Trong bối cảnh các mối đe dọa mạng ngày càng tinh vi, một loạt sự cố gần đây đã làm nổi bật mức độ nghiêm trọng của các chiến dịch đánh cắp thông tin đăng nhập và lừa đảo hỗ trợ kỹ thuật trên quy mô lớn. Cụ thể, vào ngày 18–19 tháng 6 năm 2025, đã có báo cáo về hơn 16 tỷ thông tin đăng nhập bị đánh cắp từ các thiết bị bị nhiễm phần mềm độc hại, cho thấy sự gia tăng đáng báo động của các cuộc tấn công nhắm vào dữ liệu nhạy cảm của người dùng.
Phân tích Chiến dịch Đánh cắp Thông tin đăng nhập
Nguồn gốc chính của khối lượng dữ liệu khổng lồ này là từ các dòng malware infostealer. Những phần mềm độc hại này được thiết kế đặc biệt để thu thập dữ liệu nhạy cảm từ các thiết bị đã bị xâm nhập. Hoạt động của chúng bao gồm việc quét hệ thống để tìm kiếm các tệp cấu hình trình duyệt, cơ sở dữ liệu mật khẩu, cookie phiên, dữ liệu ví điện tử và các tài liệu nhạy cảm khác. Ngoài ra, chúng có khả năng thực hiện keylogging để ghi lại các thao tác bàn phím, hoặc chụp ảnh màn hình, từ đó thu thập thông tin đăng nhập theo thời gian thực khi người dùng nhập vào các trang web hoặc ứng dụng. Quy mô của vụ việc này, với hơn 16 tỷ thông tin đăng nhập bị đánh cắp chỉ trong một thời gian ngắn, cho thấy mức độ phức tạp và phối hợp của các chiến dịch tấn công mạng hiện nay. Mỗi thông tin đăng nhập bị đánh cắp không chỉ là một nguy cơ riêng lẻ mà còn là cánh cửa mở ra cho các cuộc tấn công tiếp theo, bao gồm truy cập trái phép vào các dịch vụ khác thông qua việc sử dụng lại mật khẩu, lừa đảo tài chính, hoặc thậm chí là đánh cắp danh tính.
Chiến thuật Lừa đảo Hỗ trợ Kỹ thuật tinh vi
Song song với hoạt động đánh cắp thông tin đăng nhập quy mô lớn, một chiến dịch lừa đảo hỗ trợ kỹ thuật tinh vi đang được triển khai. Kẻ tấn công đang chiếm quyền kiểm soát các trang web của các thương hiệu lớn như Bank of America, Netflix, Microsoft, Apple, Facebook, HP, và PayPal. Mục tiêu của việc chiếm quyền kiểm soát này là chèn các số điện thoại hỗ trợ giả mạo vào các trang web hợp pháp, đánh lừa người dùng rằng họ đang liên hệ với dịch vụ hỗ trợ chính thức của các công ty này.
Khai thác Lỗ hổng Reflected Input trên Netflix
Một ví dụ điển hình về kỹ thuật được sử dụng là việc khai thác một lỗ hổng reflected input trong chức năng tìm kiếm của Netflix. Lỗ hổng này phát sinh do thiếu sanitization (làm sạch) hoặc validation (xác thực) đầu vào phù hợp. Lỗ hổng reflected input (phản xạ đầu vào) là một dạng lỗ hổng bảo mật web, nơi ứng dụng không xử lý hoặc làm sạch đúng cách dữ liệu đầu vào do người dùng cung cấp trước khi hiển thị lại trên trang web. Trong trường hợp của Netflix, điều này có nghĩa là một chuỗi ký tự độc hại được chèn vào truy vấn tìm kiếm có thể được phản ánh lại trên trang kết quả mà không có bất kỳ bộ lọc bảo vệ nào, cho phép kẻ tấn công tiêm mã hoặc nội dung giả mạo vào trang. Thay vì hiển thị kết quả tìm kiếm thông thường, người dùng có thể thấy các số điện thoại hỗ trợ giả mạo hoặc thông báo lừa đảo khác được nhúng trực tiếp vào giao diện người dùng hợp pháp.
