Các cuộc tấn công lừa đảo (phishing) đang gia tăng cả về quy mô và mức độ tinh vi, được thúc đẩy bởi sự phát triển của trí tuệ nhân tạo (AI) và các nền tảng “phishing-as-a-service” (PhaaS). Nghiên cứu mới từ SpyCloud nhấn mạnh xu hướng này, với các tổ chức doanh nghiệp trở thành mục tiêu chính. Các mối đe dọa mạng ngày càng phức tạp đòi hỏi các chiến lược phòng thủ và ứng phó mạnh mẽ hơn.
Sự Trỗi Dậy Của Phishing Tinh Vi
Theo báo cáo Phishing Pulse Report 2026 của SpyCloud, dựa trên khảo sát các chuyên gia bảo mật tại các tổ chức có hơn 1.000 nhân viên, có tới 78% tổ chức ghi nhận sự gia tăng về số lượng các cuộc tấn công lừa đảo trong 12 tháng qua.
Đáng lo ngại hơn, 84% số người tham gia khảo sát nhận định rằng các cuộc tấn công lừa đảo do AI tạo ra ngày càng phổ biến và khó phòng chống hơn. Điều này cho thấy sự chuyển dịch đáng kể trong cách thức hoạt động của các đối tượng tấn công, tận dụng công nghệ mới để tối đa hóa hiệu quả.
AI và PhaaS – Động Lực Tăng Trưởng Tấn Công
Trí tuệ nhân tạo đóng vai trò then chốt trong việc tạo ra các thông điệp lừa đảo ngày càng thuyết phục và cá nhân hóa. Các nền tảng PhaaS giúp các đối tượng tấn công dễ dàng triển khai các chiến dịch quy mô lớn mà không yêu cầu chuyên môn kỹ thuật sâu rộng.
Ông Trevor Hilligoss, Giám đốc Tình báo tại SpyCloud, cho biết: “Phishing giờ đây trở nên tinh vi hơn và có khả năng mở rộng hơn. Các chiêu trò do AI tạo ra, các nền tảng PhaaS và kỹ thuật adversary-in-the-middle (AiTM) giúp kẻ tấn công thu thập không chỉ tên người dùng và mật khẩu, mà còn cả các cookie phiên, token làm mới, mang lại quyền truy cập đã xác thực có thể tồn tại lâu dài sau khi mật khẩu được đặt lại.”
Mục Tiêu Doanh Nghiệp Rõ Rệt
Phân tích của SpyCloud chỉ ra một sự tập trung rõ ràng vào các mục tiêu doanh nghiệp. Khoảng một nửa số bản ghi thu hồi được từ các nền tảng PhaaS có liên quan đến danh tính doanh nghiệp, so với chỉ 11% đối với các bản ghi từ mã độc. Điều này cho thấy các cuộc tấn công lừa đảo hiện có khả năng nhắm mục tiêu vào người dùng doanh nghiệp cao gấp khoảng 5 lần so với nhiễm mã độc.
Các nghiên cứu về các bộ công cụ như Tycoon 2FA cũng củng cố xu hướng này, với khoảng 80% thông tin đăng nhập bị thu thập thuộc về tài khoản email công ty. Đây là một cảnh báo về rủi ro bảo mật cho các tổ chức.
Các Hình Thức Tấn Công Phishing Mở Rộng
Ngoài các mối lo ngại về phishing do AI tạo ra, các tổ chức còn quan tâm đến nhiều loại hình đe dọa liên quan đến lừa đảo khác:
- Business Email Compromise (BEC): Được báo cáo bởi 58% người tham gia khảo sát.
- Vendor Impersonation: 52% người tham gia khảo sát.
- Collaboration Platform Phishing: 36% người tham gia khảo sát.
- Session Hijacking: 20% người tham gia khảo sát.
Nỗi Lo Ngại Về Kỹ Thuật Adversary-in-the-Middle (AiTM)
Các kỹ thuật AiTM, đặc biệt là tấn công device code phishing, đang gây chú ý. Các cuộc tấn công này lạm dụng các quy trình xác thực OAuth hợp pháp để chiếm quyền truy cập đã xác thực, bypass các cơ chế xác thực đa yếu tố (MFA).
Ông Hilligoss giải thích: “Kẻ tấn công ưu tiên các kỹ thuật mang lại cho họ quyền truy cập đáng tin cậy nhất với ít nỗ lực nhất, và device code phishing đáp ứng cả hai tiêu chí này. Thay vì liên tục đấu tranh với các biện pháp kiểm soát xác thực, chúng có thể tận dụng các quy trình hợp pháp để có được quyền truy cập đáng tin cậy, thường tồn tại lâu dài sau sự cố ban đầu.”
Điều này làm thay đổi đáng kể quy trình ứng phó, vì các nhóm bảo mật cần tập trung vào việc thu hồi các token và phiên, thay vì chỉ đơn thuần đặt lại mật khẩu.
Thách Thức Trong Việc Ứng Phó Với Tấn Công
Báo cáo chỉ ra rằng khả năng hiển thị (visibility) vẫn là thách thức lớn nhất mà các tổ chức phải đối mặt sau một cuộc tấn công lừa đảo thành công. Khi các nhóm bảo mật không thể xác định được những thông tin đăng nhập, token phiên hoặc các tạo tác xác thực nào đã bị lộ, việc khắc phục trở nên khó khăn hơn.
Kẻ tấn công có thêm thời gian quý báu để thiết lập sự hiện diện (persistence), di chuyển ngang (move laterally), leo thang đặc quyền (escalate privileges) hoặc thực hiện các cuộc tấn công tiếp theo.
Tầm Quan Trọng Của Khả Năng Hiển Thị Và Ứng Phó
“Cuối cùng, người dùng sẽ bị lừa đảo,” ông Hilligoss nhấn mạnh. “Các tổ chức phải vượt ra ngoài các chiến lược tập trung vào phòng ngừa lừa đảo và xây dựng khả năng ứng phó cung cấp khả năng hiển thị liên tục về thông tin đăng nhập, cookie, token phiên và dữ liệu nhận dạng khác bị lộ.”
Các nhóm bảo mật nên ưu tiên các quy trình khắc phục tự động, có khả năng thu hồi quyền truy cập bị xâm phạm ở quy mô lớn và giảm thiểu cửa sổ cơ hội cho kẻ tấn công.
Nguồn Dữ Liệu Tình Báo Tích Hợp
SpyCloud sử dụng kho dữ liệu darknet lớn nhất thế giới để thu hồi thông tin đăng nhập bị lừa đảo, cookie phiên, token làm mới và dữ liệu nhắm mục tiêu lừa đảo trực tiếp từ cơ sở hạ tầng tội phạm và các chiến dịch lừa đảo đang hoạt động. Điều này cho phép các tổ chức xác định danh tính bị xâm phạm và tự động khắc phục các lỗ hổng trước khi chúng bị lợi dụng cho các cuộc tấn công như ransomware, chiếm đoạt tài khoản, chiếm đoạt phiên hoặc gian lận.
Để đọc toàn bộ báo cáo 2026 Phishing Pulse Report, vui lòng truy cập: SpyCloud Phishing Pulse Report 2026.
Các giải pháp bảo vệ mối đe dọa danh tính của SpyCloud sử dụng phân tích nâng cao và AI để tăng tốc điều tra và bảo vệ danh tính lực lượng lao động, người tiêu dùng và nhà cung cấp khỏi các mối đe dọa như bypass xác thực, chiếm đoạt phiên, nội bộ độc hại, chiếm đoạt tài khoản, ransomware và gian lận.
