Điểm vài cách đột nhập GMail và cách phòng chống

Điểm vài cách đột nhập Gmail và cách phòng chống.

Giang hồ vẫn đồn rằng đột nhập Gmail không khó. Hôm nay thong thả thử tìm hiểu xem đại thể các chiêu thức bọn trộm sử dụng như thế nào.

Muốn bảo vệ mình phải biết cách bọn trộm hành động. Bài viết này nhằm mục đích đó và là bài tiếp theo trong loại bài về an ninh bảo mật đã viết trước đây.

Các cách nêu dưới đây không chỉ đúng cho Gmail mà cũng đúng cho các tài khoản online khác (tài khoản ngân hàng, các tài khoản mua sắm trực tuyến, …)

Search cụm từ “hack Gmail” ra 108.000 kết quả. Dưới đây thử điểm qua vài cách để dò ra password Gmail. (link gốc ở tiêu đề)

I- Vài cách lấy password Gmail

1-Dùng phishing

Phishing là cách lừa nạn nhân mở một trang web đăng nhập Gmail giả mạo nhưng giống như trang Gmail thật, để nạn nhân gõ username và password vào đó.

Trong cách này, hacker tải về file Gmail Phisher có chứa 3 file:

  • gmail.html
  • log.txt
  • mail.php

Upload cả 3 file đó lên một web server miễn phí trên Internet.

Sau đó gửi mail có chứa link đến file gmail.html cho nạn nhân với một nội dung lừa đảo ví dụ “Có thư quan trọng gửi cho bạn, hãy nhấn vào đây”. Khi nạn nhân kích vào link, màn hình đăng nhập Gmail giống như thật sẽ xuất hiện (nhưng trên thanh địa chỉ không phải địa chỉ của gmail mà là địa chỉ của web server chứa file gmail.html). Nạn nhân sẽ nhập username, password Gmail của họ để vào và username, password đó được ghi vào file log.txt, đồng thời xuất hiện thông báo “There has been a temporary error Please Try Again” . Khi nạn nhân kích chuột để thử lại lần nữa thì được dẫn đến trang đăng nhập của Gmail thực, do đó không biết lần trước mình bị lừa.

Hacker chỉ cần đọc file log.txt là có username và password của nạn nhân. Khai thác một số lỗi của trình duyệt hoặc DNS server, hacker còn có thể làm giả cả địa chỉ trang giả giống như địa chỉ trang thật.

Phishing là cách phổ biến nhất hiện nay để lấy username, password, mã PIN của các tài khoản online.

2- Dùng keylogger

Keylloger là phần mềm được bí mật cài trên máy nạn nhân tự động ghi lại các phím đã gõ, từ đó có thể dò ra username và password. Keylloger có thể được cài dưới dạng rootkit để xóa dấu vết. Các file log ghi được sẽ được tự động gửi về cho hacker. Các phần mềm keylloger có đầy trên Internet kể cả phần mềm thương mại.

Keylloger có thể cài vào máy bằng rất nhiều cách giống như virus: qua email, qua các trang web có chứa keylloger, qua các phần mềm tải về từ Internet, qua các usb, … thậm chí hacker trực tiếp cài vào máy nạn nhân.

Hiện nay còn có các keylloger phần cứng (hardware keylloger), khoảng từ 90-200$ một cái, được bí mật lắp vào máy lưu được 2,000,000 lần gõ phím!

3- Đọc password được Firefox “remember”

Firefox có tính năng nhớ username và password (nếu bạn ra lệnh cho nó làm như vậy). Các password đã nhớ có thể đọc từ Edit → Preferences → Security → Saved Passwords → Show Passwords.

4- Dò các câu trả lời an ninh yếu

Gmail có 5 câu hỏi an ninh sẵn và một câu tự viết dùng để khôi phục password khi quên. Nếu bạn chọn câu trả lời quá thật thà, ví dụ với câu hỏi “What is your library card number?”, bạn trả lời bằng số thẻ thư viện thật thì có rất nhiều người có thể biết số thẻ này và từ đó có thể reset password của bạn.

5- Dò từ các website an ninh yếu.

Người dùng Internet ngại nhớ password thường có thói quen dùng chung một password cho nhiều site khác nhau. Thông thường, các site đều lưu password dưới dạng đã mã hóa. Nhưng nếu có một site nào đó lưu password dưới dạng text thì hacker có thể đột nhập cơ sở dữ liệu, đọc password dễ dàng.

6- Các cách khác

Còn vài cách khác tinh vi hơn nhưng không hiểu còn tác dụng sau đợt siết chặt an ninh của Google vừa qua không.

