"Vòng đời của nạn đánh cắp tài khoản bắt đầu với việc đánh cắp mật khẩu" - kỹ sư bảo mật tại Google là Grzegorz Milka nói tại Hội nghị an ninh mạng Enigma ở Santa Clara,ếnđấuvớinạnđánhcắpmậtkhẩkết quả cúp ý California vào hôm thứ Tư vừa qua.

Theo Gizmodo, hacker sử dụng nhiều thủ thuật khác nhau để thu thập mật khẩu, bao gồm "nhặt nhạnh" chúng từ các vụ xâm nhập và phát tán dữ liệu, hoặc thu thập thông qua các trình keylogger, malware, và các vụ lừa đảo. Trong đợt nghiên cứu được thực hiện từ tháng 5/2016 đến tháng 5/2017 này, Google đã phát hiện được đến 67 triệu tài khoản Google hợp lệ đang được... bán trên chợ đen. Họ ước tính rằng khoảng 17% số người dùng sử dụng lại cùng một mật mã cho nhiều tài khoản thuộc các website khác nhau, khiến các tài khoản của họ vô tình trở thành miếng mồi béo bở nếu xảy ra các vụ xâm nhập dữ liệu tại các công ty khác làm lộ mật mã.

Theo Milka, người dùng cần bật tính năng xác nhận hai bước trong tài khoản để tự bảo vệ mình khỏi nạn ăn cắp mật khẩu. Thế nhưng phần lớn người dùng Google lại không chọn phương pháp này, và theo Google ước tính thì chỉ có dưới 10% người dùng thường xuyên đã bật tính năng này (dù những con số nêu trên là khá thấp, nhưng bạn nên nhớ rằng 10% lượng người dùng Google cũng đã lên đến hàng triệu người).

Không được bảo vệ bởi tính năng xác nhận hai bước, Google sẽ cần phải "mò sâu" hơn vào trong dữ liệu tài khoản email của người dùng để có thể bảo mật cho tài khoản của chính họ.

Đôi lúc, bạn nhận được một email từ Google cảnh báo rằng tài khoản của bạn đã được truy cập tại một địa điểm mới, nhưng các hacker đã biết điều này, và chúng sẽ cố gắng "thu hoạch" một địa chỉ IP hoặc dữ liệu về vị trí để nguỵ trang, làm như chúng đang đăng nhập từ một nơi giống như bạn thường đăng nhập - Milka giải thích. Các nhà nghiên cứu đã phát hiện ra rằng 83% các vụ lừa đảo không chỉ có mục đích đánh cắp thông tin định danh mà còn cả dữ liệu về vị trí nữa.

Một số khác thậm chí còn cố thu thập số điện thoại  - một dữ liệu mà đôi lúc Google sẽ sử dụng để xác nhận một lần đăng nhập. Việc nắm được số điện thoại sẽ có thể rất hữu dụng đối với các hacker, ngay cả khi người dùng đã bật tính năng xác nhận hai bước. Trong một số trường hợp, các hacker thậm chí còn tìm cách để lừa các công ty di động chuyển số điện thoại của nạn nhân sang một SIM mới, từ đó cho phép chúng can thiệp và nhận được các tin nhắn SMS xác nhận hai bước.

Google còn nghiên cứu hoạt động của tài khoản để tìm kiếm các dấu hiệu có liên quan đến ý đồ xấu. Những kẻ tấn công thường tuân theo một khuôn mẫu chung: chúng thường xoá các email mà Google gởi cho người dùng để cảnh báo các đợt đăng nhập đáng ngờ, tìm trong tài khoản các thông tin nhạy cảm như ảnh nude hay các thông tin tài chính, xuất danh bạ để lợi dụng trong các lần lừa đảo sau này, đặt các bộ lọc thư để giấu đi các thư cảnh báo về hack, và gởi các email lừa đảo từ tài khoản của người dùng trước khi đăng xuất. Hầu hết mọi người dùng đều chẳng bao giờ thực hiện các hành động này, và biết được điều đó có thể giúp Google nắm được tài khoản nào đang bị kiểm soát.

Đôi lúc, Google sẽ đặt ra một số thử thách cho người dùng không bật tính năng xác nhận hai bước trong lúc đăng nhập, trong đó yêu cầu họ phải cung cấp một địa chỉ email hoặc số điện thoại dự phòng để xác nhận xem liệu họ có phải là chủ nhân thực sự của tài khoản đó không. Công ty này còn sử dụng các công cụ như Safe Browsing để cảnh báo người dùng về các đường link lừa đảo và cung cấp chương trình bảo vệ cấp cao (Advanced Protection Program) giúp người dùng đang có tài khoản bị xâm nhập có thể khoá hoàn toàn tài khoản của họ lại.

"Câu hỏi là, tại sao chúng ta không bắt buộc người dùng sử dụng tính năng xác nhận hai bước làm mặc định?" - Milka hỏi - "Câu trả lời là bởi tính sử dụng được. Tính sử dụng được ở đây là: chúng ta đều muốn người dùng sử dụng tài khoản của họ, nhưng chúng ta sẽ khiến bao nhiêu người không sử dụng các tài khoản Google của họ nữa nếu họ bị buộc phải sử dụng các biện pháp an ninh bổ sung?"