Cách tấn công Brute Force

Brute force attack là một phương pháp dò mật khẩu tương đối phổ biến, chiếm khoảng 5% số lượng các vi phạm bảo mật hiện nay. Loại hình tấn công này liên quan đến việc “đoán” username và password để có thể truy cập trái phép vào hệ thống. Đây là một phương pháp tấn công đơn giản, nhưng lại có tỷ lệ thành công khá cao.

Các hacker thường sử dụng ứng dụng và script để làm công cụ cho brute force attack. Các công cụ này sẽ thử nhiều tổ hợp password khác nhau để có thể bypass quá trình xác thực. Bên cạnh đó, các hacker cũng có thể cố gắng truy cập vào ứng dụng web bằng cách tìm session ID phù hợp. Mục tiêu của brute force attack có thể là để đánh cắp thông tin, lây nhiễm malware vào các trang web hay làm gián đoạn dịch vụ.

Vậy cách thực hiện Brute Force Attack là gì? Dù một số hacker vẫn thực hiện brute force attack theo cách thủ công, nhưng phần lớn các cuộc tấn công này đều được xử lý bởi bot. Các hacker sẽ có danh sách các thông tin đăng nhập thường được sử dụng, hoặc là thông tin đăng nhập của người dùng thực có được thông qua dark web. Sau đó, các bot sẽ tấn công trang web rồi thử các danh sách thông tin đăng nhập này. Khi có được quyền truy cập, các bot sẽ thông báo với hacker.

Vậy những lợi ích mà hacker thu được từ brute force attack là gì? Sau đây là một số cách các hacker có thể thu lợi từ brute force attack:

• Thu lợi từ quảng cáo, thu thập dữ liệu hoạt động
• Đánh cắp dữ liệu cá nhân
• Phát tán malware, gây gián đoạn công việc
• Đánh cắp hệ thống để thực hiện các hoạt động động hại
• Ảnh hưởng xấu đến danh tiếng trang web, doanh nghiệp

Các hacker có thể khai thác các trang web để thu đợi lợi nhuận từ tiền hoa hồng quảng cáo. Các cách phổ biến là:

• Đặt quảng cáo spam trên các trang web có nhiều khách truy cập. Mỗi khi quảng cáo được click hay xem, hacker sẽ có được một khoản tiền nhất định.
• Định tuyến lại lưu lượng truy cập của trang web đến các trang web quảng cáo.
• Lây nhiễm các malware theo dõi hoạt động đến trang web hay khách truy cập – thường là spyware. Dữ liệu sau đó sẽ được bán cho các nhà quảng cáo mà không cần sự chấp thuận của người dùng.

Thông qua brute force attack, các hacker có thể bẻ khóa được ngân hàng. Khi đó, mọi thông tin từ tài khoản ngân hàng đến thông tin thuế đều có thể được tìm thấy online. Thậm chí, cơ sở dữ liệu nhạy cảm của các tổ chức cũng có thể bị rò rỉ.

Các hacker có thể chuyển hướng các lưu lượng truy cập của trang web đến những trang độc hại nhằm gián đoạn các hoạt động. Bên cạnh đó, chúng cũng có thể phát tán malware trực tiếp đến các trang web, để từ đó có thể cài đặt trên máy tính của khách truy cập.

Để tăng khả năng thành công của brute force attack, các hacker có thể thuê một “đội quân” các thiết bị gọi là botnet. Malware có thể xâm nhập vào máy tính, thiết bị di động hay tài khoản online để spam phishing hay tấn công brute force nâng cao… Do đó, nếu người dùng không có hệ thống antivirus nào, khả năng lây nhiễm sẽ cao hơn đáng kể.

Các tội phạm mạng thậm chí còn có thể phát tán các nội dung không lành mạnh vào trang web. Chẳng hạn như các văn bản, hình ảnh, âm thanh bạo lực, khiêu dâm hay phân biệt chủng tộc. Từ đó ảnh hưởng nghiêm trọng đến hình ảnh của website, thậm chí là của cả doanh nghiệp hay tổ chức.

• Simple Brute Force Attack: sử dụng một cách tiếp cận có hệ thống để “đoán” username hay password, không cần dựa vào external logic.
• Hybrid Brute Force Attack: bắt đầu từ external logic để xác định các tổ hợp password có khả năng thành công cao nhất. Sau đó tiếp cận với Simple Brute Force Attack để thử nhiều tổ hợp nhất có thể.
• Dictionary attack: đoán username hoặc password bằng cách sử dụng một từ điển các xâu hay cụm từ khả thi.
• Rainbow table attack: rainbow table là một bảng được tính toán trước để so khớp với kết quả của các hàm hash. Nó có thể dùng để đoán một hàm có độ dài xác định và chứa một tập hợp kí tự cụ thể.
• Reverse Brute Force Attack: sử dụng một password chung hay một tập hợp các password để thử với nhiều username khả thi. Loại tấn công này nhắm vào một mạng người dùng mà các hacker đã lấy được dữ liệu trước đó.
• Credential Snuffing: sử dụng các cặp password-username đã biết trước, và thử chúng trên nhiều website khác nhau. Sở dĩ vì có không ít người dùng có thói quen sử dụng cùng một cặp password-username trên nhiều hệ thống khác nhau.

