Tấn công password spraying - lỗ hổng từ sự chủ quan trong bảo mật tài khoản

Theo Công ty an ninh mạng Kaspersky tấn công Password spraying là một biến thể của tấn công brute force (dò mật khẩu), trong đó kẻ tấn công sử dụng một mật khẩu thường là dễ đoán như “123456”, “password”, “qwerty” để thử đăng nhập vào hàng loạt tài khoản khác nhau, thay vì tập trung phá một tài khoản duy nhất bằng nhiều mật khẩu. Nhờ vậy, chúng dễ dàng vượt qua các cơ chế khóa tài khoản sau nhiều lần đăng nhập sai, vốn được áp dụng rộng rãi trong doanh nghiệp. Quá trình tấn công thường được tự động hóa, có thể thực hiện theo từng đợt để tránh bị hệ thống phát hiện. Đặc biệt, các hệ thống đăng nhập một lần (SSO), các nền tảng đám mây hoặc những nơi có thiết lập mật khẩu mặc định cho người dùng mới thường là mục tiêu lý tưởng.

Mật khẩu đơn giản dễ bị tin tặc tấn công. Ảnh: Kaspersky

Cách thức triển khai của password spraying khá đơn giản nhưng hiệu quả. Trước tiên, tin tặc thu thập danh sách tên người dùng từ các nguồn công khai như LinkedIn hoặc mua từ các kho dữ liệu bị rò rỉ trên dark web nơi ước tính có tới hơn 15 tỷ thông tin đăng nhập đang được rao bán. Tiếp đó, chúng sử dụng danh sách các mật khẩu phổ biến (có sẵn trên internet) để thử đăng nhập theo cơ chế “một mật khẩu cho nhiều tài khoản”. Các công cụ tự động sẽ lặp lại quá trình này với mật khẩu tiếp theo, và cứ thế tiếp diễn đến khi có được quyền truy cập.

Khi tấn công thành công, hậu quả với doanh nghiệp có thể rất nghiêm trọng: tài khoản bị kiểm soát có thể chứa thông tin nhạy cảm, dữ liệu tài chính hoặc có quyền truy cập sâu hơn vào hệ thống nội bộ. Tin tặc có thể dùng tài khoản để gửi email giả mạo, đánh cắp tiền, thay đổi đơn hàng hoặc phát tán mã độc trong tổ chức. Về lâu dài, điều này không chỉ gây thiệt hại tài chính mà còn ảnh hưởng tới uy tín doanh nghiệp, đặc biệt nếu khách hàng biết dữ liệu của mình không được bảo vệ an toàn.

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) từng cảnh báo về việc ngay cả các nhóm tin tặc có hậu thuẫn nhà nước cũng sử dụng password spraying như một trong những công cụ xâm nhập phổ biến. Theo các chuyên gia, những dấu hiệu cho thấy một hệ thống đang bị tấn công password spraying bao gồm: số lượng lớn yêu cầu đăng nhập thất bại trong thời gian ngắn, các lần đăng nhập bất thường từ tài khoản không hoạt động hoặc từ cùng một địa chỉ IP đến nhiều tài khoản khác nhau.

Để phòng ngừa, doanh nghiệp cần xây dựng chính sách mật khẩu mạnh, yêu cầu độ dài tối thiểu, bao gồm chữ hoa, số, ký tự đặc biệt và tránh dùng mật khẩu dễ đoán. Việc áp dụng xác thực đa yếu tố (MFA), thiết lập giới hạn đăng nhập hợp lý, phát hiện các hành vi đăng nhập bất thường và sử dụng các công cụ quản lý mật khẩu sẽ góp phần giảm đáng kể nguy cơ bị tấn công. Ngoài ra, cần tránh sử dụng định dạng tên đăng nhập phổ biến cho các tài khoản hệ thống hoặc quản trị. Với cá nhân, việc sử dụng phần mềm quản lý mật khẩu giúp tạo ra và lưu trữ các mật khẩu phức tạp, loại bỏ thói quen dùng lại mật khẩu yếu tố khiến người dùng dễ trở thành mục tiêu.

Password spraying tuy đơn giản nhưng lại rất hiệu quả khi gặp người dùng chủ quan. Trong một thế giới số ngày càng kết nối và phức tạp, việc coi nhẹ bảo mật cá nhân chính là tạo ra cơ hội cho tội phạm mạng hoạt động. Nhận diện sớm và xây dựng các lớp bảo vệ vững chắc sẽ là lá chắn quan trọng giúp doanh nghiệp và người dùng an toàn hơn trước các mối đe dọa âm thầm này.

Duy Trinh (theo Kaspersky)