How do hackers get lists of username and password combinations to use in credential stuffing attacks?

Hackers obtain credential lists primarily from publicly disclosed data breaches—when companies experience security incidents, the stolen data is often shared on dark web forums or sold to other criminals. These breach databases are compiled and organized by username and password, making them valuable commodities in the cybercriminal underground. Additionally, credentials may come from malware-infected devices that logged keystrokes, purchased from other hackers, or scraped from public sources like LinkedIn profiles combined with passwords from previous breaches.

If I use a strong password, am I protected from credential stuffing attacks?

A strong password protects you only if it's unique and not already in a breach database. Credential stuffing attacks don't involve guessing—they use stolen credentials, so password strength is irrelevant if that exact username-password combination was leaked elsewhere. However, if attackers only have your username (without your password), a strong unique password becomes your actual defense. This is why both password uniqueness and strength matter: uniqueness protects against credential stuffing, and strength protects if attackers try brute-force attacks.

How quickly can a credential stuffing attack compromise my account?

Modern credential stuffing attacks can test thousands of stolen credentials per minute using automated tools and distributed servers. If your credentials are in the attacker's database, your account could be compromised within minutes to hours of the attack beginning. Attackers typically scan and organize successful logins in real-time, allowing them to identify valuable accounts immediately. This rapid timeline means you may not discover the compromise until days or weeks later when you notice suspicious account activity or receive fraud alerts.

If my password wasn't in a breach, can I still be affected by credential stuffing?

If your specific password wasn't in a breach, you're protected from credential stuffing—but most people aren't in that position. The reality is that billions of credentials from hundreds of major breaches are actively being used in credential stuffing campaigns right now. Even if you've created a strong unique password, you could still be vulnerable if any of your other accounts were breached, because attackers often test variations and mutations of known passwords. You should assume that some of your credentials are in use somewhere unless you actively monitor breach databases.

What should I do immediately if I discover my account was compromised through credential stuffing?

First, change the password for the compromised account to something completely new and unique, then enable multi-factor authentication if it's not already active. Second, check your account activity history and revoke access to any connected apps, devices, or sessions you don't recognize. Third, change the passwords for any other accounts using the same or similar credentials. Finally, monitor the compromised account and associated email for suspicious activity for the next 30-90 days, watch your credit reports for fraudulent accounts, and contact your bank and credit card companies to flag potential fraud.

Rủi ro cao Thiệt hại trung bình: $5,000 Thời gian thường thấy: 1-30 days

Tấn Công Credential Stuffing: Cách Hacker Khai Thác Mật Khẩu Của Bạn

Credential stuffing là một cuộc tấn công tự động, trong đó hacker sử dụng các bộ tên đăng nhập và mật khẩu bị đánh cắp để truy cập trái phép vào tài khoản của bạn trên nhiều trang web và dịch vụ khác nhau. Cuộc tấn công này hiệu quả vì nhiều người dùng tái sử dụng cùng một mật khẩu trên nhiều nền tảng khác nhau — khi một công ty bị rò rỉ dữ liệu, tội phạm sẽ tổng hợp các thông tin đăng nhập bị lộ và sử dụng phần mềm chuyên dụng để thử nghiệm nhanh chóng các tổ hợp đăng nhập đó trên hàng trăm trang web khác. Theo Báo cáo Điều tra Rò rỉ Dữ liệu Verizon 2024, việc lộ thông tin đăng nhập liên quan đến hơn 40% các vụ rò rỉ dữ liệu, khiến đây trở thành một trong những phương thức tấn công phổ biến nhất. Một cuộc tấn công credential stuffing có thể thử hàng triệu tổ hợp đăng nhập trong vài giờ, với tỷ lệ thành công từ 0,1% đến 2% tùy thuộc vào chất lượng danh sách mật khẩu của kẻ tấn công. Điều này có nghĩa là trong danh sách một triệu thông tin đăng nhập bị đánh cắp, kẻ tấn công có thể xâm nhập thành công từ 1.000 đến 20.000 tài khoản — và những tài khoản này thường chứa thông tin tài chính, dữ liệu cá nhân hoặc quyền truy cập vào các hệ thống nhạy cảm hơn. Mối nguy hiểm của credential stuffing không chỉ dừng lại ở việc chiếm đoạt tài khoản ban đầu. Khi kẻ tấn công truy cập được vào tài khoản email của bạn, họ có thể yêu cầu đặt lại mật khẩu cho các tài khoản ngân hàng, mạng xã hội và tiền điện tử của bạn. Nếu họ truy cập được email công việc thông qua thông tin đăng nhập LinkedIn, họ sẽ có điểm tựa để thực hiện gián điệp doanh nghiệp hoặc triển khai ransomware. Trung tâm Khiếu nại Tội phạm Internet của FBI năm 2023 đã nhận hơn 14.000 báo cáo liên quan đến việc lộ thông tin đăng nhập, gây thiệt hại hơn 137 triệu đô la Mỹ. Cuộc tấn công này đặc biệt nguy hiểm vì nạn nhân thường không nhận ra mình bị xâm phạm cho đến khi xuất hiện các khoản phí gian lận trên tài khoản hoặc họ phát hiện các thay đổi trái phép trong thông tin hồ sơ cá nhân. Các vụ rò rỉ quy mô lớn như LinkedIn (700 triệu tài khoản), Yahoo (3 tỷ tài khoản) và nhiều chuỗi bán lẻ đã tạo ra các cơ sở dữ liệu thông tin đăng nhập khổng lồ mà tội phạm đang tích cực khai thác.

