Cảnh báo: Máy ảnh nhiệt và AI có thể giúp tin tặc bẻ khóa mật khẩu của người dùng một cách dễ dàng
Một nghiên cứu mới đã tiết lộ cách bọn tội phạm có thể sử dụng camera nhiệt để truy xuất mật khẩu trên smartphone, máy tính và máy ATM.
Cảnh báo: máy ảnh nhiệt và AI có thể giúp tin tặc bẻ khóa mật khẩu của người dùng một cách dễ dàng (Ảnh: Peta Pixel)
Mật khẩu không thôi là chưa đủ để bảo vệ người dùng khỏi những cuộc tấn công của tin tặc. Một nghiên cứu mới đã tiết lộ cách bọn tội phạm có thể sử dụng camera nhiệt để truy xuất mật khẩu mà một cá nhân đã nhập vào điện thoại thông minh, bàn phím máy tính hoặc thậm chí là máy ATM.
Các nhà nghiên cứu từ Đại học Glasgow đã chỉ ra cách máy ảnh phát hiện nhiệt có thể giúp bẻ khóa mật khẩu trong vòng một phút sau khi người dùng nhập mật khẩu của họ. Họ đã công bố những phát hiện của mình trên tạp chí ACM Trans Transaction on Privacy and Security vào tháng trước.
Trong nghiên cứu, các nhà khoa học máy tính đã phát triển một hệ thống trí tuệ nhân tạo (AI) có tên là ThermoSecure có thể lấy lại các mật khẩu được nhập gần đây từ đầu ngón tay của một người. AI có thể phân tích hình ảnh bàn phím và màn hình của máy ảnh nhiệt để đoán chính xác mật khẩu máy tính trong vài giây.
Khoảng 86% mật khẩu đã bị bẻ khóa. Tấm ảnh nhiệt được chụp chỉ trong vòng 20 giây nhập mã bí mật, sau đó đưa qua hệ thống ThermoSecure của họ để phân tích.
Video đang HOT
Các nhà khoa học cũng phát hiện ra rằng trong vòng 20 giây, hệ thống có khả năng tấn công thành công ngay cả những mật khẩu dài 16 ký tự, với tỷ lệ lần thử chính xác lên đến 67%.
Khi mật khẩu ngày càng ngắn, tỷ lệ thành công tăng lên. Mật khẩu 12 ký tự đoán trúng tới 82% thời gian thử nghiệm, mật khẩu 8 kí tự lên đến 93% và mật khẩu 6 kí tự thành công trong 100% số lần thử.
Với việc máy ảnh nhiệt có giá dưới 220 USD và AI ngày càng trở nên dễ tiếp cận, các nhà nghiên cứu cảnh báo rằng tội phạm có thể sẽ lợi dụng việc khai thác ảnh nhiệt để đột nhập vào máy tính và điện thoại thông minh của người dùng.
Tiến sĩ Mohamed Khamis, người đứng đầu nghiên cứu cùng Norah Alotaibi và John Williamson, cho biết: “Các mẫu máy ảnh nhiệt có giá cả phải chăng dễ dàng mua được với giá dưới 200 Bảng Anh (tương đương 220 USD), và máy học cũng đang ngày càng trở nên dễ tiếp cận. Điều đó khiến mọi người trên khắp thế giới đang phát triển các hệ thống tương tự như ThermoSecure để lấy cắp mật khẩu.”
Các cuộc tấn công bằng máy ảnh nhiệt
Các cuộc tấn công nhiệt có thể xảy ra sau khi một cá nhân nhập mật khẩu hoặc mật mã của họ trên bàn phím máy tính, màn hình điện thoại thông minh hoặc sau khi nhập mã pin của họ tại một cây ATM.
Sau đó, kẻ trộm có thể sử dụng camera tầm nhiệt để chụp ảnh và ghi lại dấu hiệu nhiệt do đầu ngón tay chạm vào thiết bị. Trong các hình ảnh do máy ảnh phát hiện nhiệt ghi lại, những phím bấm được người dùng chạm vào sẽ sáng hơn những phím còn lại.
Khu vực càng ấm, càng được chạm vào gần đây, cho phép bọn tội phạm xác định thứ tự có thể sử dụng các phím để thử các tổ hợp khác nhau và có thể bẻ khóa mật khẩu.
Bằng cách đo cường độ tương đối của các khu vực phím ấm hơn, các nhà nghiên cứu nhận thấy, có thể xác định các chữ cái và số ký hiệu cụ thể tạo nên mật khẩu và ước tính thứ tự chúng được sử dụng.
Khamis giải thích: “Điều quan trọng là nghiên cứu bảo mật máy tính phải bắt kịp với những phát triển này để tìm ra những cách mới nhằm giảm thiểu rủi ro và chúng tôi sẽ tiếp tục phát triển công nghệ của mình để cố gắng đi trước những kẻ tấn công một bước.”
Tiến sĩ Khamis nói rằng mật khẩu dài hơn nên được sử dụng bất cứ khi nào có thể, với những mật khẩu khó đoán chính xác hơn. Trong khi đó, loại bàn phím được làm từ chất liệu có thể ảnh hưởng đến khả năng hấp thụ nhiệt của chúng, với một số loại nhựa có khả năng giữ nhiệt cao hơn nhiều so với những loại nhựa khác.