Chiến lược Tiếp cận Nạn nhân
Để thu hút nạn nhân, những kẻ lừa đảo đã chi tiền cho các quảng cáo trực tuyến. Các quảng cáo này được thiết kế để xuất hiện khi người dùng tìm kiếm các dịch vụ hỗ trợ 24/7 của các thương hiệu lớn. Khi người dùng nhấp vào các quảng cáo này, họ sẽ bị chuyển hướng đến các trang web đã bị xâm nhập (hoặc các phiên bản đã được sửa đổi của chúng) chứa các số điện thoại hỗ trợ giả mạo. Phương pháp này đặc biệt nguy hiểm vì nó tận dụng sự tin tưởng của người dùng vào các công cụ tìm kiếm và các thương hiệu lớn.
Hậu quả của Cuộc lừa đảo
Khi người dùng gọi đến các số điện thoại giả mạo này, họ sẽ bị thuyết phục cung cấp dữ liệu cá nhân hoặc tài chính nhạy cảm, hoặc cho phép kẻ tấn công truy cập từ xa vào máy tính của họ. Điều này có thể dẫn đến việc cài đặt phần mềm độc hại bổ sung, thu thập thông tin cá nhân chi tiết, hoặc truy cập trực tiếp vào các tài khoản ngân hàng và tài chính. Kết quả thường là rút cạn tài khoản và đánh cắp thông tin quan trọng, bao gồm mật khẩu và số tài khoản ngân hàng. Thiệt hại không chỉ dừng lại ở tài chính mà còn ảnh hưởng nghiêm trọng đến quyền riêng tư và an toàn dữ liệu của nạn nhân.
Biện pháp Khắc phục và Phòng ngừa
Đối với các tổ chức, việc bảo vệ chống lại những mối đe dọa này đòi hỏi một chiến lược bảo mật đa lớp. Các trang web cần thực hiện kiểm tra bảo mật định kỳ và triển khai Web Application Firewall (WAF) hiệu quả để ngăn chặn các cuộc tấn công khai thác lỗ hổng web. Quan trọng nhất là việc áp dụng sanitization và validation đầu vào nghiêm ngặt cho tất cả các tương tác người dùng, đặc biệt là trong các chức năng tìm kiếm và các trường nhập liệu công khai, nhằm ngăn chặn các lỗ hổng như reflected input. Chương trình đánh giá lỗ hổng và kiểm thử thâm nhập liên tục là cần thiết để phát hiện và khắc phục các điểm yếu trước khi kẻ tấn công có thể khai thác. Nâng cao nhận thức về các kỹ thuật phishing và social engineering cho nhân viên cũng là một yếu tố then chốt.
Đối với người dùng cuối, sự cảnh giác là chìa khóa. Luôn xác minh các kênh liên lạc chính thức của các công ty lớn thông qua trang web chính thức của họ thay vì tin vào các số điện thoại xuất hiện trên quảng cáo hoặc kết quả tìm kiếm đáng ngờ. Cảnh giác với các yêu cầu cung cấp thông tin cá nhân hoặc tài chính qua điện thoại hoặc email không được xác minh. Việc sử dụng xác thực đa yếu tố (MFA) cho tất cả các tài khoản quan trọng là một biện pháp bảo vệ mạnh mẽ, giúp ngăn chặn truy cập trái phép ngay cả khi mật khẩu bị đánh cắp. Sao lưu dữ liệu thường xuyên và sử dụng phần mềm chống phần mềm độc hại đáng tin cậy cũng góp phần giảm thiểu rủi ro.
Các Chỉ Dấu Về Sự Thỏa Hiệp (IOCs)
Các nền tảng sau đây đã bị khai thác trong chiến dịch lừa đảo hỗ trợ kỹ thuật được mô tả:
- Apple
- Bank of America
- HP
- Microsoft
- Netflix
- PayPal
