Những con số nêu trên vừa được các nhà nghiên cứu của hãng bảo mật Kaspersky công bố, trong bối cảnh AI phát triển và bị lợi dụng cho mục đích xấu.
AI dễ dàng dò mật khẩu
Là nhân viên một shop chuyên bán hàng qua mạng, chị Mỹ Tiên (TP.HCM) thường giao dịch qua Facebook. Mới đây, tài khoản Facebook của chị bất ngờ bị thoát và không thể đăng nhập. Thấy chuyện chẳng lành, chị Tiên vào tài khoản Gmail (liên kết với tài khoản Facebook) thì phát hiện mật khẩu dịch vụ Facebook đã bị thay đổi.
Ngay sau đó, tài khoản Gmail của chị cũng không thể đăng nhập. Dự đoán có kẻ đã hack, chị Tiên lập tức nhờ thông báo cho bạn bè và người thân thì nhận được tin hai người thân đã chuyển khoản tổng cộng 30 triệu đồng vì tưởng chị Tiên đang cần gấp tiền để giao dịch.
"Bình thường tôi và người nhà hay nhắn mượn tiền qua lại nên chẳng mấy ai để ý. Tôi không hiểu sao kẻ xấu có được mật khẩu cả hai tài khoản của mình dù chúng khác nhau và tôi không đăng nhập đường link lạ", chị Tiên cho biết.
Theo tìm hiểu của Tuổi Trẻ, rất nhiều người dùng cũng bỗng dưng bị cướp mất tài khoản Facebook, Gmail… dù họ khẳng định không tiết lộ mật khẩu cho ai, cũng không truy cập các link lạ, điện thoại cũng không có dấu hiệu bị nhiễm mã độc.Theo các chuyên gia an ninh mạng, cách đặt mật khẩu đơn giản, dễ nhớ của đông đảo người dùng Việt khiến họ dễ bị hack bởi các công cụ chuyên dò đoán mật khẩu.
Theo ông Vũ Ngọc Sơn, giám đốc công nghệ Công ty an ninh mạng NCS, người dùng Việt thường có nhiều tài khoản, từ tài khoản email, thương mại điện tử, mạng xã hội… Việc sử dụng chung mật khẩu cho các tài khoản cũng phổ biến.
Bên cạnh đó, việc ngày càng có nhiều thông tin cá nhân của người dùng bị lộ lọt như tên, tuổi, ngày tháng năm sinh… là những thông tin rất dễ xuất hiện trong mật khẩu. "Vì vậy, bất kỳ ai nếu tham gia trên Internet thường xuyên đều có nguy cơ bị dò mật khẩu", ông Sơn nhận định.
Về kỹ thuật dò mật khẩu của tội phạm mạng, ông Sơn cho biết trước đây thường được thử bằng cách sử dụng từ điển (tập hợp các mật khẩu thông dụng, phổ biến đã được thu thập như 123456, admin… hoặc ghép ngày tháng năm sinh, tên, tuổi)...
"Cùng sự phát triển của AI, bộ từ điển và bộ quy luật được mở rộng nhanh chóng nhờ AI tạo ra. Việc AI có thể dò ra mật khẩu của người dùng không phải là một vấn đề quá ngạc nhiên", ông Sơn nói.
AI tìm ra mọi mật khẩu?
Ông Đặng Hữu Sơn (phó chủ tịch Liên minh phát triển nguồn nhân lực số Việt Nam, CEO Công ty Lovin Bot AI) cho biết với sự phát triển đột phá lĩnh vực AI, việc phá mật khẩu hiệu quả hơn bởi nó có khả năng học và dự đoán dựa trên dữ liệu khổng lồ về mật khẩu rò rỉ trước đây.
Chẳng hạn, tội phạm mạng sử dụng các nền tảng AI mã nguồn mở được tùy chỉnh có thể sử dụng kết hợp các kỹ thuật như "bruteforce" (tấn công bằng cách thử từng khả năng có thể), "dictionary attacks" (sử dụng danh sách các từ có sẵn) và các kỹ thuật phức tạp hơn như dùng mật khẩu đã rò rỉ ở một nơi để thử đăng nhập ở nơi khác…
"Mật khẩu càng phức tạp, càng dài và sử dụng sự kết hợp của chữ thường, chữ hoa, số và ký tự đặc biệt thì khả năng chống lại các cuộc tấn công của AI càng cao. Tuy nhiên, với sự phát triển không ngừng của công nghệ, ngay cả những mật khẩu mạnh nhất cũng có nguy cơ bị phá vỡ, đặc biệt nếu chúng không được thay đổi thường xuyên", ông Sơn đánh giá.
Ông Vũ Ngọc Sơn cho rằng không chỉ Facebook mà nhiều dịch vụ khác đều có nguy cơ bị dò mật khẩu thông qua sự trợ giúp của AI: "Số lượng người bị dò mật khẩu Facebook đông hơn dịch vụ khác là do dịch vụ này phổ biến, trong khi không nhiều người đặt xác thực hai yếu tố. Các dịch vụ của ngân hàng, chứng khoán luôn yêu cầu xác thực hai lớp, nên số người bị chiếm đoạt tài khoản ít hơn".
