Tỉ lệ thành công của brute force năm 2023 bất ngờ ra sao

Mỗi năm, các chuyên gia an ninh mạng đều chờ đợi những số liệu thống kê cập nhật về các phương pháp tấn công phổ biến – và brute force luôn là cái tên đi cùng sự tò mò xen lẫn lo lắng. Dù đã bị đánh giá là "thô sơ" trong kho vũ khí của hacker, nhưng tỷ lệ thành công của các đợt tấn công brute force năm 2023 đã hé lộ nhiều điều bất ngờ, thách thức cả những phòng tuyến mạng tưởng chừng kiên cố nhất. Vậy yếu tố nào khiến brute force vẫn còn là mối đe dọa nghiêm trọng trong một thế giới ngày càng chú trọng bảo mật?

Brute force 2023: Ẩn số giữa thời đại AI bảo vệ mạng

Brute force – hay tấn công "dò mật khẩu toàn diện" – vốn bị xem là phương pháp cũ kỹ, tốn thời gian và dễ bị hệ thống phát hiện. Thế nhưng năm 2023, các báo cáo an ninh mạng lớn như Verizon Data Breach Investigations Report và Crowdstrike Global Threat Report đều liệt brute force vào top 5 phương thức phổ biến nhất để xâm nhập tài khoản nội bộ và điện toán đám mây.

Theo một nghiên cứu từ NinjaOne năm 2023, mặc dù 83% doanh nghiệp đã triển khai các biện pháp mạnh như khóa tài khoản sau số lần đăng nhập sai, khóa địa chỉ IP nghi ngờ hoặc áp dụng xác thực 2 bước, vẫn có tới 36% số đợt thử brute force thành công ở mức độ nào đó. Các tổ chức quản lý dữ liệu quan trọng (tài chính, y tế, giáo dục) đặc biệt dễ tổn thương do phải duy trì hàng chục nghìn tài khoản với mật khẩu yếu hoặc trùng lặp qua các năm do người dùng không thay đổi mật khẩu thường xuyên.

Một ví dụ điển hình: Cuối năm 2023, một tổ chức y tế lớn ở Châu Âu đã phải tiết lộ việc dữ liệu của hơn 287.000 bệnh nhân bị truy cập trái phép chỉ sau một loạt đợt brute force kéo dài 42 tiếng, nhắm vào các tài khoản sử dụng mật khẩu mặc định. Sự kiện gây chấn động là ở thời điểm đó, hệ thống của họ đã tích hợp xác thực đa yếu tố – nhưng brute force vẫn xuyên phá được vì admin bỏ quên nhóm tài khoản cũ chưa cập nhật chính sách xác thực.

Brute force kiểu mới – nơi tốc độ, AI và sự kiên trì lên ngôi

Khác với hình dung về những dòng mã "đập loạn" vào server như trước đây, ngày nay brute force đã tiến hóa một cách tinh vi hơn. Việc kết hợp botnet, proxy phân tán, các mẫu AI điều khiển tăng tốc lượt thử mật khẩu, khiến các "tín hiệu tấn công" trở nên phân tán và khó nhận diện hơn bao giờ hết.

Các loại brute force phổ biến năm 2023: Thủ thuật và khả năng thành công

1. Credential Stuffing

Đây là kỹ thuật được ưu chuộng nhất năm nay nhờ lượng dữ liệu tài khoản rò rỉ khổng lồ từ những năm cũ (combo list). Dữ liệu khảo sát cho thấy:

• Hơn 50% các cuộc tấn công brute force năm 2023 đều xuất phát từ credential stuffing.
• Các tập hợp tài khoản/password trùng lặp từ những website đã bị hack trước đây là tài nguyên vàng với tội phạm mạng.
• Tỷ lệ thành công trung bình toàn cầu với phương pháp này có nơi lên đến 6%. Nghĩa là: Cứ một triệu lượt thử, có khoảng 60.000 lần truy cập được vào hệ thống một cách bất hợp pháp.

2. Password Spraying

Khác với brute force cổ điển (dò nhiều mật khẩu cho một username), password spraying là thử một mật khẩu "phổ biến" (ví dụ: 123456, password, abcd@123, Welcome2023!) trên hàng loạt username trong cùng một dải thời gian, lách qua cơ chế khóa tài khoản. Kỹ thuật này cực nguy hiểm với các tổ chức có tài khoản theo mẫu như user001, user002...