Thủ đoạn phổ biến Cách nhận biết Cách tự bảo vệ Ví dụ thực tế Nơi báo cáo

Thủ đoạn phổ biến

• Thu thập danh sách thông tin đăng nhập bị đánh cắp từ các chợ đen trên mạng hoặc các vụ rò rỉ dữ liệu trước đó, sau đó sử dụng các công cụ tự động như Sentry MBA hoặc OpenBullet để thử nghiệm nhanh các thông tin đăng nhập này trên các cổng đăng nhập của ngân hàng, nhà cung cấp email, mạng xã hội và trang thương mại điện tử.
• Sử dụng các máy chủ proxy xoay vòng và địa chỉ IP dân cư để phân phối yêu cầu trên nhiều dải IP khác nhau, vượt qua các biện pháp giới hạn tốc độ tiêu chuẩn vốn thường phát hiện các lần đăng nhập nhanh từ một nguồn duy nhất.
• Thử nghiệm thông tin đăng nhập trước trên các trang web ít được bảo vệ hơn như tài khoản diễn đàn hoặc nhà bán lẻ trước khi nhắm vào các mục tiêu giá trị cao như tài khoản email và ngân hàng, cho phép họ xác minh thông tin đăng nhập còn hiệu lực trước khi tấn công các tài khoản có giá trị tài chính.
• Thực hiện các biến thể hoặc thay đổi nhỏ của mật khẩu bị đánh cắp trong quá trình tấn công, ví dụ như thêm các hậu tố phổ biến như '123' hoặc '!' để phù hợp với người dùng đã thay đổi mật khẩu một chút sau vụ rò rỉ.
• Theo dõi các lần truy cập tài khoản thành công để xác định thông tin đăng nhập nào cung cấp dữ liệu giá trị nhất, sau đó bán các thông tin đăng nhập đã được xác minh này trên mạng đen hoặc sử dụng chúng cho các cuộc tấn công thứ cấp như chiếm đoạt tài khoản hoặc đánh cắp danh tính.
• Thực hiện tấn công vào các giờ thấp điểm hoặc lên lịch trong khoảng thời gian dài để tránh kích hoạt các cảnh báo bảo mật do số lượng lớn các lần đăng nhập thất bại đồng thời gây ra.

Cách nhận biết

Bạn nhận được thông báo rằng có người đăng nhập vào tài khoản của bạn từ vị trí hoặc thiết bị lạ, hoặc bạn thấy hoạt động đăng nhập vào những thời điểm bạn không trực tuyến.
Tài khoản email của bạn có các thông báo đặt lại mật khẩu hoặc các cố gắng khôi phục tài khoản mà bạn không thực hiện, cho thấy có người đang cố gắng truy cập tài khoản của bạn.
Bạn nhận thấy các hoạt động bất thường như thay đổi thông tin hồ sơ, mua hàng trái phép, chỉnh sửa cài đặt bảo mật hoặc các ứng dụng, thiết bị kết nối lạ trên tài khoản của bạn.
Tài khoản tài chính của bạn xuất hiện các giao dịch trái phép, hoặc ngân hàng cảnh báo về các lần đăng nhập đáng ngờ dù bạn sử dụng mật khẩu mạnh và duy nhất.
Bạn nhận được cảnh báo từ nhà cung cấp email về các hoạt động đáng ngờ, các lần đăng nhập thất bại từ nhiều địa điểm khác nhau hoặc yêu cầu thay đổi mật khẩu từ các nguồn không nhận dạng được.
Tài khoản mạng xã hội của bạn bị sử dụng để gửi tin nhắn hoặc lời mời kết bạn không mong muốn đến danh bạ của bạn, dấu hiệu cho thấy người khác đã kiểm soát thông tin đăng nhập của bạn.