Cần áp dụng nhiều hình thức bảo vệ song song
rao đổi với Tuổi Trẻ, nhiều chuyên gia công nghệ nhận định mật khẩu dạng văn bản hiện nay đã không còn an toàn dù cố gắng đặt mật khẩu dài đến đâu.
Ông Vũ Ngọc Sơn cho rằng để an toàn thì việc đầu tiên là cần thay đổi thói quen.
Thay vì đặt các mật khẩu dễ nhớ, cần phải chuyển sang dùng các mật khẩu có tính ngẫu nhiên cao, đủ số lượng ký tự (từ 8 trở lên), có cả ký tự số và ký tự đặc biệt, không sử dụng các thông tin cá nhân hay người thân.
Đồng thời luôn áp dụng xác thực hai yếu tố, trong đó mật khẩu là một yếu tố và mã OTP được gửi về điện thoại hoặc email là yếu tố thứ hai".
Chuyên gia bảo mật Philip Hung Cao cũng nhấn mạnh: "Đã đến lúc phải tích cực áp dụng các năng lực bảo vệ tài khoản mạnh hơn mật khẩu, như xác thực mạnh không mật khẩu (passwordless) kết hợp với xác thực sinh trắc học".
Bẻ khóa bằng AI nhanh hơn trước nhiều
Theo các chuyên gia Kaspersky, vào tháng 7-2024, một bảng tổng hợp mật khẩu lớn nhất lịch sử đã bị phát tán trực tuyến, bao gồm 10 tỉ mật khẩu dưới dạng văn bản và 8,2 tỉ mật khẩu chứa ký tự đặc biệt.
Ông Alexey Antonov, trưởng nhóm khoa học dữ liệu tại Kaspersky, cho biết đã tiến hành phân tích sự cố rò rỉ và phát hiện 32% mật khẩu người dùng không đủ mạnh. Đáng chú ý, dù đã được mã hóa bằng thuật toán nhưng những mật khẩu này vẫn có thể khôi phục về dạng văn bản thuần túy.
Bằng thuật toán và công cụ hiện đại, các chuyên gia Kaspersky cho biết công đoạn khôi phục chỉ mất khoảng 60 phút. "Chúng tôi đào tạo mô hình ngôn ngữ bằng cách tận dụng cơ sở dữ liệu mật khẩu làm dữ liệu đầu vào để kiểm tra mức độ bảo mật của mật khẩu.
Kết quả, có đến 78% mật khẩu có khả năng bị bẻ khóa bằng AI, nhanh gấp ba lần so với thuật toán Bruteforce. Chỉ có 7% mật khẩu đủ mạnh để phòng chống các cuộc tấn công lâu dài...", ông Alexey tiết lộ.
Doanh nghiệp Việt bị đánh cắp mật khẩu nhiều nhất ASEAN
Theo thống kê năm 2023 của hãng bảo mật Kaspersky, các doanh nghiệp tại Việt Nam phải chịu số cuộc tấn công đánh cắp mật khẩu nhiều nhất Đông Nam Á.
Cụ thể, họ đã nhận đến 25,97 triệu cuộc tấn công dò mật khẩu Bruteforce, bỏ xa quốc gia đứng thứ hai là Indonesia với 11,7 triệu trường hợp. Thái Lan đứng thứ ba với 10,2 triệu cuộc được ghi nhận. Singapore đứng thứ tư với hơn 6 triệu…
Tấn công Bruteforce là hình thức đoán mật khẩu hoặc khóa mã hóa bằng cách thử tất cả các tổ hợp ký tự có thể theo một hệ thống cho đến khi tìm ra tổ hợp chính xác.
Ông Adrian Hia, giám đốc điều hành khu vực châu Á - Thái Bình Dương của Kaspersky, cho biết: "Việc sử dụng dịch vụ của bên thứ ba để trao đổi dữ liệu, nhân viên làm việc trên máy tính cá nhân, mạng WiFi tiềm ẩn rủi ro. Các công cụ truy cập từ xa cũng luôn là vấn đề đối với đội ngũ an ninh mạng".
Đặc biệt, "không thể phủ nhận AI và các thuật toán có thể đánh cắp tài khoản đăng nhập, mật khẩu của doanh nghiệp nhanh hơn. Và một khi kẻ tấn công có được quyền truy cập từ xa vào máy tính doanh nghiệp, khả năng thiệt hại về tài chính và uy tín thương hiệu là vô hạn".
Các chuyên gia Kaspersky còn cho biết chương trình AI có thể xâm nhập dữ liệu của người dùng trên điện thoại thông minh. Thông qua quá trình phân tích dữ liệu nhạy cảm, kẻ điều khiển chương trình có thể "đọc trộm" tin nhắn, mật khẩu và mã ngân hàng.
Vượt qua rào cản ngôn ngữ, AI có thể viết ra một email chân thật, chỉ cần dựa vào thông tin trên mạng xã hội. Thậm chí, AI có thể bắt chước văn phong của nạn nhân. Điều này càng khiến hành vi lừa đảo khó bị phát hiện.