Phương thức này lợi dụng danh sách mật khẩu sẵn có, được tổng hợp từ các vụ rò rỉ dữ liệu trước đó, để thử lần lượt vào tài khoản người dùng. Chỉ với công cụ tự động và một bộ dữ liệu hàng triệu mật khẩu phổ biến như “123456”, “password” hay “qwerty”, kẻ xấu có thể dễ dàng dò trúng mật khẩu yếu chỉ trong vài giây.
 |
| Ảnh minh họa |
Khác với brute force attack (tấn công vét cạn), vốn thử mọi khả năng từ 0000 đến zzzz, Dictionary Attack tiết kiệm thời gian hơn nhiều vì tập trung vào những mật khẩu hay được sử dụng. Điều này khiến những người đặt mật khẩu đơn giản gần như không có cơ hội “thoát nạn”.
Theo Norton, trên không gian mạng đã tồn tại sẵn các “từ điển mật khẩu” khổng lồ, chỉ cần vài cú click là bất kỳ kẻ xấu nào cũng có thể tải về và sử dụng để tấn công. McAfee cảnh báo, khi đã chiếm được quyền truy cập, hacker không chỉ dừng lại ở việc đánh cắp tài khoản mạng xã hội hay email. Chúng có thể mạo danh nạn nhân để lừa đảo người thân, khai thác thông tin tài chính hoặc phát tán phần mềm độc hại.
Nguy hiểm hơn, thói quen dùng chung một mật khẩu cho nhiều dịch vụ khiến rủi ro lan rộng. Khi kết hợp Dictionary Attack với credential stuffing - kỹ thuật sử dụng mật khẩu bị lộ ở một nền tảng để thử đăng nhập vào nền tảng khác - hacker có thể chiếm quyền hàng loạt tài khoản của nạn nhân chỉ từ một vụ rò rỉ dữ liệu.
Các chuyên gia bảo mật đều nhấn mạnh: mật khẩu mạnh là tuyến phòng thủ đầu tiên chống lại Dictionary Attack. Theo Trend Micro, người dùng nên đặt mật khẩu dài, có sự kết hợp giữa chữ hoa, chữ thường, số và ký tự đặc biệt, đồng thời tuyệt đối tránh các từ ngữ quen thuộc hoặc ngày tháng dễ đoán.
Bitdefender khuyến nghị sử dụng trình quản lý mật khẩu (password manager) để tạo và lưu mật khẩu ngẫu nhiên, vừa phức tạp vừa khó bị đoán trúng. Bên cạnh đó, bật xác thực đa yếu tố (MFA) là một lớp bảo mật bổ sung quan trọng: ngay cả khi hacker đoán đúng mật khẩu, chúng vẫn cần mã xác thực gửi về điện thoại hoặc ứng dụng của chủ tài khoản mới có thể đăng nhập.
Trong bối cảnh hàng triệu dữ liệu cá nhân đang bị rao bán trên dark web, việc lơ là bảo mật có thể khiến người dùng rơi vào tình cảnh “mất cả chìa khóa lẫn cửa”. Cẩn trọng trong cách đặt mật khẩu và nâng cao ý thức bảo mật chính là giải pháp để mỗi người tự bảo vệ mình trước những cuộc tấn công mạng ngày càng tinh vi.
Bình luận