Password Spraying là gì? Hậu quả & Mẹo phòng chống phun mật khẩu

Tấn công rải mật khẩu (Password Spraying) là một kỹ thuật tấn công mạng trong đó tin tặc sử dụng một số ít mật khẩu phổ biến để thử với một danh sách lớn các tên người dùng. Dưới đây, InterData sẽ đi sâu vào tìm hiểu tấn công Password Spraying là gì, cách thức hoạt động, tác hại, các dấu hiệu nhận biết và những giải pháp tránh tấn công phun mật khẩu hiệu quả để bảo vệ hệ thống của bạn.

Password Spraying là gì?

Password Spraying (phun mật khẩu) là một kỹ thuật tấn công nhắm vào tài khoản người dùng, thay vì thử hàng trăm, hàng nghìn mật khẩu trên một tài khoản, tin tặc lại sử dụng một hoặc một vài mật khẩu yếu, phổ biến để thử trên hàng loạt tài khoản người dùng. Tấn công Password Spraying theo một cách thức khác biệt so với các cuộc tấn công Brute Force truyền thống.

Mục tiêu của kỹ thuật tấn công phun mật khẩu này là tránh kích hoạt cơ chế khóa tài khoản (account lockout) của hệ thống, vì mỗi tài khoản chỉ bị thử một lần cho một mật khẩu cụ thể, cuộc tấn công diễn ra chậm rãi, khó bị phát hiện và thường thành công với các tổ chức sử dụng mật khẩu yếu.

Password spraying hoạt động như thế nào?

Quy trình tấn công phun mật khẩu không hề ngẫu nhiên mà tuân theo một kịch bản có tính toán. Có thể mô tả quy trình này qua ba bước chính:

1. Thu thập danh sách người dùng

Tin tặc bắt đầu bằng việc thu thập một danh sách các tên người dùng hợp lệ trong một tổ chức hoặc hệ thống. Nguồn dữ liệu có thể từ nhiều kênh khác nhau, chẳng hạn như:

• Thông tin công khai: Các tài khoản LinkedIn, danh bạ nhân viên trên website công ty.
• Vi phạm dữ liệu (Data Breaches): Dữ liệu rò rỉ từ các cuộc tấn công mạng trước đó.
• Các công cụ reconaissance (trinh sát): Sử dụng các công cụ chuyên dụng để quét và thu thập thông tin về cấu trúc tên người dùng của tổ chức.

2. Chuẩn bị một danh sách mật khẩu phổ biến

Sau khi có danh sách tên người dùng, tin tặc sẽ tạo một danh sách các mật khẩu phổ biến và yếu. Các mật khẩu này thường bao gồm:

• Tên công ty hoặc sản phẩm kèm theo năm hiện tại (ví dụ: InterData2025!)
• Các từ ngữ đơn giản, quen thuộc (ví dụ: password, admin, welcome)
• Các chuỗi số thứ tự đơn giản (ví dụ: 123456, 654321)

3. Thực hiện tấn công rải mật khẩu

Cuối cùng, tin tặc sẽ sử dụng các công cụ tự động để “rải” các mật khẩu này lên danh sách tên người dùng đã thu thập. Ví dụ, chúng sẽ thử mật khẩu Spring2025! với 1000 tài khoản người dùng khác nhau. Sau đó, chúng chuyển sang mật khẩu Winter2025! và lặp lại quy trình.

Cách làm này không gây ra quá nhiều lần đăng nhập sai trên một tài khoản, từ đó tránh bị hệ thống bảo mật phát hiện và khóa tài khoản.

Tác hại của tấn công password spraying

Khi tấn công Password Spraying thành công, hậu quả để lại có thể rất nghiêm trọng, ảnh hưởng trực tiếp đến an ninh, tài chính và uy tín của tổ chức. Dưới đây là các điểm chính:

Mất quyền kiểm soát tài khoản

Mất quyền kiểm soát tài khoản là hậu quả trực tiếp, tin tặc sẽ chiếm được quyền truy cập vào các tài khoản nhạy cảm như email doanh nghiệp, tài khoản quản trị hệ thống, hoặc các tài khoản chứa dữ liệu quan trọng.

Rò rỉ dữ liệu nhạy cảm

Sau khi có quyền truy cập, tin tặc có thể lấy cắp các dữ liệu bí mật như thông tin khách hàng, báo cáo tài chính, tài liệu nghiên cứu và phát triển sản phẩm. Điều này không chỉ gây tổn thất về mặt kinh tế mà còn có thể dẫn đến các vụ kiện tụng.