Ông cho biết thêm: “Bàn phím có đèn nền cũng tạo ra nhiều nhiệt hơn, khiến việc đọc nhiệt trở nên khó khăn hơn, vì vậy bàn phím có đèn nền bằng nhựa PBT có thể an toàn hơn. Cuối cùng, người dùng có thể giúp thiết bị và bàn phím của họ an toàn hơn bằng cách áp dụng các phương pháp xác thực thay thế, như nhận dạng vân tay hoặc khuôn mặt, giúp giảm thiểu rủi ro khỏi các cuộc tấn công đánh cắp mật khẩu bằng máy ảnh nhiệt”.
Kaspersky ngăn chặn hơn 300.000 phần mềm đánh cắp mật khẩu nhắm vào doanh nghiệp vừa và nhỏ
Kaspersky vừa tiết lộ các hoạt động độc hại nhắm tới doanh nghiệp vừa và nhỏ (DNVVN) khu vực Đông Nam Á trong 6 tháng đầu năm 2022
Số liệu thống kê của Kaspersky
Cụ thể, tội phạm mạng đã thực hiện 11.298.154 cuộc tấn công vào web, trong đó, Kasperksy đã ngăn chặn được nhiều sự cố nhất tại Indonesia, Việt Nam và Thái Lan. Dữ liệu được ghi nhận tại các DNVVN có quy mô 50-200 nhân viên và đồng ý cung cấp số liệu thống kê cho giải pháp của Kaspersky.
Các mối đe dọa trên web, hay trực tuyến là nguy cơ an ninh mạng có thể gây ra nhiều hành động không mong muốn trên môi trường Internet, được tạo ra từ các lỗ hổng ở phía người dùng cuối, nhà phát triển hoặc vận hành dịch vụ web hoặc chính bản thân các dịch vụ web đó.
Ông Yeo Siang Tiong, Tổng Giám đốc Kaspersky Đông Nam Á chia sẻ: "Tổn thất do một sự cố rò rỉ dữ liệu gây ra tại các doanh nghiệp này trong năm 2021 là 74.000 đô la Mỹ. DNVVN đã phải chịu ảnh hưởng rất nhiều từ đại dịch, và với làn sóng tấn công từ tội phạm mạng như hiện nay, sự cân đối giữa an ninh mạng và ngân sách hạn hẹp sẽ giúp các doanh nghiệp này đảm bảo việc hồi phục một cách vững vàng hơn".
Bên cạnh mối đe dọa web, Kaspersky cũng đã ngăn chặn tổng cộng 373.138 trojan-PSW (Password Stealing Ware) cố gắng xâm nhập vào các DNVVN trong khu vực. Trong 6 tháng đầu năm, các quốc gia ghi nhận nhiều sự cố nhất gồm Việt Nam, Indonesia và Malaysia. Trojan-PSW là phần mềm độc hại chuyên đánh cắp mật khẩu, và thông tin khác của tài khoản giúp kẻ tấn công có được quyền truy cập vào mạng công ty và đánh cắp những thông tin nhạy cảm.
Đối với các doanh nghiệp nhỏ, việc lựa chọn một giải pháp bảo mật theo truyền thống là rất khó. Các sản phẩm dành cho người dùng gia đình thiếu các tính năng cần thiết, còn các giải pháp cho các doanh nghiệp lớn thì tốn kém và quá phức tạp để quản lý nếu không có bộ phận Bảo mật CNTT chuyên trách. Ngoài ra, thách thức về giữ dòng tiền sau cuộc khủng hoảng tiếp tục tác động lên các DNVVN trong khu vực khiến ngân sách an ninh mạng bị hạn chế.
Để tránh trở thành nạn nhân của các cuộc tấn công web và Trojan đánh cắp mật khẩu, DNVVN nên: Tuân thủ quy tắc "ít đặc quyền nhất" khi cấp quyền, nghĩa là nhân viên chỉ được cấp quyền đủ để hoàn thành công việc; nắm rõ nơi lưu trữ thông tin quan trọng và ai có quyền truy cập vào những thông tin này. Từ đó, phát triển hướng dẫn cho nhân viên mới, bao gồm quy định giới hạn truy cập cho từng vị trí công việc khác nhau; xây dựng văn hóa an ninh mạng giúp ngăn chặn nhiều cuộc tấn công, chẳng hạn như sổ tay an ninh mạng cho nhân viên để tất cả mọi người đều nắm được kiến thức và thông tin như nhau. Tham khảo thêm một số ví dụ khác về văn hóa an ninh mạng tại đây; khuyến nghị nhân viên nên khóa máy tính khi rời bàn làm việc, vì văn phòng thường có các bên thứ ba ghé thăm như khách hàng, ứng viên nộp đơn xin việc...
Microsoft nói dối người dùng suốt 3 năm qua Microsoft đã không thể ngăn chặn các driver độc hại xâm nhập vào các máy tính chạy Windows trong suốt 3 năm qua. Tính năng bảo mật trên Windows không hoạt động hiệu quả như nhiều người vẫn nghĩ. Ảnh: Ars Technica. Theo Ars Technica, hãng công nghệ khẳng định rằng mỗi bản cập nhật Windows đều được bổ sung danh sách các...