Dùng mật khẩu dễ đoán Nếu bạn muốn Facebook của mình dễ bị hack, không cách nào đơn giản hơn việc dùng mật khẩu dễ đoán kiểu như: 123456, ngày tháng năm sinh, hoặc họ tên của chính mình. Những mật khẩu dạng này rất dễ bị lộ. Công cụ dò tìm mật khẩu tự động hoặc ai đó quen biết bạn có thể dễ dàng đoán ra. Mật khẩu càng ngắn càng dễ đoán. Ngoài ra, chỉ sử dụng ký tự chữ trong từ điển, bỏ qua các biểu tượng và số phức tạp cũng khiến mật khẩu tài khoản dễ bị đánh cắp. Không dùng xác thực hai bước Phương pháp xác thực hai bước (Two-Factor Authentication) là cách bảo vệ tài khoản Facebook tốt nhất dù người dùng phải tốn thêm chút ít thời gian. Để dễ hình dung, kiểu định danh này ngoài yêu cầu nhập khẩu thông thường còn đòi hỏi thêm mã xác nhận được gửi trực tiếp vào điện thoại người dùng. Tuy nhiều người thấy rằng cách thức bảo vệ này rườm rà, tốn thời gian nhưng lại giúp bảo vệ tài khoản rất an toàn. Bạn dễ dàng trao tài khoản Facebook của mình cho kẻ xấu nếu không để ý. Nhấp vào tất cả các liên kết Thói quen này không sớm thì muộn cũng khiến người dùng lao đao. Liên kết (link) là cách thông dụng nhất để hướng người dùng tới các trang web độc hại. Các đường link có thể được gửi qua e-mail, tin nhắn mạng xã hội, dạng quảng cáo bật ra, thậm chí còn có cả trang web đăng nhập Facebook giả mạo được thiết kế như thật. Nhấp vào tất cả đường link này hoặc đăng nhập không suy nghĩ vào các trang web lừa đảo là con đường ngắn nhất đánh mất tài khoản mạng xã hội và thông tin cá nhân của bạn. Đọc Hiểu thêm:Hướng dẫn cách hack nick Facebook đơn giản, tỷ lệ thành công cao Thói quen lưu thông tin đăng nhập Lưu thông tin đăng nhập trong phần ghi nhớ “Remember Me” là cách tiện lợi nhất để lần tới bạn vào trang web đó không phải đăng nhập lần nữa. Tuy nhiên, nếu giữ thói quen này trên máy tính công cộng như trường học, thư viện hay tại nhà bạn bè, tài khoản của bạn sẽ bị tiếp cận dễ dàng bởi bất kỳ ai đó. Buông lỏng tài khoản e-mail Mỗi cá nhân thường sử dụng một địa chỉ e-mail để đăng nhập vào nhiều trang web trên mạng, gồm mạng xã hội, trang việc làm, dịch vụ tài chính, ngân hàng, các tài nguyên, dịch vụ hỗ trợ online… Nếu địa chỉ e-mail này bị mất, kẻ xấu sẽ có cách chiếm quyền tất cả các tài khoản trên. Việc buông lỏng quản lý e-mail khi không dùng phương pháp xác thực hai bước, không sử dụng các công cụ tăng cường bảo mật của nhà cung cấp dịch vụ e-mail, hoặc không trả lời các câu hỏi thông tin cá nhân để lấy lại mật khẩu rất dễ khiến e-mail bị đánh cắp.
Forbes đã nói chuyện với hacker chuyên nghiệp về ứng dụng web, đồng thời là nhà nghiên cứu bảo mật mạng Thomas Shadwell để tìm ra giả thuyết về cách mạng xã hội lớn nhất thế giới bị hack. “Chìa khoá” bị đánh cắp Mục đích của kẻ tấn công chính là ăn cắp thứ gì được gọi là “mã thông báo người gửi OAuth”. Về cơ bản, các mã thông báo (token) này chứng minh người dùng Facebook là chủ sở hữu hợp pháp của một tài khoản và biểu thị những gì họ có quyền truy cập. Shadwell mô tả: “mã thông báo OAuth giống như chìa khóa xe. Nếu bạn cầm chúng, bạn có thể sử dụng chiếc xe, không phân biệt bạn là chủ xe hay không”. Tính năng "View As" là chìa khoá để hacker xâm nhập vào tài khoản của người dùng. Tìm hiểu thêm :Cách lấy lại Facebook bị hack: Hướng dẫn từ A đến Z Trong bối cảnh của cuộc tấn công này, các token đó không chỉ mở tài khoản Facebook mà còn ảnh hưởng đến các trang web bạn sử dụng tài khoản Facebook để đăng nhập, chẳng hạn Instagram hoặc các trang tin tức. Để có được những “chìa khoá” này, hacker đã lợi dụng một tính năng trên Facebook được gọi là “View As”. Nó cho phép bất cứ người dùng nào xem được thứ mà người khác có thể truy cập trên profile của họ. Ví dụ, nếu bạn đã chặn mẹ của mình xem ảnh, bạn có thể kiểm tra xem nó có hoạt động hiệu quả không, bằng cách mạo danh mẹ và xem profile của chính mình. Sử dụng View As, khi đến ngày sinh nhật của bạn, Facebook sẽ hiển thị một box nhắc bạn (khi đó đang xem profile của mình với tư cách người khác) đăng video “chúc mừng sinh nhật”. Từ một lỗi do Facebook đưa ra tháng 7/2017, video này cung cấp một trong những token quý giá đó, Shadwell nói. Cụ thể hơn, trình phát video đã tạo và gửi cho bạn token để đăng nhập vào ứng dụng Facebook trên smartphone như thể đó chính là người bạn đang mạo danh. Từ đó, bạn (trong trường hợp này là hacker) sẽ có toàn quyền truy cập vào tài khoản người khác. Kẻ tấn công không gặp khó khăn khi áp dụng cách thức đơn giản này để xâm nhập tài khoản của hàng triệu người. Việc một công ty lớn với nguồn lực khổng lồ như Facebook vẫn bị hack cho thấy không nơi nào được xem là an toàn trên mạng Internet. Facebook không cung cấp dữ liệu cụ thể về danh tính những tài khoản bị hack, cũng như địa điểm của họ. Shadwell nói sẽ mất rất nhiều kỹ năng để đưa ra được những dữ liệu này. Thảm họa cho người dùng Internet Điều đáng lo lắng nhất là việc vụ hack đã chứng minh: một công ty lớn với nguồn lực như Facebook cũng có thể bị tấn công, xâm nhập vào hàng chục triệu tài khoản trong khoảng thời gian dài (tháng 7/2017 đến nay). Có được các token này, kẻ xấu hoàn toàn có thể chiếm dụng bất cứ tài khoản nào sử dụng Facebook làm phương thức đăng nhập. Do đó, con số thực tế của các cá nhân bị ảnh hưởng có thể vượt xa 50 triệu. Những công ty Internet lớn khác có đáng tin hơn Facebook sau sự cố này? Câu trả lời có lẽ là không.