Lan truyền mã độc và kiểm soát hệ thống

Tin tặc có thể sử dụng tài khoản bị chiếm đoạt để cài đặt mã độc (ransomware, spyware) hoặc tạo ra các tài khoản “backdoor” để duy trì quyền truy cập lâu dài, phục vụ cho các cuộc tấn công trong tương lai.

Thiệt hại về tài chính và uy tín

Một cuộc tấn công thành công không chỉ gây ra tổn thất tài chính trực tiếp mà còn làm giảm uy tín của tổ chức. Khách hàng và đối tác sẽ mất lòng tin vào khả năng bảo mật của bạn, dẫn đến những thiệt hại lâu dài về kinh doanh.

Làm gián đoạn hoạt động kinh doanh

Cuộc tấn công password spraying có thể dẫn đến việc làm giảm hiệu suất hệ thống, các email độc hại lan truyền, gây mất tập trung và giảm năng suất làm việc của nhân viên.

Khó phát hiện và tránh bị khóa tài khoản

Khác với các tấn công brute force truyền thống, password spraying dùng số lần thử rất ít trên mỗi tài khoản để tránh bị khóa tài khoản do chính sách khóa khi đăng nhập sai nhiều lần, khiến việc phát hiện trở nên khó khăn.

Do đó, password spraying là một trong những kỹ thuật tấn công mật khẩu rất tinh vi và ngày càng phổ biến, khiến việc bảo mật mật khẩu và áp dụng phương thức xác thực nhiều yếu tố trở nên hết sức quan trọng để bảo vệ tài khoản và hệ thống.

Dấu hiệu nhận biết bị tấn công password spraying

Để phòng tránh tấn công xịt mật khẩu, chúng ta cần nhận biết các dấu hiệu sớm. Nếu bạn là một quản trị viên IT, hãy chú ý đến những điểm sau:

Tăng mạnh số lần đăng nhập không thành công

Vì password spraying thử cùng một mật khẩu phổ biến với nhiều tài khoản khác nhau đồng thời, hệ thống sẽ ghi nhận lượng lớn đăng nhập thất bại trong một khoảng thời gian ngắn.

Số lượng tài khoản bị khóa cao bất thường

Mặc dù password spraying cố gắng tránh việc khóa tài khoản bằng cách thử từng mật khẩu trên nhiều tài khoản khác nhau, nhưng nếu số lượng tài khoản bị khóa tăng đột biến có thể là dấu hiệu kẻ tấn công đang thực hiện các nỗ lực đăng nhập liên tục.

Đăng nhập từ các tài khoản không hợp lệ

Việc có nhiều yêu cầu đăng nhập đến từ các tài khoản cũ, tài khoản không còn hoạt động hoặc giả mạo cũng là dấu hiệu cho thấy có tấn công password spraying.

Lưu lượng xác thực bất thường được ghi nhận trong nhật ký hệ thống

Số lượng lớn các yêu cầu đăng nhập từ cùng một địa chỉ IP hoặc các địa chỉ IP được ghi nhận trong nhật ký hệ thống liên tục thay đổi với mật khẩu được thử nghiệm giống nhau cũng là cảnh báo.

Thông báo trạng thái lỗi nhất quán

Các phản hồi lỗi “Invalid password” hoặc mã trạng thái HTTP 401 Unauthorized được gửi nhiều lần liên tục với các tài khoản khác nhau cho thấy có quá trình dò mật khẩu tập trung.

Những dấu hiệu này giúp các quản trị viên hệ thống nhanh chóng nhận diện và phản ứng kịp thời trước các cuộc tấn công password spraying nhằm bảo vệ tài khoản và hệ thống khỏi bị chiếm quyền.

Ví dụ về các cuộc tấn công Password Spraying

Các tài khoản người dùng có mật khẩu yếu và cơ chế xác thực kém thường dễ trở thành nạn nhân của các cuộc tấn công password spraying. Dưới đây là một số ví dụ thực tế về các cuộc tấn công dạng này, buộc nhiều tổ chức phải tăng cường các biện pháp bảo mật.

Microsoft Exchange Online (Tháng 10/2022)

Vào tháng 10 năm 2022, Microsoft cảnh báo rằng các cuộc tấn công password spraying đang nhắm vào người dùng Exchange Online sử dụng cơ chế xác thực cơ bản (Basic Authentication).

Các cuộc tấn công này đã khiến Microsoft quyết định loại bỏ Basic Auth cho Exchange Online, sau đó nhóm Exchange của Microsoft làm rõ rằng việc vô hiệu hóa Basic Authentication trong Exchange Online chỉ nhằm mục đích bảo vệ tài khoản và dữ liệu người dùng trước nguy cơ ngày càng tăng từ các cuộc tấn công password spraying.

