Cảnh báo thủ đoạn đánh cắp mật khẩu mới

Bạn đang ăn tối ở nhà hàng và mở điện thoại để kiểm tra email. Không nghĩ gì nhiều, bạn gõ mã PIN để mở khóa điện thoại. Bạn không để ai thấy những gì bạn đang gõ, do đó bạn không lo lắng về việc ai đó có thể đánh cắp mật khẩu của mình.

Nhưng đáng buồn, các hacker có thể biết chính xác mật khẩu của mọi người bằng một phần mềm phân tích đoạn video quay cảnh những gì người dùng đã gõ trên màn hình smartphone, ngay cả khi màn hình không bị lộ ra. Phần mềm dùng để phân tích loại video này dựa trên các “động thái học về không gian – thời gian” để đo khoảng cách từ các ngón tay người dùng đến màn hình điện thoại, sau đó đoán chính xác những ký tự nào mà ngón tay đã gõ trên bàn phím. “Nó giống như kiểu đọc bằng quan sát chuyển động của môi”, Vir Phoha, một giáo sư khoa học máy tính ở Syracuse nói. “Dựa trên các cử động của tay và hình dạng của điện thoại, chúng tôi có thể nhận ra những phím nào đang được nhấn”.

Hiện chưa ghi nhận trường hợp nào hacker lấy cắp mật khẩu bằng cách này, tuy nhiên, các kỹ sư công nghệ cho rằng đó chỉ là vấn đề thời gian. “Chúng tôi tin rằng rất có khả năng phần mềm sẽ được sử dụng bởi các kẻ xấu muốn tìm cách ăn cắp thông tin cá nhân nhạy cảm.” Phoha và ba nhà nghiên cứu khác của Đại học Syracuse cho biết công nghệ này rất đơn giản, bất kỳ ai biết về lập trình đều có thể sử dụng và việc sử dụng rộng rãi smartphone đã cung cấp hàng triệu mục tiêu.

Ngoài việc lấy cắp mật khẩu smartphone, điều này cho thấy rất nhiều nguy cơ đối với các giao dịch ngân hàng và tài chính khác. Công nghệ phân tích video tương tự cũng có thể được dùng để phân tích mã PIN trên máy ATM, khóa thông minh trên nhà, cửa garage và nhiều ứng dụng tương tự khác.

Việc công bố các công nghệ như thế này trên báo chí có thể cung cấp cho hacker một cách làm mới để lừa gạt người dùng. Tuy nhiên, do các nhà báo công nghệ đã đăng tải, nên các chuyên gia bảo mật và cả các tổ chức phạm tội đã biết về nó. Do đó Yahoo Finance đã quyết định thông báo cho người tiêu dùng về hình thức đánh cắp mới này. Các cơ quan bảo mật, thực thi pháp luật cũng nên lưu ý hành vi này. Chẳng hạn, DARPA, đơn vị chuyên trách công nghệ của Lầu Năm Góc đã tài trợ một phần cho nghiên cứu của Syracuse.

Trong thử nghiệm của Syracuse, có 50 người tình nguyện tham gia gõ mã PIN trên smartphone HTC One, theo nhiều kiểu thiết lập mật khẩu khác nhau. Các nhà nghiên cứu đã ghi lại được 4 video khác nhau về mỗi tình nguyện viên. 2 thiết bị dùng để ghi video là camera trên smartphone Google Nexus 5 và một chiếc máy quay của Sony. Tất cả video đều được ghi cách từ 12-15 ft. Không một video nào quay trực tiếp màn hình điện thoại.

Kết hợp phân tích hình ảnh và thuật theo dõi cử động, phần mềm đã đoán ra mã PIN mà người dùng gõ, với mức độ chính xác giữa 40% đến 62% trong lần đoán đầu tiên khi dựa vào video và tỉ số phóng đại. Mức độ chính xác lên gần 82% sau 5 lần đoán sử dụng video chất lượng cao nhất, và đạt 94% sau 10 lần đoán.

Phoha cho biết: “chúng tôi chỉ cần khoảng 30 phút là có thể đoán ra mật khẩu, hầu như chúng tôi đã đoán đúng 100%.” Đồ thị này đưa ra các kết quả của các dự đoán được thực hiện qua máy tính cho việc quay hình sử dụng điện thoại thông minh Nexus và máy quay Sony ở mức zoom 2x, 4x và 6x.

Hacker hoàn toàn có thể quay lại những video như trên mà người dùng không hề biết, đặc biệt tại những nơi đông đúc như quán bar, xe buýt, tàu điện, sân bay hay khu mua sắm. Những tên cướp có thể biết được số thẻ tín dụng hoặc mã PIN thẻ ATM “qua vai” người dùng, thậm chí ở khoảng cách xa hơn bằng việc dùng camera có thấu kính phóng lên. Tóm lại, hack qua video – mà có thể được thực hiện một cách bí mật trên điện thoại thông minh trong khi thủ phạm dường như khai thác trên màn hình mà chẳng hề hấn gì – là không có gì nhiều hơn một biến thể mới trên một chủ đề cũ.

Hiện vẫn còn một số bước bổ sung các hacker sẽ phải làm để ăn cắp hoặc phá hoại với mã PIN có được. Để bắt đầu, họ sẽ phải xâm nhập vào ngân hàng riêng hoặc tài khoản tài chính. Họ có thể có thể làm điều đó bằng cách ăn cắp điện thoại, đăng nhập với mã PIN có được và mở ứng dụng mà không có mật khẩu bảo vệ bởi vì người sử dụng cứ cho rằng các mã PIN điện thoại thông minh đã được bảo vệ đủ.

Tin tặc cũng có thể thu thập thêm thông tin về các cá nhân mục tiêu, như địa chỉ email và số tài khoản, và sử dụng những thông tin này để đăng nhập vào tài khoản. Nếu những người quen biết hoặc đồng nghiệp là mục tiêu, thì một số thông tin đó có thể đã có sẵn. Kể từ khi hacker đã có một phần thông tin về hàng triệu người tiêu dùng, thì mã PIN điện thoại thông minh có thể là một mảnh ghép thiếu sót rất quan trọng – đặc biệt là nếu nó cũng là một mật mã cho các tài khoản khác.

Trong khi đó, chính bạn chống lại việc xâm nhập lén lút mã sẽ không khó, một khi bạn biết phải làm gì. Giữ điện thoại của bạn hoàn toàn ra khỏi tầm nhìn khi nhập mã PIN hoặc dữ liệu nhạy cảm khác là bước rõ ràng nhất. Các thiết bị IPhone và Android mới nhất cho phép bạn chọn một mật mã chữ phức tạp hơn và dài hơn, một mật mã có thể hơn 4 chữ số . Và sử dụng xác thực hai yếu tố, các ứng dụng theo dõi mật khẩu – sẽ giúp cải thiện an ninh và tăng tốc độ thời gian thông báo nếu ai đó đã thâm nhập vào tài khoản của bạn. Đây có thể là cách an toàn nếu có ai đó luôn luôn theo dõi và sớm hay muộn, họ sẽ được tìm ra được mật khẩu.

Nguồn bài viết : www.yahoo.com