Hầu hết bộ định tuyến gia đình chạy trong nhiều năm mà không được chạm tới, và chính điều đó khiến chúng trở thành mục tiêu của kẻ tấn công. Bộ định tuyến bị xâm nhập có thể đặt mọi thiết bị trong mạng vào rủi ro mà không cần phá khóa trực tiếp vào điện thoại hay laptop.
Vì bộ định tuyến nằm giữa các thiết bị của bạn và internet, ai đó có quyền truy cập có thể giám sát lưu lượng, chuyển hướng bạn tới các trang web giả mạo, hoặc can thiệp vào kết nối mà không có dấu hiệu rõ ràng.
Phát hiện hành vi đáng ngờ sớm có thể giúp bạn lấy lại quyền kiểm soát nhanh hơn và giảm nguy cơ bị đánh cắp mật khẩu, chuyển hướng độc hại, hoặc vấn đề lan rộng trong mạng.
Những điều cần biết
- Một bộ định tuyến bị hack có thể ảnh hưởng đến mọi thiết bị trong mạng Wi‑Fi của bạn, bao gồm điện thoại, laptop, thiết bị TVs thông minh và các thiết bị gia dụng kết nối.
- Một số dấu hiệu cảnh báo có thể chỉ ra bộ định tuyến bị hack, và bài viết này liệt kê 12 dấu hiệu hữu ích nhất để kiểm tra.
- Internet chậm đơn thuần không nhất thiết nghĩa là bộ định tuyến bị hack. Tín hiệu yếu, tắc nghẽn mạng, hoặc sự cố ISP có thể trông giống nhau.
- Nếu bạn nghi ngờ bị hack, ngắt kết nối bộ định tuyến và làm theo các bước khôi phục theo thứ tự trước khi kết nối lại internet.
- Mật khẩu yếu, firmware lỗi thời, và cài đặt không an toàn là những nguyên nhân phổ biến khiến bộ định tuyến gia đình bị xâm phạm.
- Nếu bộ định tuyến không còn nhận các bản cập nhật bảo mật, việc thay thế có thể là lựa chọn an toàn hơn về lâu dài.
12 dấu hiệu bộ định tuyến của bạn đã bị hack
Bộ định tuyến bị hack có thể biểu hiện theo nhiều cách khác nhau, từ hành vi mạng bất thường đến cài đặt thay đổi mà bạn không thực hiện. Các dấu hiệu cảnh báo dưới đây giúp bạn phân biệt giữa sự cố Wi‑Fi bình thường và điều gì đó cần chú ý ngay lập tức.
1. Internet chậm bất thường
Mất tốc độ có thể do nhiều nguyên nhân, nhưng nếu suy giảm kéo dài trên mọi thiết bị, ngay cả vào giờ thấp điểm khi sử dụng nhẹ, thì cần điều tra. Bộ định tuyến bị chiếm quyền có thể định tuyến lưu lượng qua các bước trung gian thừa hoặc chạy tiến trình nền tiêu tốn băng thông. Nếu kiểm tra tốc độ qua kết nối có dây cũng chậm, vấn đề nằm ở phía đường truyền chứ không phải thiết bị của bạn.
2. Tăng đột biến lượng dữ liệu không rõ nguyên do
Một số nhà cung cấp dịch vụ internet gửi cảnh báo khi dữ liệu hàng tháng tăng bất thường. Một đột biến vào tuần yên tĩnh, khi không ai đang phát trực tuyến hay sao lưu tệp, thường chỉ ra lưu lượng nền do chính bộ định tuyến tạo ra, hoặc một thiết bị trong mạng đang gửi dữ liệu ra ngoài.
3. Hoạt động bộ định tuyến khi nhàn rỗi
Đèn trạng thái nhấp nháy liên tục khi mọi thiết bị kết nối đều đã tắt nguồn hoặc vỏ bộ định tuyến nóng bất thường vào 3 giờ sáng đều cần kiểm tra. Thông thường bộ định tuyến hiển thị hoạt động hạn chế khi không có thiết bị sử dụng, nên hoạt động liên tục có thể đáng ngờ.