II- Các biện pháp phòng chống

1- Dùng riêng một trình duyệt chỉ để vào Gmail. Ngoài một trình duyệt chính để làm mọi việc khác, cài riêng một trình duyệt chỉ để vào Gmail. Trình duyệt này có thể là Portable Firefox, Opera, Tor browser, Google Chrome, v.v… Như vậy hạn chế được các mã độc từ Internet cài trong các thư mục làm việc và kích hoạt khi trình duyệt chạy.

2- Luôn cập nhật phần mềm để vá các khe hở an ninh, cập nhật trình antivirus (nếu dùng Windows) để phát hiện các keylloger.

3- Thực hiện các biện pháp phòng lây nhiễm virus thông thường: không mở các file đính kèm email đáng ngờ, không kích chuột vào các link đáng ngờ trong email, không tải về cài các phần mềm không tin cậy, không vào các site linh tinh có khả năng có virus, … Và tốt nhất để tránh virus nên dùng Linux.

(Theo một bản tin gần đây, hơn 3 triệu website nhà nước Trung quốc bị cấy liên kết bẩn. Không hiểu các website gov.vn thì sao?)

4- Đừng bao giờ nhập username và password vào một trang đăng nhập Gmail không phải do bạn mở trực tiếp bằng cách gõ địa chỉ hoặc mở từ Favorites, Bookmarks do bạn lưu từ trước.

5- Không dùng Firefox để nhớ password của Gmail. Khi lần đầu vào Gmail, Firefox sẽ hỏi có nhớ password không, nhấn vào Never for this site.

6- Không dùng chung password của Gmail cho các site khác.

7- Chọn câu trả lời an ninh mà chỉ có bạn biết, người khác không biết hoặc không đoán được. Hoặc tốt nhất là tự đặt câu hỏi và trả lời (Gmail cho phép làm điều này).

8- Chỉ mở Gmail qua giao diện web trong trình duyệt. Đừng kích hoạt các tính năng truy cập Gmail qua một trình thư điện tử khác bằng POP hoặc IMAP. Nhà có nhiều cửa thì khả năng bị trộm vào cao hơn.

9- Hiện nay Gmail mặc định dùng giao thức https, mọi dữ liệu trao đổi với Internet đều được mã hóa tránh bị xem trộm trên đường truyền. Để cẩn thận hơn, vào Settings → General, đánh dấu chọn mục Always use https.

10- Dùng hộp thư phụ: Nếu thường xuyên dùng một địa chỉ Gmail thì có hai nguy cơ:

a/ Do sử dụng password thường xuyên nên khả năng bị lộ cao qua một trong những cách đã nêu ở trên.

b/ Nếu hacker có được password của bạn, chỉ đổi password thì bạn vẫn có thể lấy lại địa chỉ mail bằng cách recovery password. Nhưng nếu hacker thay đổi cả password và các địa chỉ recovery mail, số mobile phone thì coi như bạn mất địa chỉ gmail đó.

Để tránh phải mở Gmail thường xuyên, nên khai thêm một địa chỉ email phụ, ví dụ tại zoho.com. Khi đó bạn sẽ có địa chỉ mail chính ví dụ là zxc@gmail.com và địa chỉ phụ là zxc@zoho.com. Đặt Gmail tự động forward các thư nhận được (gửi cho zxc@gmail.com) về zxc@zoho.com (nhưng vẫn lưu một bản copy tại Gmail). Zoho mail cho phép gửi thư đi với địa chỉ nơi gửi là zxc@gmail.com. Vì vậy khi mở Zoho mail vẫn nhận được các thư gửi đến Gmail và gửi thư đi dưới tên Gmail. Nếu địa chỉ Zoho mail bị hacker chiếm thì vẫn quay về dùng Gmail được, hoặc tạo một địa chỉ Zoho mail khác và lại forward thư Gmail đến đó.

Cách làm trên tránh phải mở Gmail thường xuyên mà vẫn nhận và gửi thư đi như dùng Gmail. Nhược điểm là các thư gửi đi chỉ lưu ở Zoho mail, do đó mỗi thư gửi đi nên Bcc đến địa chỉ Gmail. Khi đó trong Gmail sẽ có đủ cả thư đã nhận và đã gửi.