Các nhà phân tích bảo mật sử dụng công cụ THC-Hydra để xác định các lỗ hổng bảo mật có trong hệ thống client. Hydra sẽ chạy qua một lượng lớn các tổ hợp password với tốc độ lớn, dựa trên Dictionary hoặc Simple Brute Force Attack. Công cụ này có thể tấn công đến hơn 50 giao thức và rất nhiêu hệ điều hành khác nhau. Hydra là một nền tảng mã nguồn mở, có cộng đồng bảo mật và các hacker luôn liên tục phát triển các module mới.

Bên cạnh đó còn có nhiều công cụ cho brute force attack khác. Có thể kể đến như:

• Aircrack-ng – Có thể được dùng trên Windows, Linux, iOS và Android. Công cụ này sử dụng một dictionary [từ điển] gồm các password được sử dụng phổ biến, nhằm xâm nhập vào mạng không dây.
• John the Ripper – Chạy trên 15 nền tảng khác nhau, gồm cả Unix, Windows và OpenVMS. Nó sẽ thử tất cả tổ hợp có thể bằng một dictionary chứa các password khả thi.
• L0phtCrack – Công cụ crack password Windows. Nó sử dụng rainbow table, dictionary và các thuật toán multiprocessor.
• Hashcat – Hoạt động được trên Windows, Linux và Mac OS. Công cụ này có thể thực hiện Simole Brute Force, Rule-based và Hybrid Attack.
• DaveGrohl – Công cụ mã nguồn mở dùng để crack Mac OS. Nó có thể được phân phối trên nhiều máy tính khác nhau.
• Ncrack – Công cụ crack xác thực mạng. Có thể được sử dụng trên Windows, Linux và BSD.

Ngày nay, nhiều người có xu hướng sử dụng các password đơn giản, do đó dễ bị tấn công Brute Force Attack hơn. Bên cạnh đó, việc chỉ sử dụng một password duy nhất cho nhiều tài khoản cũng khiến cho các hacker dễ dàng truy cập hơn.

Có nhiều tài khoản email có password không đủ mạnh được kết nối với nhiều tài khoản bổ sung khác. Các tài khoản này còn có thể dùng để khôi phục mật khẩu. Khi đó, những tài khoản này chính là con mồi tiềm năng cho các hacker. Bên cạnh đó, nếu người dùng không thay đổi password mặc định của router, mạng cục bộ cũng của họ cũng sẽ dễ vị tấn công hơn. Các hacker chỉ cần thử một vài password mặc định đơn giản, rồi dễ dàng truy cập được vào toàn bộ mạng.

Một số password phổ biến được tìm thấy trong các danh sách brute force bao gồm: ngày sinh, tên con, qwerty, 123456, abcdef123, a123456, abc123, password, asdf, hello, welcome, zxcvbn, Qazwsx, 654321, 123321, 000000, 111111, 987654321, 1q2w3e,

Hãy luôn nhớ rằng: password mạnh sẽ tăng khả năng chống lại các hành vi đánh cắp danh tính, mất dữ liệu, truy cập trái phép…

Vậy cách ngăn chặn Brute Force Attack là gì? Trước hết, hãy đảm bảo sử dụng mật khẩu có tính bảo mật cao. Tức là:

• Không sử dụng thông tin có thể dễ dàng tìm được trên mạng [chẳng hạn như họ, tên]
• Càng nhiều ký tự càng tốt
• Kết hợp số, chữ cái, ký tự đặc biệt
• Sử dụng password khác nhau cho các tài khoản
• Tránh lặp lại một khuôn mẫu chung

Đối với quản trị viên, sau đây là một số cách để bảo vệ người dùng khỏi brute force attack:

• Lockout privacy – Có thể khóa các tài khoản sau nhiều lần đăng nhập thất bại và unlock lại sau này.
• Delay – Khóa tài khoản sau một số lần đăng nhập thất bại nhất định, đồng thời làm cho thời gian delat sau mỗi lần đăng nhập dài hơn.
• Captcha – Các công cụ như reCAPTCHA yêu cầu người dùng hoàn thành các tác vụ đơn giản để có thể đăng nhập vào hệ thống. Mặc dù người dùng thực có thể dễ dàng hoàn thành, những công cụ brute force attack sẽ không thể nào làm được.
• Yêu cầu mật khẩu mạnh – Admin có thể bắt buộc người dùng sử dụng mật khẩu đủ dài và đủ phức tạp. Bên cạnh đó, ta cũng có thể yêu cầu người dùng thay đổi mật khẩu định kỳ.
• Xác thực hai yếu tố – Sử dụng nhiều yếu tố khác nhau để xác thực danh tính người dùng và cấp quyền truy cập vào tài khoản.

Với những kiến thức về brute force attack mà Vietnix vừa chia sẻ, hy vọng bạn sẽ có thêm nhiều kinh nghiệm để phòng chống việc bị hacker lấy mật khẩu cũng như biết cách bảo mật các tài khoản cá nhân của bạn tốt hơn. Chúc bạn thành công!