4. Thiết bị lạ trong mạng của bạn
Mở bảng quản trị và xem danh sách thiết bị kết nối. Nếu tổng số thiết bị tăng lên kể từ lần kiểm tra trước, hoặc bạn thấy kết nối mà không thể lý giải (một tên chung chung như "android-1f4b" hoặc nhà sản xuất bạn không nhận ra), hãy điều tra. Mỗi thiết bị kết nối có địa chỉ MAC và địa chỉ IP do bộ định tuyến cấp. Đối chiếu với điện thoại, laptop, bóng đèn thông minh và thiết bị TVs bạn sở hữu.
5. Không đăng nhập được vào quản trị bộ định tuyến
Nếu mật khẩu quản trị bạn đã đặt năm ngoái đột nhiên không còn hiệu lực và không ai trong nhà thay đổi, tức là quyền ủy quyền của bạn đã bị thu hồi. Kẻ tấn công thường thay đổi thông tin đăng nhập quản trị sau khi chiếm quyền để khóa chủ sở hữu hợp pháp khỏi cài đặt mà bạn cần để đuổi họ ra.
6. Tên mạng Wi‑Fi bị thay đổi (SSID)
Mạng của bạn có một tên cụ thể và không nên thay đổi đột ngột. Nếu tên mạng giờ đọc khác đi, hoặc một bản sao gần giống xuất hiện cạnh nó, có thể đã bị hacker thay đổi. Mạng bị đổi tên thường nghĩa là ai đó có quyền quản trị đã thực hiện thay đổi, hoặc một mạng song song được tạo để lừa thiết bị của bạn tự động kết nối.
7. Mật khẩu Wi‑Fi không còn hiệu lực
Điện thoại và laptop kết nối ổn hôm qua bỗng từ chối mật khẩu Wi‑Fi lưu và liên tục yêu cầu đăng nhập lại. Hai nguyên nhân phổ biến: hoặc kẻ tấn công đã thay đổi mật khẩu để khóa bạn ra, hoặc tiêu chuẩn mã hóa đã bị hạ từ WPA3 xuống WPA2 hoặc thấp hơn, làm hỏng hồ sơ đã lưu cũ.
8. Cài đặt bộ định tuyến bị thay đổi
Mở bảng cài đặt và tìm các thay đổi bạn không thực hiện. Kiểm tra xem quản lý từ xa có bị bật, các chuyển tiếp cổng (port forwards) xuất hiện mà trước đây không có, hoặc các quy tắc tường lửa bị nới lỏng, cùng các tài khoản quản trị bạn không nhận ra.
9. Cài đặt DNS đáng ngờ
Các mục nhập Domain Name System nên khớp với nhà cung cấp của bạn hoặc một dịch vụ đã biết như 1.1.1.1 hoặc 8.8.8.8. Nếu chúng thay đổi mà không ai trong nhà chạm vào cấu hình, hoặc bạn thấy các địa chỉ IP ngẫu nhiên trỏ tới máy chủ ở các quốc gia bạn chưa từng kết nối, đó là dấu hiệu đỏ. DNS hijacking cho phép kẻ tấn công chuyển hướng lưu lượng từ ngân hàng của bạn sang bản sao lừa đảo, nhưng thanh URL vẫn trông đúng với bạn.
10. Trình duyệt bị chuyển hướng
Bạn gõ một địa chỉ quen thuộc, và trang khác tải lên. URLs có thể trông gần như giống hệt, với một chữ cái bị tráo hoặc tên miền cấp cao bất thường. Chuyển hướng xảy ra trên các trình duyệt và thiết bị khác nhau, vì thao tác nằm ở mức bộ định tuyến chứ không phải điểm cuối.