• Số liệu của Microsoft chỉ ra rằng 44% vụ xâm nhập Office 365 thành công năm 2023 là do password spraying.
• Mỗi doanh nghiệp quy mô trung bình bị trung bình 35 đợt thử password spraying/block brute force mỗi ngày.

3. Hybrid Brute Force

Sự kết hợp giữa dictionary attack (dò mật khẩu có nghĩa, dễ đoán trong từ điển) và chỉnh sửa biến tấu bằng các chuỗi ký tự, số, ký hiệu. Ví dụ dô mật khẩu base: "thanglong" thay thành "ThangLong!123".

• Điểm nổi bật: Xu thế sử dụng công cụ tích hợp trí tuệ nhân tạo như PassGAN hoặc Hashcat enhancement, tự động tạo ra hàng triệu biến thể chỉ trong một buổi đêm.
• Theo báo cáo từ Kaspersky, số lượng mật khẩu phức tạp vừa đủ (dài dưới 10 ký tự) bị hybrid brute force tấn công thành công đã tăng 29% chỉ trong vòng nửa đầu năm 2023.

Điều gì khiến brute force vẫn đạt tỷ lệ thành công cao?

Nhiều người lầm tưởng lớp bảo vệ công nghệ hiện đại nghĩa là mọi kiểu tấn công "đập cửa" như brute force đều bất khả thi. Tuy nhiên, thực tế thức tỉnh giới an ninh chính là sự kết hợp:

1. Quản trị mật khẩu tồi – Thói quen bất biến

Dù được khuyến cáo hàng năm, 58% người dùng vẫn sử dụng các mật khẩu tệ hại như "123456" hoặc "qwerty2023". Ủy ban An toàn Mạng NIST Mỹ cho biết, vẫn có hàng triệu tài khoản dùng lại mật khẩu cũ hoặc chỉ thay đổi đôi chút cho hợp quy định.

Với hàng ngàn accounts giống nhau kiểu abc@company.vn, brute force chỉ cần một bộ tool giá 2 USD có thể thử gần 100 triệu kiểu kết hợp trong vài tiếng đồng hồ.

2. Lỗ hổng trong bảo mật lớp – MFA chưa là giải pháp vạn năng

Dù xác thực đa yếu tố được quảng bá rộng rãi, năm 2023 nhiều tổ chức vẫn thất bại do:

• Dùng SMS OTP dễ bị cướp SIM hoặc chiếm đoạt session cookie.
• MFA không đồng bộ trên toàn hệ thống, chỉ một phần user có tính năng này.
• Người quản trị quên cập nhật danh sách tài khoản cũ.

3. Sự lười biếng tự động hóa

Botnet và cloud rental service giúp các nhóm hacker tấn công hàng chục nghìn mục tiêu cùng lúc, tối ưu hóa chi phí để thử mật khẩu trên diện rộng. Các phần mềm brute force phổ biến như Hydra, Medusa, Burp Suite Pro bản crack đều có khả năng vượt qua tường lửa thông dụng, giấu hành vi dưới các session hợp lệ.

Brute force và các "chân rết": AI, tự động hóa và mô hình tấn công mới

1. AI "kéo tay", human-assisted brute force

AI giờ không chỉ giúp phân tích pattern mật khẩu, mà còn hỗ trợ lồng ghép thông tin "săn được" từ mạng xã hội hay các nguồn công khai (OSINT) về mục tiêu. Một trong những case study thực tế năm 2023:

• Botnet crawler Google dạo quét thu thập công khai email, nickname, sở thích của nhân viên trên LinkedIn và Facebook.
• Dùng AI để tự sinh mật khẩu dự đoán dựa trên ngày tháng năm sinh, mẫu tên con, cún cưng…
• Kết quả: Các vụ brute force qua API đăng nhập của ứng dụng đặt phòng khách sạn lớn đã tăng tỉ lệ phá mật khẩu thành công gấp 3 lần khi thêm các thuật toán máy học đơn giản.

2. Phần mềm brute force thương mại hóa

Thị trường chợ đen 2023 sôi động với hàng trăm bot "one-click brute force" chỉ từ 50 USD/tháng, giao diện trực quan, không cần lập trình. Chúng tích hợp sẵn: nhập combo list, bypass captcha, đổi proxy IP, tự động điền lại các field bảo mật. Thậm chí, các mafias công nghệ còn bán giá dùng thử "5 USD – tấn công lên tới 1 triệu tài khoản trong vòng 24 giờ" với cam kết hoàn tiền nếu tỷ lệ thành công dưới 1%.