Citrix (2018–2019)

Trong khoảng thời gian từ ngày 13 tháng 10 năm 2018 đến ngày 8 tháng 3 năm 2019, một cuộc tấn công password spraying đã thành công trong việc xâm nhập trái phép vào mạng nội bộ của Citrix.

Tổ chức này xác nhận rằng các tài liệu và tệp tin kinh doanh đã bị đánh cắp. Theo Citrix, một số ổ đĩa ảo cá nhân và tài khoản email doanh nghiệp của người dùng đã bị xâm phạm. Ngoài ra, kẻ tấn công cũng đã nhắm mục tiêu vào nhiều ứng dụng nội bộ khác nhau.

Microsoft Office 365 (2019)

Năm 2019, một nhóm tin tặc đã thực hiện cuộc tấn công password spraying nhắm vào các tài khoản Microsoft Office 365. Chúng đã truy cập trái phép vào 1.800 tài khoản email khách hàng bằng cách sử dụng danh sách mật khẩu thu được từ những vụ rò rỉ dữ liệu trước đó.

Phân biệt Password Spraying và Brute Force

Để hiểu rõ hơn về Password Spraying, hãy so sánh nó với người “anh em” phổ biến hơn là tấn công Brute Force qua bảng sau.

Bảng so sánh giữa Password Spraying và Brute Force:

Cách phòng chống tấn công password spraying

Phòng chống tấn công Password Spraying không hề khó nếu bạn áp dụng đúng các giải pháp. Dưới đây là những biện pháp quan trọng mà mọi tổ chức cần triển khai:

• Yêu cầu mật khẩu mạnh và phức tạp: Cần có chính sách yêu cầu người dùng sử dụng mật khẩu dài, phức tạp, kết hợp chữ cái viết hoa, viết thường, số và ký tự đặc biệt.
• Kích hoạt xác thực đa yếu tố (MFA): Đây là biện pháp phòng thủ hiệu quả nhất. Ngay cả khi tin tặc có được mật khẩu, chúng vẫn không thể đăng nhập nếu không có yếu tố xác thực thứ hai (ví dụ: mã OTP từ điện thoại, sinh trắc học).
• Giới hạn số lần đăng nhập sai: Cấu hình hệ thống để khóa tài khoản tạm thời sau một số lần đăng nhập sai nhất định (ví dụ: 5 lần). Mặc dù tin tặc có thể tránh được điều này ở một mức độ, nhưng đây vẫn là một lớp bảo vệ cơ bản.
• Giám sát và phân tích log đăng nhập: Thiết lập hệ thống giám sát an ninh (SIEM – Security Information and Event Management) để theo dõi và phân tích các log đăng nhập. Bất kỳ sự gia tăng bất thường nào về số lượng yêu cầu đăng nhập từ một địa chỉ IP hoặc một dải IP đều cần được cảnh báo.
• Nâng cao nhận thức cho người dùng: Giáo dục nhân viên về tầm quan trọng của việc sử dụng mật khẩu mạnh, nhận biết các cuộc tấn công lừa đảo (phishing) và các mối đe dọa an ninh mạng.
• Triển khai xác thực đa yếu tố (2FA): Bật bước xác thực thứ hai giúp tăng cường bảo mật, hạn chế khả năng kẻ tấn công sử dụng mật khẩu bị lộ để truy cập vào tài khoản.
• Sử dụng CAPTCHA hoặc các biện pháp chống tự động hóa: Giúp ngăn chặn các công cụ tự động thử mật khẩu từ phía tấn công.
• Xóa hoặc quản lý chặt chẽ các tài khoản không sử dụng hoặc có quyền cao không cần thiết: Giúp giảm bề mặt tấn công.
• Áp dụng chính sách “Zero Trust”: Chỉ cho phép truy cập với quyền tối thiểu cần thiết, thường xuyên đánh giá và điều chỉnh quyền hạn.
• Sử dụng sinh trắc học thay thế mật khẩu khi có thể: Giúp hạn chế việc lộ mật khẩu và tăng cường bảo mật đăng nhập.
• Đào tạo người dùng nâng cao nhận thức về bảo mật mật khẩu: Khuyến khích sử dụng mật khẩu mạnh và không chia sẻ mật khẩu.

Những biện pháp này khi được thực hiện đồng bộ sẽ giúp ngăn chặn hiệu quả các cuộc tấn công password spraying, bảo vệ tài khoản người dùng và hệ thống trước các nguy cơ xâm nhập trái phép.