11- Trong các cách lấy password nêu ở trên, một người cẩn thận có thể tránh được hầu hết trừ keylloger. Để tránh bị cài keylloger, nên cố gắng “dành riêng” một môi trường sử dụng Gmail theo một trong các cách sau:

  • Dành riêng một trình duyệt để vào Gmail như đã nói ở trên.
  • Dành riêng một partition trên ổ cứng hoặc một ổ USB, cài Linux và trình duyệt chỉ dùng để vào Gmail, không làm các việc khác. Khi nào dùng Gmail mới boot vào bản Linux đó.
  • Và an toàn nhất là dùng một bản Linux trên đĩa CD để vào Gmail, tương tự như cách đã nói ở đâyở đây. Cách này hơi chậm vì khởi động từ đĩa CD đã chậm, sau khi khởi động xong phải thiết lập kết nối Internet, cài extension AVIM để gõ tiếng Việt. Bù lại, không có keylloger nào cài được lên đĩa CD (trừ khi nó lẩn vào trong AVIM).

III- Các dấu hiệu nhận biết hộp thư Gmail đã bị xâm nhập.

1- Nhập đúng password nhưng không vào được Gmail. Trường hợp này hacker chiếm hộp thư của bạn và đã đổi password. Nếu như các recovery options không bị thay đổi thì bạn còn khả năng reset lại password như trường hợp quên password.

Tuy nhiên nếu hacker chỉ muốn theo dõi thư từ của bạn thì password không bị đổi và bạn vẫn mở hộp thư được.

2- Một số thư bạn chưa hề đọc nhưng bị đánh dấu là đã đọc (tiêu đề thư chuyển từ chữ đậm thành chữ thường). Tức là hacker đã đọc trước bạn. Nhưng đấy là loại hacker “gà mờ” vì thư đã đọc rất dễ dàng đánh dấu lại là “chưa đọc”.

3- Vào Settings → Forwading and POP/IMAP thì thấy thư bị forward (gửi tiếp) đến một địa chỉ lạ hoắc.

4- Cũng trong mục Forwading and POP/IMAP thấy POP hoặc IMAP bị enable mà trước đó bạn không hề làm thế. Khi đó, hacker có thể lấy thư của bạn về một phần mềm thư điện tử nào đó để xem.

5- Ở dưới đáy trang Gmail có mục Last account activity (các hoạt động gần đây nhất của hộp thư). Nhấn vào chữ Details màn hình sau xuất hiện:

Trong hình ví dụ trên có hai địa chỉ IP của máy chủ đã truy cập hộp thư Gmail trong thời gian gần đây: địa chỉ ở Vietnam 210.245.49.91 truy cập qua trình duyệt (Browser), địa chỉ ở Anh 72.5.230.103 truy cập qua POP.

Để tìm xem các máy chủ đó là máy nào, mở trang http://whatismyipaddress.com ,

Trước tiên nhấn vào menu MyIP. Kết quả cho 210.245.49.91. Đây là địa chỉ IP của máy chủ nhà cung cấp dịch vụ Internet FPT mà tôi đang dùng. Địa chỉ này trùng với địa chỉ trong bảng trên thể hiện những lần chính tôi truy cập vào Gmail.

Với địa chỉ máy chủ ở Anh, nhấn vào menu IP Lookup, nhập địa chỉ IP cần tìm (72.5.230.103) rồi nhấn nút Lookup IP Address. Kết quả lookup là:

Hostname:sender1.zohomail.com

ISP:Internap Network Services Corporation

Organization:Zoho Corporation

Đây là máy chủ của Zoho Mail, tôi dùng để lấy thư từ Gmail qua giao thức POP.

Nếu trong bảng trên, xuất hiện các địa chỉ IP lạ hoặc các địa chỉ IP của các nhà cung cấp dịch vụ Internet Việt nam nhưng vào những ngày, giờ (cột thứ ba) mà bạn hoàn toàn không truy cập Gmail thì chứng tỏ hộp thư Gmail của bạn bị xâm nhập trái phép.

Đây có lẽ là tính năng bảo mật hay nhất mà chỉ Gmail mới có. Hiện nay, Gmail còn đang thử nghiệm hệ thống hai mật khẩu: một mật khẩu thông thường và một mật khẩu gửi đến điện thoại di động của người dùng. Phải có cả hai mật khẩu này mới vào Gmail được.

About these ads

23 thoughts on “Điểm vài cách đột nhập GMail và cách phòng chống

  1. Trời đất. Một bài hay như thế này mà bây giwof mình mới biết. Kiểm tra ra thì thấy hộp thư của mình bị tới 7 địa chỉ lạ truy cập. Rất cảm ơn bạn đã cung cấp thông tin trên. Tuy nhiên các khắc phụ nó thì phải làm như thế nào ngoài cách đổi mật khẩu?????