11. Cửa sổ bật lên thường xuyên hoặc cảnh báo bảo mật giả mạo
Cửa sổ bật lên cảnh báo về nhiễm phần mềm độc hại trên các trang tin tức hợp pháp, hoặc các cửa sổ trình duyệt liên tục yêu cầu bạn cài phần mềm hoặc một "cập nhật hệ thống" giả, thường là do chèn trên mức bộ định tuyến. Bộ định tuyến, hoặc một máy chủ DNS độc hại mà nó trỏ tới, đang viết lại nội dung mà trình duyệt của bạn nhận được.
12. Thông báo tống tiền
Một số vụ hack bộ định tuyến để lại các thông báo ransomware trực tiếp trong trình duyệt, yêu cầu thanh toán để khôi phục quyền truy cập hoặc đe dọa rò rỉ dữ liệu thu thập từ lưu lượng mạng. Đừng trả tiền. Ngắt kết nối, ghi lại thông điệp, và coi bộ định tuyến là đã bị chiếm hoàn toàn.
Bộ định tuyến của bạn bị hack hay chỉ internet chậm?
Bộ định tuyến có thể không bị hack nếu suy giảm chỉ ảnh hưởng một thiết bị, trùng với sự cố ISP đã biết, hoặc được khắc phục sau khi tắt nguồn và bật lại.
Hãy cân nhắc khả năng bị hack khi nhiều thiết bị cùng chậm, xuất hiện thiết bị lạ trong mạng, hoặc cài đặt bị thay đổi mà bạn không thực hiện. Một cụm triệu chứng là tín hiệu đáng tin cậy hơn một triệu chứng đơn lẻ.
Nguyên nhân phổ biến gây internet chậm hoặc không ổn định
Tín hiệu Wi‑Fi yếu dần qua các bức tường, đặc biệt là tường gạch hoặc trát cũ. Tắc nghẽn kênh trong các tòa chung cư đông đúc là nghi phạm thường gặp khác, khi có hàng chục mạng gần nhau tranh nhau băng tần. Kiểm tra tải thiết bị vì mười thiết bị nhà thông minh, hai thiết bị TVs phát trực tuyến, và ai đó sao lưu điện thoại qua Wi‑Fi sẽ làm nghẽn một bộ định tuyến giá rẻ rất nhanh.
Cuối cùng, kiểm tra sự cố và giới hạn từ phía ISP. Một kiểm tra nhanh trang trạng thái nhà cung cấp hoặc báo cáo trên mạng xã hội cho khu vực của bạn sẽ cho biết các vấn đề đã biết.
Kiểm tra nhanh để loại trừ hack
Trước khi nghĩ tới điều tệ nhất, hãy chạy qua danh sách dưới đây. Trong chưa đầy năm phút và không cần công cụ chuyên dụng, đây là cách kiểm tra xem Wi‑Fi của bạn có bị hack hay không:
- Tắt nguồn và bật lại bộ định tuyến. Rút phích, chờ sáu mươi giây, cắm lại.
- So sánh trên nhiều thiết bị. Nếu chỉ một điện thoại chậm, bộ định tuyến có lẽ không bị xâm phạm.
- Chạy kiểm tra tốc độ trên kết nối ethernet có dây để tách biệt vấn đề Wi‑Fi và đường truyền.
- Kiểm tra trang trạng thái ISP hoặc gọi hỗ trợ kỹ thuật.
- Xem lại danh sách thiết bị kết nối để tìm mục lạ.
Bộ định tuyến bị hack bằng cách nào?
Bộ định tuyến thường bị hack do mật khẩu quản trị yếu hoặc để mặc định, firmware lỗi thời có lỗ hổng chưa vá, và cài đặt rủi ro như WPS, UPnP, hoặc quản lý từ xa được bật.
Các vụ hack bộ định tuyến thường không mang tính tấn công có chủ đích. Hầu hết các xâm phạm gia đình đến từ các quét tự động quy mô lớn mà kẻ tấn công hầu như không tốn chi phí để chạy.
