Bảo Mật Tài Khoản Facebook

❖ Bảo mật tài khoản facebook và những phương pháp chiếm đặc quyền tài khoản facebook. Với tài khoản facebook, bạn có hai thứ cần phải bảo vệ:
➢  Tài khoản : Username/email và mật khẩu
➢  Access Token của tài khoản
Trong bài viết dưới đây chúng ta sẽ cùng nhau tìm hiểu các hình thức mà hacker sử dụng để tấn công tài khoản facebook phổ biến hiện nay

1. Token facebook là gì.

– Access Token là điều đầu tiên bạn cần phải biết nếu muốn hiểu về facebook cũng như khả năng tác động của chúng tới tài khoản facebook của bạn.
– Access Token ( mã truy cập) là một chuỗi kí tự không xác định ( vd nhu 1 chuoi ki tu: ABSQKDLKJ…..QPOPO ) được Facebook sinh ra cho mỗi đối tượng sử cụ thể : cá nhân, Fanpage, hay 1 ứng dụng. Đoạn mã này có thể giúp bạn thực hiện nhiều thao tác cho đối tượng đó mà không cần phải nhập mật khẩu. Access Token được sinh ra nhằm bảo vệ tài khoản người dùng bằng việc xác thực không cần cung cấp mật khẩu, đồng thời hỗ trợ các lập trình viên trong việc phát triển ứng dụng tương tác với Facebook. Facebook cung cấp quyền truy cập tạm thời và an toàn tới các API của Facebook để các ứng dụng có thể truy cập vào tài khoàn người dùngTùy vào quyền được cấp mà access token có thể làm được gì, trong đó một số thao tác thường thấy là :
– Xem thông tin công khai của người dùng
– Xem danh sách bạn bè
– Like, Share, Comment, đăng status
– Xem tin nhắn ….

– Dễ hiểu là nếu bạn có được Access Token của nick ABC, bạn có thể like, share, comment, đăng status dưới tên nick ABC này.
– Nếu muốn tìm hiểu nhiều hơn, bạn có thể vào trang https://developers.facebook.com/tools/explorer/145634995501895/ để tự tạo Access Token cho mình.

2. Các hình thức tấn công phổ biến

– Hình thức tấn công phổ biến và hiệu quả nhất là tấn công Phishing. Ở đây, bạn cần biết phishing là gì. Phishing có rất nhiều cách thức, hiểu đơn giản là việc xây dựng những hệ thống LỪA ĐẢO nhằm đánh cắp các thông tin nhạy cảm, như tên đăng nhập, mật khẩu hay thông tin về các loại thẻ tín dụng của người dùng,… Đối với facebook, Phishing xuất hiện như một thực thể đáng tin cậy, một App facebook, một trang web được xây dựng giống hệt template facebook, hay một trang web uy tín nào đó.
– Phishing trên facebook thường được thực hiện qua status, hay tin nhắn, dựa trên sự tò mò, thiếu hiểu biết hay sự chủ quan của người dùng để lừa người dùng đăng nhập tài khoản facebook. Bạn click vào link, bạn thấy mình bị đăng xuât khỏi facebook và trang web yêu cầu bạn đăng nhập lại, rất nhanh, liếc sơ qua thấy giao diện đúng là của facebook, không chút nghi ngờ, bạn nhập email, mật khẩu để đăng nhập. Bùm, vậy là bạn đã dính bẫy. Còn một hình thức nữa là kẻ tấn công dùng phương pháp Man-in-the-Middle, chuyển hướng DNS của trang facebook.com về trang giả mạo, tức là bạn truy cập http://facebook.com thì nó sẽ chuyển hướng về trang giả mạo và trang này không có https , tuy nhiên cách tấn công này chỉ thực hiện hiệu quả được trong môi trường mạng LAN và WIFI.

– Ngoài ra, bạn cũng có thể dính vào trường hợp đồng ý cấp quyền nào đó cho một apps mà không hề biết quyền này được kẻ tấn công dùng vào mục đính xấu.