    • 1- Đầu tiên phải quét virus (nếu bạn dùng Win) để loại hết các keylloger nếu có. Sau đó thì chỉ có cách đổi mật khẩu thôi.
      2- Lưu ý nếu bạn có thói quen vác laptop lượn các quán cafe và vào Gmail ở đó thì những địa chỉ đó không phải là lạ đâu nhé.

  2. Cách ZOHO coi bộ có lý! Làm thử thấy vô liền, sending ở Gmail và Zoho đều thấy xi nhê y như tác giả bày. Có điều chưa tìm ra là Zoho cho xài bao nhiêu dung lượng?
    Cám ơn tác giả.

  3. Xuất Nhập khẩu cái Contact List từ GMAIL qua ZOHO có được không hè?
    Thử mở một cvs file trong Writer của ZOHO nhưng bị từ chối.
    Hay đó là một tính năng tốt của Zoho? (làm cho ít có địa chỉ email được đưa qua).

    • Nhấn vào Contacts ở cột bên trái (bên dưới Inbox,…) để mở tab Contacts. Sau đó nhấn vào menu Tools ở mép trên, bên phải màn hình. Ở đó có Import, Export Contacts

  4. Nhưng so với Gmail thì ZOHO có một sự “kỳ” (nói kỳ vì chưa dám quyết là hay hay là dở):
    * Nếu highlight một đoạn trong Opera chẳng hạn mà Paste vào ZohoMail (body) là không được. Gmail thì làm được.
    * Hình như Zohomail không có tính năng auto_address? Cứ phải mở AddressList của nó ra mà chích từng tên một chán quá.

  5. trong gmail báo có nhiều địa chỉ truy cập do có nhiều nguyên nhân vì hay vào web bằng lap qua nhiều điểm truy câp internet # nhau nên mỗi lần như thế sẽ có 1 địa chỉ IP # nhau..
    thực ra những lần đó cũng chính bản thân vào thôi chứ cũng chẳng có ai vào cả…quan trọng là nhớ mốc thời gian mình đã vào..
    1 số địa chỉ lạ tiếp theo là do các hòm thư # tải thư của gmail vào hòm thư riêng nên cũng xuất hiện ip lạ…
    đôi khi ko dùng lap truy cập nhiều nơi mà chỉ dùng máy tính tại nhà với 1 mordem nhưng cũng thấy nhiều ip đó là do mỗi lần mất điện hay reset hc restart mordem thì mordem của mình sẽ nhận ip wan mới nên chuyện này là dễ hiểu…

  6. Pingback: Bảo vệ password chống keylogger « ZXC232-Phần mềm tự do nguồn mở – Free and opensource software

  7. Pingback: Ghi chép: Theo dõi bàn phím (keylogger) và cách phòng chống. « ZXC232-Phần mềm tự do nguồn mở – Free and opensource software

    • Mình thì Bookmark sẵn địa chỉ của Gmail vào trình duyệt rồi , không mở địa chỉ Gmail từ 1 trang web khác . Không biết là cách này liệu có an toàn không ?

      • Như vậy chỉ tránh được bị lừa đến trang web giả để bị mất password ở đó (phishing) thôi. Còn nếu trên máy bị cài keylogger thì cách đó không có hiệu quả.

  8. Pingback: Theo dõi bàn phím (keylogger) và cách phòng chống. « Blog Company

  9. Zxc232 cho tôi hỏi:
    1/ Trên trình duyệt không lưu mật khẩu đăng nhập. Lên mạng mở của sổ blog, gmail, hết phiên làm việc không đóng để khỏi mất công đăng nhập lần sau. Như vậy có an toàn?
    2/ Nếu tạo mật khẩu bằng cách gõ một chuỗi dài ký tự ngẫu nhiên, lưu ở word, exel. Khi cần cóp dán vào đăng nhập. Có bị hack được không? (máy chỉ riêng mình sử dụng).
    Mong bạn chỉ giúp.

    • Cách 1 không an toàn nếu hacker truy cập vào máy qua mạng Internet (remote access) bằng SSH, trừ khi bạn đã khóa cách đó lại.
      Cách 2 không an toàn nếu có keylloger đọc được clipboard.

  10. Pingback: Bảo vệ password chống keylogger « Website Đinh Ngọc Wanka

  11. Pingback: Bảo vệ password chống keylogger

Gửi phản hồi

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Thay đổi )

Twitter picture

You are commenting using your Twitter account. Log Out / Thay đổi )

Facebook photo

You are commenting using your Facebook account. Log Out / Thay đổi )

Google+ photo

You are commenting using your Google+ account. Log Out / Thay đổi )

Connecting to %s