Cách tự bảo vệ

Tạo mật khẩu phức tạp và duy nhất cho mỗi tài khoản trực tuyến bằng cách sử dụng trình quản lý mật khẩu như Bitwarden, 1Password hoặc Dashlane — tránh tái sử dụng mật khẩu trên nhiều trang web vì đây là nguyên nhân khiến credential stuffing thành công.
Kích hoạt xác thực đa yếu tố (MFA) trên tất cả các tài khoản hỗ trợ, đặc biệt là email, ngân hàng, tiền điện tử và mạng xã hội; ưu tiên sử dụng ứng dụng xác thực như Google Authenticator hoặc Authy thay vì SMS khi có thể, vì SMS dễ bị tấn công hoán đổi SIM.
Theo dõi tài khoản thường xuyên để phát hiện hoạt động đáng ngờ và thiết lập cảnh báo đăng nhập từ thiết bị hoặc vị trí mới; hầu hết các nền tảng lớn đều cho phép bạn xem các phiên đăng nhập đang hoạt động và đăng xuất các thiết bị không rõ.
Đặt cảnh báo gian lận hoặc đóng băng tín dụng với Equifax, Experian và TransUnion để ngăn kẻ tấn công mở tài khoản mới dưới tên bạn nếu họ có được thông tin cá nhân trong quá trình bị xâm phạm.
Kiểm tra xem địa chỉ email của bạn có xuất hiện trong các vụ rò rỉ dữ liệu đã biết trên haveibeenpwned.com và researchbreaches.com; nếu phát hiện bị rò rỉ, hãy đổi mật khẩu ngay lập tức cho tài khoản đó và các tài khoản khác sử dụng cùng thông tin đăng nhập.
Luôn cập nhật thiết bị với các bản vá bảo mật mới nhất và sử dụng phần mềm diệt virus uy tín để ngăn chặn phần mềm gián điệp hoặc mã độc đánh cắp thông tin đăng nhập trước khi chúng được gửi đến trang web mục tiêu.

Ví dụ thực tế

Thông tin đăng nhập LinkedIn của một lập trình viên bị lộ trong vụ rò rỉ năm 2021 nhưng cô không đổi mật khẩu. Vài tháng sau, kẻ tấn công sử dụng tên đăng nhập và mật khẩu bị lộ để truy cập tài khoản LinkedIn của cô, sau đó dùng quy trình khôi phục tài khoản để đặt lại mật khẩu Gmail. Khi đã vào được email, họ tiếp tục đặt lại mật khẩu AWS, GitHub và ngân hàng, truy cập vào hạ tầng đám mây của công ty và tài khoản tiết kiệm cá nhân. Cô phát hiện vụ việc khi đội an ninh công ty phát hiện các hoạt động truy cập AWS bất thường, tiết lộ cuộc tấn công đã gây thiệt hại 8.000 đô la Mỹ chi phí đám mây gian lận và làm lộ mã dự án bí mật.

Một quản lý bán lẻ sử dụng cùng một mật khẩu cho tài khoản công việc, email và ngân hàng cá nhân. Khi công ty bán lẻ bị rò rỉ dữ liệu với 50.000 thông tin đăng nhập nhân viên, kẻ tấn công ngay lập tức thử các thông tin này trên các trang web ngân hàng phổ biến. Tài khoản ngân hàng của quản lý bị truy cập trong vòng 12 giờ, và kẻ gian chuyển 100 triệu đồng sang các sàn giao dịch tiền điện tử trước khi hệ thống phát hiện gian lận của ngân hàng khóa các giao dịch tiếp theo. Cuộc điều tra cho thấy kẻ tấn công đã thử nghiệm thông tin đăng nhập trên 47 trang web khác nhau, truy cập thành công email và tài khoản PayPal của anh ta.

Chủ một cửa hàng thương mại điện tử phát hiện các khoản hoàn tiền bất thường trên tài khoản thương gia và phát hiện kẻ tấn công đã truy cập email của cô thông qua credential stuffing. Sử dụng quyền truy cập email, họ đăng nhập vào bảng quản trị của nền tảng thương mại điện tử, thay đổi giá sản phẩm, chuyển hướng thanh toán khách hàng sang tài khoản do kẻ tấn công kiểm soát và đánh cắp thông tin thanh toán của khách hàng. Trong vòng 5 ngày trước khi cô phát hiện gian lận, kẻ tấn công đã thực hiện các giao dịch chuyển hướng trị giá 530 triệu đồng và làm lộ dữ liệu thanh toán của hơn 300 khách hàng, gây thiệt hại lớn về tài chính và uy tín.

Nơi báo cáo — Việt Nam

Các kênh chính thức trong khu vực của bạn để báo cáo lừa đảo này.

Cục An toàn thông tin (Bộ TT&TT)

Tội phạm mạng

Cổng tiếp nhận phản ánh tin nhắn rác, cuộc gọi rác và lừa đảo trực tuyến.

Truy cập →

Bộ Công an - Cảnh báo lừa đảo

Báo cáo

Trang cảnh báo và tiếp nhận tố giác lừa đảo của Bộ Công an.

113 Truy cập →

Cục Cạnh tranh và Bảo vệ người tiêu dùng

Bảo vệ người tiêu dùng

Tổng đài bảo vệ người tiêu dùng — miễn phí cuộc gọi.

1800-6838 Truy cập →

Ngân hàng Nhà nước Việt Nam

Cơ quan tài chính

Báo cáo các trường hợp lừa đảo tài chính, ngân hàng, đầu tư bất hợp pháp.

Truy cập →

Nghi ngờ gặp phải lừa đảo này?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), tấn công credential stuffing: cách hacker khai thác mật khẩu của bạn is described at https://scamlens.org/vi/encyclopedia/credential-stuffing.

https://scamlens.org/vi/encyclopedia/credential-stuffing

Bắt đầu từ đây

Kiểm Tra An Toàn

Tình Báo

Công Cụ & Báo Cáo

Dịch Vụ Cao Cấp

Tiện Ích & API