Có một số cách cơ bản như key logger, sử dụng từ điển dò mật khẩu, brute force, hay social engineering (lừa đảo, phishing)
Nguyễn lý của nó cũng đơn giản thôi
- Key logger: Đây là phần mềm theo dõi bàn phím.
Đa số các phần mềm phục vụ việc tấn công cửa hậu này đều hỗ trợ việc "nhúng" chương trình vào 1 ứng dụng khác hay 1 trang HTML. Đơn cử như Perfect Keyloger có thể nhúng chính nó vào 1 tập tin thực thi (đuôi .exe) bất kỳ để đánh lừa người dùng.
- Dò mật khẩu, brute force: Hacker sẽ đoán username, mật khẩu của bạn và THỬ. Nếu làm thủ công sẽ rất lâu và khó khăn, do đó Brute force ra đời. Có khá nhiều phần mềm hỗ trợ để "đoán" mật khẩu 1 cách tự động dựa trên 1 từ điển các mật khẩu thông dụng như "abc123", "123456" hoặc tên các thương hiệu như "nokia", "samsung", tên những người nổi tiếng... đủ thử mà hacker nghĩ ra. Phần mềm brute force sẽ tự động thử lần lượt từng mật khẩu cần mẫn cho đến khi thành công. Cũng có trường hợp, hacker cho phần mềm tự động tổ hợp, chỉnh hợp lấy các chuỗi mật khẩu từ nguyên liệu là tập hợp các ký tự hoặc là 1 chuỗi liên tục các ký tự. Ví dụ, phần mềm brute force có thể tự tạo ra các mật khẩu từ các ký tự "a-z và 0-9" và thử lần lượt vào ô đăng nhập cho đến khi thành công.
- Social engineering (lừa đảo, phishing): Hacker sẽ tạo ra 1 trang web đăng nhập hình thức giống hệt trang web "xịn" có tên miền gần giống với tên miền của nhà cung cấp dịch vụ. Nếu bạn "lỡ" ghé vào trang web giả này và lầm tưởng đang ở web thật, ung dung nhập user name và mật khẩu để đăng nhập, mật khẩu của bạn sẽ được lưu lại trên trang giả này và trang giả sẽ chuyển bạn đến trang đăng nhập thật, lúc này, ô đăng nhập thật sự mới hiện ra yêu cầu bạn đăng nhập, nhưng bạn sẽ lầm tưởng rằng web vừa bị "lag" hoặc mình nhập sai mật khẩu. Với mánh này, bạn mất mật khẩu mà không biết rằng mình mất tại sao.