– Một năm về trước, facebook tràn nhập các apps như “Ai vào xem tường nhà bạn nhiều nhất”, “30 năm sau bạn sẽ trông như thế nào?” , “Một nửa của bạn là ai”. Bạn nghĩ chúng được một lập trình viên tốt bụng tạo ra chỉ để giải trí ? Bạn đúng, nhưng chỉ 10%. Đại đa số các apps như vậy tạo ra nhằm lừa người dùng chơi và lấy access token của họ, bởi khi bắt đầu chơi, bạn sẽ được yêu cầu cấp quyền cho ứng dụng này, quyền này tùy người lập trình yêu cầu. Thường thì chúng chỉ yêu cầu truy cập vào trông tin công khai của người dùng, nhưng với kẻ có ý đồ xấu, nó có thể yêu cầu quyền cao hơn như quyền like, share, comment, đăng status … Nếu như bạn vô tình bị dính phải những app này hoặc bạn đã like 1 thứ gì đó mà chính bạn không biết thì có nghĩa là bạn đã bị người khác lấy token rồi đó. Lúc này thì bạn hãy thay đổi mật khẩu của mình để reset lại token.

3. Vậy hacker lấy tài khoản hay access token của bạn làm gì ?

– Tùy mục đích của hacker mà token của bạn sẽ được dùng vào mục đích gì. Hắn có thể post status “Tôi đang phê” chẳng hạn, hoặc xem tin nhắn – điều này rất nguy hiểm với nhiều người có thói quen gửi những thứ quan trọng qua facebook như tài khoản ngân hàng, mã PIN, mật khẩu mail …. Với những kẻ chuyên nghiệp, chọn con đường xấu này để kiếm tiền thì hắn có thể sử dụng một chương trình cho phép gửi tin nhắn hàng loạt tới bạn bè của nạn nhân, việc này lặp lại với mỗi nạn nhân bị lừa làm cho số lượng nạn nhân càng ngày càng tăng. Và cuối cùng khi đã có được token hay tài khoản, chúng thường được đưa vào chương trình like, share hàng loạt. Bán like facebook cũng từ đây mà ra. Chắc hẳn nhiều người từng nghĩ người bán dịch vụ like facebook này sẽ tạo ra chục ngàn tài khoản facebook và like cho bạn, bạn nên thay đổi cách nghĩ của mình. Thị trường mua bán access token hay tài khoản facebook cũng rất sôi nổi, chỉ cần bỏ ra một số tiền nhỏ là bạn có thể sở hữu rất nhiều token, với tài khoản thì tốn tiền hơn một chút, sau đó mua hoặc tìm phiên bản crack, miễn phí của 1 phần mềm đặc biệt, add token, tài khoản vào là bạn có thể thỏa sức sống ảo.

Với 1 kẻ tấn công có trình độ cao thì dù bạn có đề phòng thì khả năng bị hắn phishing tài khoản facebook thành công là không hề nhỏ. Tuy nhiên, nếu tuân thủ các quy tắc an toàn dưới đây thì bạn đã hạn chế được 99% khả năng bị “thịt” rồi.

4. Cách bảo mật tài khoản facebook

– Với tài khoản, bạn nên sử dụng bảo mật 2 bước để facebook gửi mã đăng nhập về điện thoại của bạn, đồng thời bạn nên đổi mật khẩu thường xuyên. Chỉ thực hiện đăng nhập trên trang https://facebook.com , trường hợp nếu bạn được yêu cầu đăng nhập facebook mà đường link dài nhìn giống facebook và bạn không chắc đó có phải facebook không, thì hãy quay lại trang https://facebook.com – hãy nhớ là HTTPS ,để đăng nhập rồi quay lại trang đó. Nếu vẫn yêu cầu đăng nhập thì chắc chắn đó là trang giả mạo.
– Với token, hạn chế sử dụng các apps nếu không cần thiết và xem kĩ các quyền cấp cho apps đó nếu có sử dụng. Tuyệt đối không cấp quyền like, share hay xem tin nhắn cho bất kì ứng dụng nào. Bạn có thể vào mục Setting -> Apps để xem các apps đang sử dụng access token của bạn. Nếu bạn phát hiện tài khoản có dấu hiệu xâm nhập thì hãy vào đây và xóa các apps không cần thiết, hoặc xóa hết cho đảm bảo.

– Một extension chrome rất hay giúp bạn tránh bị phishing trên facebook đó là J2TeaM Security, được phát triển bởi junookyo.blogspot.com

Kỹ thuật của hacker ngày một tinh vi, không gì có thể đảm bảo 100% bạn không bị mất tài khoản, nhưng hãy trang bị cho mình hiểu biết, kĩ năng cần thiết để hạn chế nhất có thể tình huống tài khoản bị xâm nhập.