Thống kê được các nhà nghiên cứu Kaspersky công bố tại hội nghị bảo mật CSW 2024 tuần trước cho thấy nguy cơ lộ mật khẩu ngày càng cao dù người dùng đã ý thức đặt mật khẩu mạnh, trong bối cảnh AI phát triển và bị lợi dụng cho mục đích xấu.
Hiện nay, mật khẩu thường được người dùng được tạo dưới dạng văn bản thuần túy, sau đó được bảo vệ bằng cách sử dụng hàm băm (hash) tạo chuỗi ký tự gần như không thể đọc hay đảo ngược. Để dò tìm, một trong những phương thức được hacker dùng là brute-force (tấn công vét cạn), tức chạy thử các chuỗi ký tự cho đến khi trúng mật khẩu. Với cách này, khoảng 23% mật khẩu có thể bị dò tìm dưới 60 giây, 9% bị bẻ khóa trong 1-60 phút, theo nghiên cứu của Kaspersky.
Tuy nhiên kẻ tấn công có thể dễ dàng xây dựng các mô hình AI riêng để cải thiện khả năng dò đoán, thậm chí đảo ngược mật khẩu đã mã hóa thành ký tự ban đầu, tận dụng cơ sở dữ liệu là các mật khẩu bị lộ từ trước. Ví dụ bộ dữ liệu 10 tỷ mật khẩu được chia sẻ hồi tháng 7 trở thành nguồn dữ liệu lớn cho các mô hình này.
Alexey Antonov, trưởng nhóm nghiên cứu AI tại Kaspersky, cho biết đội ngũ của ông đã đào tạo một mô hình AI để phân tích mật khẩu bị rò rỉ và nhận thấy tốc độ bẻ khóa gia tăng đáng kể. Khoảng 32% mật khẩu có thể bị khôi phục từ dạng băm trong thời gian dưới 60 phút.
Khi chạy ứng dụng AI trên phần cứng GPU RTX 4090 và hàm băm MD5 với tốc độ 164 tỷ hash mỗi giây, có 61% mật khẩu bị bẻ khóa trong 60 giây và 17% bị bẻ khóa trong 1-60 phút, cao gấp ba lần so với phương thức brute-force kiểu cũ.
Thói quen đặt mật khẩu của người dùng là một trong các yếu tố giúp AI dễ bẻ khóa. Mật khẩu sử dụng ký tự liên quan hoặc chuỗi ký tự phổ biến như "admin", "password", "qwerty12345", "nguyen" đều có trong các "từ điển" của hacker, khiến chúng dễ dàng bị tìm ra. Đặt mật khẩu dài, chứa cả chữ cái, chữ số, ký tự đặc biệt, hoặc sử dụng trình tạo mật khẩu ngẫu nhiên được chuyên gia khuyến nghị để giảm khả năng bị bẻ khóa.
Gia tăng nguy cơ tấn công mạng trong thời AI
Trong bối cảnh AI ngày càng được ứng dụng vào cuộc sống, công việc, những kẻ tấn công cũng có thêm nhiều phương thức mới. "AI là công cụ mạnh mẽ, nhưng kẻ thù của chúng ta cũng sử dụng nó", Antonov cảnh báo. Đây là lý do hội nghị bảo mật CSW năm nay tập trung vào nguy cơ từ AI.
Theo chuyên gia này, ngoài sử dụng AI như một công cụ trong việc dò tìm mật khẩu nhanh hơn, hay sử dụng AI tạo sinh như ChatGPT để viết mã độc, tự động hóa cuộc tấn công, kẻ gian còn có thể sử dụng AI để tạo cuộc tấn công phi kỹ thuật vào người dùng.
Điển hình trong số này là lợi dụng AI tạo văn bản, hình ảnh, âm thanh, video để sinh ra nội dung giả mạo, deepfake và lừa đảo. Một trong những vụ tấn công tinh vi nhất từng xảy ra vào tháng 2 tại Hong Kong, khi kẻ lừa đảo đã dùng deepfake để mạo danh giám đốc điều hành và thực hiện một cuộc họp online, thuyết phục nhân viên tài chính chuyển 25 triệu USD.
Thống kê của Kaspersky cho thấy 21% email lừa đảo hiện nay được tạo bởi bot. Ngoài ra, trong các sự kiện lớn như Halloween, Black Friday, năm mới, lượng nội dung AI tăng mạnh, cho thấy các nhóm tấn công đang tận dụng công nghệ để có thể phát tán nội dung lừa đảo trên quy mô lớn.
Tại hội nghị bảo mật hồi tháng 5 ở Việt Nam, cơ quan quản lý, chuyên gia cũng cho rằng cần có quy định pháp lý cho nhà phát triển AI, trong bối cảnh nguy cơ tấn công mạng trong thời đại AI ngày càng tăng.
Thượng tá Nguyễn Anh Tuấn, Phó Giám đốc Trung tâm Dữ liệu Quốc gia về Dân cư - Bộ Công an, lấy ví dụ việc AI có thể tạo nhiều ứng dụng có hình ảnh và tên giả mạo các app, trang web của Bộ Công an để dụ người dân tải về, cài đặt và điền thông tin như số CCCD, mật khẩu đăng nhập. Ông đề xuất cần sớm hoàn thiện hành lang pháp lý về AI để đón đầu xu thế, đồng thời ban hành văn bản quy định về đạo đức trong quá trình phát triển, sản xuất, ứng dụng, sử dụng AI, như bảo vệ quyền riêng tư, dữ liệu cá nhân, quyền con người, của các đơn vị trong và ngoài nước.
Còn theo Thứ trưởng Thông tin và Truyền thông Phạm Đức Long, AI đang định hình lại gần như mọi ngành công nghiệp, trong đó có an toàn thông tin mạng. AI đang được sử dụng ở hai "chiến tuyến", gồm cả bên tấn công mạng và bên phòng thủ hệ thống. Ông khuyến nghị các tổ chức cần ứng dụng AI để tăng cường an toàn thông tin mạng, tận dụng khả năng phân tích tập dữ liệu lớn với tốc độ cao, sàng lọc dữ liệu lớn để xác định hành vi bất thường, phát hiện hoạt động độc hại mà công nghệ truyền thống chưa xử lý được.
Lưu Quý