Mức độ thương mại hoá này làm dấy lên nỗi lo: nâng cao nhận thức, huấn luyện người dùng không còn là rào cản hữu hiệu khi bất kỳ ai quản trị hệ thống non tay cũng có thể trở thành mồi ngon.

3. Kỹ thuật phân tán: Tường lửa truyền thống vất vả đuổi theo

Brute force dạng mới có thể tấn công phân tán từ hàng nghìn địa chỉ IP (hay cả server hợp thức ở các quốc gia vệ tinh như Mauritius, Uruguay), qua đó tránh bị chặn bởi các hệ thống security thông thường. Số lượng “Request per second” thật sự thấp và trộn trong vô số lưu lượng truy cập hợp lệ, khiến việc nhận diện trở nên khó khăn.

Một minh chứng rõ trong năm qua là: Dù áp dụng Cloudflare, các tổ chức tài chính nhỏ vẫn là nạn nhân phổ biến vì giới hạn miễn phí của tường lửa chỉ đủ đối phó một lượng request thấp trong khi real brute force luôn khai thác vào đầu mỗi giờ làm việc, khi hệ thống bận rộn nhất, tăng khả năng lẫn trốn.

Các tổ chức lớn đối phó thế nào – Cải tiến đi ngược kỳ vọng

Khi thái độ chủ quan không còn đáp ứng được trước tấn công brute force, các tổ chức lớn đã có nhiều động thái mạnh mẽ, sáng tạo hơn để giảm tỷ lệ thành công của hacker.

1. Phân tích hành vi đăng nhập bất thường

• Áp dụng hệ thống giám sát hành vi AI để so sánh mật khẩu nhập sai, thời điểm đăng nhập bất thường, chênh lệch vị trí địa lý.
• Khóa tài khoản hoặc yêu cầu xác thực lại khi nghi có các tín hiệu brute force, thay vì chỉ đếm số lần lỗi.

2. Không cho phép lưu mật khẩu dễ đoán

• Siết chặt nhập mật khẩu: yêu cầu tránh danh sách 10.000 mật khẩu phổ biến nhất, so sánh với từ điển nội bộ, bắt buộc xáo trộn độ dài, ký tự đặc biệt.
• Định kỳ bắt người dùng và admin thay đổi password, kiểm soát cả thiết bị BYOD cá nhân truy cập hệ thống.

3. Truy vết, tương tác thời gian thực với hacker

• Một số SIEM hiện đại (Security Information and Event Management) có khả năng “delay response” – kéo dài thời gian phản hồi đăng nhập, buộc hacker phải chờ đợi, gây lãng phí tài nguyên botnet và rút ngắn thời gian thử brute force.
• Sử dụng "cạm bẫy ảo" (honeytoken, honeypot): tạo nhiều tài khoản giả mạo, nếu hacker dùng tới mật khẩu này lập tức truy vết được nguồn, đồng thời chuyển sang chế độ bảo vệ mạnh hơn cho các server thật.

Điển hình như các ngân hàng lớn ở Việt Nam thống nhất triển khai chính sách: ai nhập sai mật khẩu ba lần, sau 10 phút vẫn còn thử tiếp sẽ bị ban vĩnh viễn địa chỉ IP. Báo cáo cuối Q3/2023 cho thấy, số lượt brute force thành công vào các hệ thống này đã giảm từ 14% xuống chỉ còn dưới 2%.

4. Nâng cấp MFA song song xác thực động

• Một số doanh nghiệp Châu Âu đã chuyển hoàn toàn sang xác thực push notification, đồng thời chỉ chấp nhận đăng nhập từ các thiết bị đã được cấp certificate.
• Áp dụng chính sách “phê duyệt vùng truy cập”: chỉ cho nhập thông tin đăng nhập khi từ địa chỉ IP whitelist vùng quốc gia doanh nghiệp vận hành.

Kịch bản “bất khả chiến bại”? Sự thật về tốc độ brute force vượt xa tưởng tượng

Nhiều tổ chức và cá nhân chủ quan, cho rằng chỉ cần đặt mật khẩu dài và phức tạp là "hacker không thể nào dò nổi". Sự thật là đến năm 2023, các kỷ lục tốc độ brute force liên tục bị phá vỡ, nhờ hai yếu tố then chốt:

Sức mạnh phần cứng thương mại hóa

Một card đồ họa RTX 4090 trị giá dưới 40 triệu đồng nay hoàn toàn có khả năng thử tới 400 tỉ mật khẩu/băm (hash) mỗi giây, gấp 100 lần so với năm 2015. Cloud rental trên Amazon AWS hoặc thuê máy đào coin bỏ phí còn đem lại sức mạnh gấp hàng chục lần chi phí đầu tư vào bảo mật của doanh nghiệp nhỏ.

