Việc lộ lọt này sẽ là khởi nguồn cho các hoạt động gian lận thẻ tín dụng, gian lận hỗ trợ thanh toán không tiếp xúc NFC (Ảnh minh họa: Yahoo Tech).
Đây không chỉ là một thống kê đáng báo động mà còn là lời cảnh tỉnh về sự gia tăng chóng mặt của các cuộc tấn công sử dụng phần mềm độc hại đánh cắp thông tin.
Thực trạng đáng báo động từ 19 tỷ mật khẩu bị lộ
Một kho dữ liệu chứa 19.030.305.929 mật khẩu đã bị đánh cắp từ khoảng 200 sự cố bảo mật chỉ trong vòng 12 tháng (tính từ tháng 4/2024).
Cơ sở dữ liệu này đặc biệt nguy hiểm vì nó chỉ bao gồm những mật khẩu có liên kết với địa chỉ email cụ thể, sẵn sàng để tin tặc khai thác.
Phân tích từ nhóm nghiên cứu Cybernews mới công bố phơi bày một sự thật đáng sợ: Chỉ 6% trong số 19 tỷ mật khẩu này là duy nhất. Điều này đồng nghĩa với việc 94% mật khẩu còn lại đã được sử dụng lại trên nhiều tài khoản và dịch vụ khác nhau, mở đường cho tin tặc dễ dàng chiếm quyền truy cập hàng loạt.
Bên cạnh đó, có đến 42% mật khẩu chỉ dài 8-10 ký tự, và 27% chỉ bao gồm chữ thường và số, không có ký tự đặc biệt hay chữ hoa.
Những mật khẩu này cực kỳ dễ bị bẻ khóa bằng các kỹ thuật tấn công brute force (thử sai liên tục) hoặc credential stuffing (nhồi thông tin xác thực).
Theo báo cáo, các mật khẩu mặc định như "admin" (xuất hiện 53 triệu lần) và "password" (56 triệu lần) vẫn được sử dụng rộng rãi, trở thành mục tiêu hàng đầu của tội phạm mạng.
Neringa Macijauskaitė, nhà nghiên cứu bảo mật tại Cybernews, nhấn mạnh: "Vấn đề mật khẩu mặc định vẫn là một trong những mô hình dai dẳng và nguy hiểm nhất trong các tập dữ liệu thông tin xác thực bị rò rỉ".
Cuộc chiến chống lừa đảo SMS
Paul Walsh, CEO của MetaCert và đồng sáng lập W3C Mobile Web Initiative, đã lên tiếng chỉ trích sự thiếu hiệu quả của ngành an ninh mạng trong việc ngăn chặn lừa đảo qua tin nhắn SMS (Smishing) - một trong những phương thức chính dẫn đến đánh cắp mật khẩu.
Walsh khẳng định rằng hầu hết các cuộc tấn công mạng đều bắt nguồn từ lừa đảo.
Báo cáo từ nhóm nghiên cứu bảo mật Resecurity càng làm rõ hơn mối đe dọa từ smishing.
Resecurity điều tra cho thấy, nhóm tội phạm mạng thực hiện điều này có tên là Smishing Triad, hoạt động ít nhất từ năm 2023, có khả năng phát tán tới 2 triệu tin nhắn SMS lừa đảo mỗi ngày, nhắm mục tiêu đến 720 triệu nạn nhân mỗi năm.
Một tổ chức khác, có thể là một nhánh hoặc kế thừa từ Smishing Triad, sử dụng các kênh Telegram và bot tự động để cung cấp dịch vụ smishing.
Chúng chủ yếu phân phối qua iMessage của Apple và nền tảng RCS của Android, đồng thời mua số lượng lớn các tài khoản Gmail và Apple bị xâm phạm để phục vụ cho các chiến dịch quy mô lớn.
Các bộ công cụ smishing của những nhóm này có thể được tùy chỉnh và triển khai trên bất kỳ máy chủ nào, cho thấy mức độ tinh vi và quy mô hoạt động đáng báo động.
Hậu quả khôn lường
Nạn smishing không chỉ đe dọa mật khẩu của bạn. Nó còn là khởi nguồn cho các hoạt động gian lận thẻ tín dụng, gian lận hỗ trợ thanh toán không tiếp xúc (NFC), và các chuỗi rửa tiền phức tạp, gây ra thiệt hại hàng triệu đô la mỗi năm cho các tổ chức tài chính và người dùng cá nhân trên toàn cầu.
Rõ ràng, cuộc chiến chống lại nạn đánh cắp mật khẩu và lừa đảo trực tuyến đòi hỏi sự cảnh giác cao độ từ mỗi cá nhân và một cam kết mạnh mẽ hơn từ toàn bộ ngành an ninh mạng để bảo vệ người dùng trước những mối đe dọa ngày càng tinh vi.
Nếu không có những hành động quyết liệt, những báo cáo về hàng tỷ mật khẩu bị xâm phạm sẽ còn tiếp tục xuất hiện.
Các chuyên gia cảnh báo, người dùng cần hành động ngay để tự bảo vệ bằng cách:
Không bao giờ tái sử dụng mật khẩu: Đây là khuyến nghị quan trọng nhất. Nếu bạn tái sử dụng mật khẩu, một vụ vi phạm ở một hệ thống có thể kéo theo sự xâm phạm hàng loạt các tài khoản khác của bạn, tạo ra "hiệu ứng domino" nguy hiểm.
Thay đổi mật khẩu mặc định ngay lập tức: Đây là một biện pháp nhanh chóng và hiệu quả để giảm thiểu nguy cơ bị tấn công.
Sử dụng mật khẩu mạnh và duy nhất: Kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt. Cân nhắc sử dụng trình quản lý mật khẩu để tạo và lưu trữ an toàn các mật khẩu phức tạp.