Mật khẩu yếu hoặc mặc định
Thông tin đăng nhập quản trị mặc định là kiến thức công khai. Nhà sản xuất ghi trong hướng dẫn, và kẻ tấn công duy trì các cơ sở dữ liệu có thể tìm kiếm. Kết hợp với công cụ quét tự động, điều này dẫn đến số lượng lớn bộ định tuyến bị xâm phạm. Mật khẩu tái sử dụng lộ trong các vụ rò rỉ dữ liệu trước đây là một điểm vào phổ biến khác.
Firmware lỗi thời
Bản vá firmware khắc phục các lỗ hổng đã biết, và bộ định tuyến thường hàng năm trời không được cập nhật vì không ai mở bảng quản trị. Một lỗ hổng được tiết lộ năm 2023 vẫn có thể bị khai thác vào năm 2026 nếu bộ định tuyến chưa nhận bản vá.
Cài đặt bộ định tuyến không an toàn
Một số cài đặt được bật theo mặc định và làm suy yếu bảo mật bộ định tuyến của bạn. Wi‑Fi Protected Setup (WPS) có thể bị bẻ khóa trong vài giờ. Universal Plug and Play (UPnP) cho phép bất kỳ thiết bị nào trong mạng mở cổng tường lửa mà không hỏi. Remote management đặt bảng quản trị lên internet công cộng, nơi các công cụ quét tự động tìm thấy nó trong vài phút.
Khi các cài đặt này bị lộ hoặc sử dụng sai, chúng có thể khiến bộ định tuyến dễ truy cập hơn từ trong hoặc ngoài mạng.
Bạn nên làm gì nếu bộ định tuyến bị hack?
Nếu bạn nghĩ bộ định tuyến bị hack, đừng hoảng. Điều quan trọng nhất là hành động theo đúng thứ tự. Nhảy ngay vào các sửa chữa ngẫu nhiên có thể làm quá trình điều tra khó khăn hơn hoặc để một phần mạng vẫn bị lộ.
Làm theo các bước bên dưới để lấy lại quyền điều khiển bộ định tuyến và bảo mật mạng an toàn.
Bước 1: Ngắt kết nối bộ định tuyến
Rút cáp WAN — cáp chạy từ modem hoặc từ tường. Điều này dừng ngay lập tức lưu lượng đi ra ngoài. Nếu thiết bị là modem‑router kết hợp, tắt kết nối internet và để bộ định tuyến vẫn có nguồn để bạn còn đăng nhập được.
Bước 2: Thiết lập lại về mặc định nhà máy
Nhấn giữ nút reset lõm (có thể dùng ghim giấy) trong mười đến ba mươi giây, tùy model. Cài đặt mặc định sẽ trở lại, các thay đổi trái phép bị xóa, và thiết bị khởi động lại sạch. Mật khẩu Wi‑Fi và SSID sẽ được đặt lại và mọi thiết bị trong nhà sẽ cần kết nối lại.
Bước 3: Lấy lại quyền truy cập vào bộ định tuyến
Mở trình duyệt và nhập địa chỉ IP mặc định của bộ định tuyến (thường là 192.168.0.1 hoặc 192.168.1.1, đôi khi 10.0.0.1 cho gateway cáp). Bạn có thể tìm địa chỉ IP của bộ định tuyến trên nhãn in các thông tin đăng nhập quản trị mặc định, thường ở đáy thiết bị.
Đăng nhập bằng thông tin đăng nhập quản trị mặc định của nhà sản xuất, thường in trên nhãn ở dưới cùng. Thay mật khẩu quản trị ngay lập tức cũng như mật khẩu Wi‑Fi. Đặt SSID thành một tên duy nhất, không bao gồm địa chỉ hoặc họ của bạn.
Làm sao để ngăn chặn bộ định tuyến bị hack lần nữa?
Đặt mật khẩu quản trị mạnh và duy nhất, chuyển sang mã hóa WPA3, tắt WPS, UPnP và quản lý từ xa, bật cập nhật firmware tự động, và đổi SSID sang một tên trung tính. Cài phần mềm bảo mật trên mọi laptop và điện thoại kết nối, vì cài đặt bộ định tuyến không thể chặn mối đe dọa bên trong email hoặc tệp tải xuống.
