Linux đó.
• Và an toàn nhất là dùng một bản Linux trên đĩa CD để vào Gmail, tương tự như cách đã nói ở đây và ở đây. Cách này hơi chậm vì khởi động từ đĩa CD đã chậm, sau khi khởi động xong phải thiết lập kết nối Internet, cài extension AVIM để gõ tiếng Việt. Bù lại, không có keylloger nào cài được lên đĩa CD (trừ khi nó lẩn vào trong AVIM).

III- Các dấu hiệu nhận biết hộp thư Gmail đã bị xâm nhập.

1- Nhập đúng password nhưng không vào được Gmail. Trường hợp này hacker chiếm hộp thư của bạn và đã đổi password. Nếu như các recovery options không bị thay đổi thì bạn còn khả năng reset lại password như trường hợp quên password.

Tuy nhiên nếu hacker chỉ muốn theo dõi thư từ của bạn thì password không bị đổi và bạn vẫn mở hộp thư được.

2- Một số thư bạn chưa hề đọc nhưng bị đánh dấu là đã đọc (tiêu đề thư chuyển từ chữ đậm thành chữ thường). Tức là hacker đã đọc trước bạn. Nhưng đấy là loại hacker “gà mờ” vì thư đã đọc rất dễ dàng đánh dấu lại là “chưa đọc”.

3- Vào Settings → Forwading and POP/IMAP thì thấy thư bị forward (gửi tiếp) đến một địa chỉ lạ hoắc.

4- Cũng trong mục Forwading and POP/IMAP thấy POP hoặc IMAP bị enable mà trước đó bạn không hề làm thế. Khi đó, hacker có thể lấy thư của bạn về một phần mềm thư điện tử nào đó để xem.