Ví dụ thực tế: Chỉ cần chưa tới $100 thuê 50 máy ảo GPU mạnh, một tập đoàn tội phạm mạng có thể dò lật hàng triệu hash MD5 (các hệ thống cũ) trong vòng chưa đầy 12 tiếng đồng hồ. Các mật khẩu dạng "TênriêngSinhnhat@123" chỉ an toàn trên lý thuyết – còn hacker biết dùng pattern nhận diện và AI kiểm thử thì chỉ ngắn ngủi trong… vài phút!

Phá giải bảo mật mới: tấn công nhắm vào MFA và SMS OTP

Xu hướng đáng chú ý năm 2023 là brute force "ăn lan" sang cả hệ thống xác thực đa yếu tố. Chỉ trong quý 2/2023, trung bình có tới 4.3% mã OTP truyền qua SMS bị brute force thành công chỉ nhờ thử tuần tự.

Ngay cả các hệ thống sử dụng ứng dụng OTP riêng (như Google Authenticator) cũng vẫn chịu ảnh hưởng một phần nếu máy người dùng dính mã độc. Hacker không còn chỉ tấn công "cổng vào", mà còn lợi dụng session quản trị bị hớ hênh, token chưa hết hạn.

Lời khuyên thực chiến: Hành động nào để thoát nguy cơ brute force 2024?

Đối với cá nhân:

• Nhất thiết phải sử dụng password manager để tạo và lưu trữ mật khẩu ngẫu nhiên, không trùng lặp cho từng ứng dụng, dịch vụ.
• Xóa ngay thói quen dùng tên, ngày sinh, số điện thoại cho mật khẩu.
• Kích hoạt các lớp xác thực đa yếu tố, tránh xa SMS OTP, ưu tiên app hoặc khóa bảo mật phần cứng (yubiKey).
• Định kỳ rà soát các dịch vụ cũ, email phụ đã lâu không dùng, khóa hoặc cập nhật mật khẩu.
• Luôn cảnh giác với email/sms lạ gạ nhập lại thông tin đăng nhập.

Đối với doanh nghiệp:

• Triển khai xác thực đa lớp, phân vùng user rõ ràng theo quyền và đối tượng truy cập.
• Giám sát đăng nhập từ thiết bị/địa chỉ IP/địa lý bất thường, chủ động tạm khoá và cảnh báo chủ động về đăng nhập bất thường.
• Tự động hóa việc thay đổi mật khẩu theo chính sách chu kỳ, loại bỏ dứt điểm các account có password mặc định.
• Đầu tư hạ tầng SIEM – SOC giám sát linh hoạt, kịp thời phát hiện brute force dù ở mức độ thấp (slow brute force).
• Kiểm tra định kỳ danh sách tài khoản với mật khẩu bị lộ trên Darkweb và những nền tảng dịch vụ bên ngoài.
• Thường xuyên tổ chức các buổi đào tạo, mô phỏng tấn công trắng (penetration testing) để nâng cao nhận thức thực tiễn.

Góc nhìn 2023: Brute force – Tưởng đã phai mờ, vẫn là mối lo hiển hiện

Năm 2023 chứng kiến brute force "tái sinh" và lừng lẫy trên nhiều mặt trận, bất chấp các tường lửa tưởng là vô hiệu hoá. Sự cảnh giác không bao giờ là thừa, bởi chính từ những sơ hở nhỏ như mật khẩu yếu, policy lỏng lẻo, MFA sơ sài hay chủ quan vào sức mạnh công nghệ, brute force vẫn tìm được cách xuyên thủng. Công nghệ càng phát triển, nhịp độ và mức độ tinh vi của brute force càng được "nâng cấp". Tuy nhiên, chỉ một chút chú ý đúng chỗ, một chút hành động quyết liệt của người dùng và quản trị, sẽ làm rào chắn khó phá nhất cho mọi hacker "cổ điển hay hiện đại".

Rõ ràng, cuộc chơi giữa phòng thủ và brute force chưa bao giờ dừng lại. Khi hacker dùng AI, tập thể chúng ta càng cần tư duy thông minh hơn trước. Sự sống còn của doanh nghiệp – và cả sự riêng tư cá nhân – đôi lúc lại chỉ nằm ở… một mật khẩu mạnh, một thao tác đơn giản nhưng chắc chắn.