Bộ bảo mật như Kaspersky Premium thêm lớp bảo vệ mạng và thiết bị để bắt những gì cài đặt bộ định tuyến bỏ sót.
Bảo mật mạng gia đình của bạn
Kaspersky Premium quét thiết bị kết nối, cảnh báo cài đặt Wi‑Fi yếu, và chặn các trang độc hại khai thác lỗ hổng bộ định tuyến. Bảo vệ cho cả gia đình, trong một ứng dụng.
Nhận Kaspersky PremiumBảo mật cài đặt bộ định tuyến của bạn
- Đặt mật khẩu quản trị mạnh và duy nhất. Tối thiểu 12 ký tự.
- Sử dụng mã hóa WPA3 khi có hỗ trợ, nếu không dùng WPA2-AES. Tránh WEP và giao thức đã bị ngưng hỗ trợ TKIP.
- Tắt WPS, UPnP và quản lý từ xa.
- Đổi SSID thành một tên trung tính.
- Bật tường lửa tích hợp của bộ định tuyến và mọi tính năng giảm thiểu tấn công mặc định mà model của bạn cung cấp.
Giữ bộ định tuyến luôn cập nhật
Cập nhật firmware là hành động bảo mật có giá trị cao nhất mà người dùng gia đình có thể làm. Kiểm tra bảng quản trị hàng tháng. Bật cập nhật tự động nếu model của bạn hỗ trợ. Nếu nhà sản xuất ngừng phát hành bản vá, bộ định tuyến đã hết vòng đời. Đó là lỗ hổng cố định tồn tại trong mạng của bạn và nên được thay thế.
Bảo vệ thiết bị và mạng của bạn
Chạy quét phần mềm độc hại định kỳ trên mọi laptop, điện thoại và máy tính bảng kết nối mạng. Một bộ định tuyến sạch không thể ngăn thiết bị bị xâm phạm tự rò rỉ dữ liệu.
Thiết bị di động dễ bị bỏ qua. Các đánh giá xác thực của G2 reviewers nhấn mạnh "phát hiện phần mềm độc hại mạnh" và bảo vệ thời gian thực của Kaspersky trên tệp và trang web, đó là lý do ghép hợp tác công việc với bộ định tuyến bằng Kaspersky Mobile Security bổ sung một lớp bảo mật quan trọng. Sử dụng mạng khách cho khách và các thiết bị IoT để chúng không thể truy cập thiết bị chính của bạn.
Kẻ tấn công có thể làm gì với bộ định tuyến bị hack?
Bộ định tuyến bị hack đặt kẻ tấn công ở vị trí giữa mọi thiết bị trong mạng và internet. Từ đó, họ có thể thêm bộ định tuyến vào botnet, thu thập thông tin đăng nhập và dữ liệu duyệt web, hoặc chuyển hướng lưu lượng tới các trang lừa đảo.
Dữ liệu nào có thể bị rò rỉ
Lịch sử duyệt web (những trang bạn truy cập, khi nào và tần suất) vẫn rò rỉ ngay cả khi các trang riêng lẻ được mã hóa. Nỗ lực đăng nhập vào các trang không có HTTPS tiết lộ thông tin đăng nhập trực tiếp. Giao thức cũ, thiết bị IoT cũ, và bất kỳ kết nối không an toàn nào cũng có thể lộ nội dung cùng siêu dữ liệu.
Cách kẻ tấn công sử dụng bộ định tuyến bị chiếm quyền
Hầu hết bộ định tuyến bị chiếm được thêm vào botnet để gửi thư rác, khai thác tiền điện tử, hoặc phát động tấn công từ chối dịch vụ vào các mục tiêu khác. Một số khác nghe lén trong gia đình, chuyển hướng lưu lượng ngân hàng đến bản sao lừa đảo hoặc gieo phần mềm độc hại lên thiết bị kết nối. Dữ liệu mối đe dọa IoT quý II 2025 của Kaspersky cho thấy các biến thể Mirai và botnet NyaDrop chiếm tỷ lệ lớn nhất trong các ca nhiễm bộ định tuyến gia đình.
Nên làm gì sau một khả năng rò rỉ dữ liệu
- Đổi mật khẩu các tài khoản quan trọng (email, ngân hàng, mạng xã hội chính) từ một thiết bị sạch, không phải thiết bị bạn đã dùng qua bộ định tuyến bị hack.
- Bật xác thực hai yếu tố ở mọi nơi có thể. Nếu không có, dùng xác minh SMS hoặc ứng dụng xác thực.
- Theo dõi sao kê tài chính và lịch sử đăng nhập email trong 90 ngày tới. Kiểm tra xem thông tin đăng nhập của bạn có xuất hiện trên mạng tối (dark web) thông qua một dịch vụ giám sát uy tín hay không.
- Sử dụng một VPN trên các thiết bị bị ảnh hưởng từ giờ trở đi.
- Thông báo cho ngân hàng nếu bạn có lý do nghi ngờ dữ liệu tài chính bị lộ để họ chủ động đánh dấu tài khoản.
Bạn có nên thay bộ định tuyến sau khi bị hack không?
Không phải lúc nào cũng cần thay bộ định tuyến sau khi bị hack. Thiết lập lại về mặc định và đổi mật khẩu khắc phục hầu hết vụ hack. Thay bộ định tuyến nếu nhà sản xuất đã ngừng cập nhật firmware, vấn đề tái diễn sau khi reset sạch, hoặc thiết bị đã hơn năm năm và không hỗ trợ WPA3.
Bài viết liên quan:
- Cách thiết lập mạng gia đình an toàn
- Tấn công chiếm quyền DNS là gì?
- Bảo mật Internet vạn vật (IoT) trong nhà thông minh
- Xác thực hai yếu tố là gì?
Sản phẩm đề xuất:
FAQs
Một bộ định tuyến bị hack có thể lây phần mềm độc hại sang thiết bị của bạn không?
Có. Bộ định tuyến bị hack có thể thay các tệp tải xuống hợp lệ bằng tệp độc hại, đẩy thông báo cập nhật giả mạo để cài phần mềm độc hại, hoặc chèn mã có hại vào các trang web bạn truy cập. Khi một thiết bị bị nhiễm, nó có thể lây lan sang các thiết bị khác. Phần mềm chống virus trên mọi điện thoại và laptop chặn phần lớn các cuộc tấn công này.
Tin tặc có thể lợi dụng bộ định tuyến của bạn cho hoạt động phi pháp không?
Có. Bộ định tuyến bị hack có thể bị dùng để gửi thư rác, tấn công các trang web khác, hoặc che giấu danh tính tội phạm phía sau kết nối internet của bạn. Vì lưu lượng xuất phát từ địa chỉ IP của bạn, bất kỳ cuộc điều tra nào sẽ dừng ở bạn, không phải kẻ tấn công.
Bạn nên kiểm tra bộ định tuyến để tìm vấn đề bảo mật bao lâu một lần?
Kiểm tra bộ định tuyến hàng tháng. Đăng nhập vào bảng quản trị, quét danh sách thiết bị kết nối, xác nhận các cài đặt DNS khớp với nhà cung cấp của bạn, và áp dụng mọi bản cập nhật firmware đang chờ. Các hộ gia đình xử lý dữ liệu nhạy cảm hoặc đang khôi phục sau một vụ chiếm đoạt tài khoản trước đó nên kiểm tra hai tuần một lần.
Một cuộc tấn công vào bộ định tuyến có thể vượt qua xác thực hai yếu tố (2FA) không?
Đôi khi. Nếu kẻ tấn công chuyển hướng bạn tới trang đăng nhập giả, họ có thể lấy cả mật khẩu và mã xác minh một lần. Xác thực hai yếu tố vẫn cung cấp bảo vệ mạnh, nhưng nó hoạt động tốt nhất kết hợp với một mạng an toàn.
