Dữ liệu do Đơn vị Phản ứng Mối đe dọa (TRU) của eSentire thực hiện cho thấy, các cuộc tấn công dựa trên định danh đã tăng vọt 156% từ năm 2023 đến 2025 và chiếm 59% tổng số sự cố mối đe dọa được xác nhận trong Quý 1 năm 2025.
Sự dịch chuyển đáng kể này từ các hình thức tấn công truyền thống nhắm vào tài sản sang các chiến dịch tinh vi tập trung vào định danh cho thấy một sự thay đổi cơ bản trong chiến thuật của đối thủ. Tội phạm mạng ngày càng nhắm mục tiêu vào thông tin xác thực của người dùng và các cơ chế xác thực, khai thác quyền truy cập trực tiếp mà chúng cung cấp vào các tài sản có giá trị của tổ chức với độ phức tạp kỹ thuật tối thiểu.
Sự phát triển của các hệ sinh thái Cybercrime-as-a-Service (CaaS) đã thúc đẩy xu hướng này hơn nữa, cung cấp các công cụ chi phí thấp nhưng mang lại lợi nhuận cao, giúp dân chủ hóa các khả năng tấn công nâng cao cho các tác nhân đe dọa ở nhiều cấp độ kỹ năng khác nhau.
Các Vector Tấn Công Chính
Dẫn đầu xu hướng này là các nền tảng Phishing-as-a-Service (PhaaS) và phần mềm độc hại đánh cắp thông tin.
Nền tảng Phishing-as-a-Service (PhaaS)
Tycoon2FA là một ví dụ điển hình của nền tảng PhaaS, chiếm 58% các trường hợp tài khoản bị xâm phạm được quan sát. Với chi phí thấp chỉ từ 200-300 USD mỗi tháng, Tycoon2FA cung cấp khả năng thu thập thông tin xác thực cấp độ doanh nghiệp với chức năng Adversary-in-the-Middle (AitM). Công nghệ AitM cho phép nó đánh chặn và phát lại các token xác thực, qua đó qua mặt các cơ chế xác thực đa yếu tố (MFA) truyền thống. Điều này cho phép kẻ tấn công giành quyền truy cập vào các tài khoản được bảo vệ bằng MFA, gây ra rủi ro nghiêm trọng cho các tổ chức dựa vào MFA làm lớp bảo mật chính.
Phần mềm độc hại đánh cắp thông tin (Infostealer Malware)
Trong khi đó, các phần mềm đánh cắp thông tin (infostealer) như Lumma Stealer đã phát triển thành các nền tảng thu thập định danh toàn diện. Lumma Stealer là họ phần mềm độc hại bị gián đoạn nhiều nhất vào năm 2024 và 2025. Những công cụ này có khả năng trích xuất một loạt dữ liệu nhạy cảm từ hệ thống bị nhiễm, bao gồm:
- Thông tin xác thực được lưu trữ trong trình duyệt
- Cơ sở dữ liệu của các trình quản lý mật khẩu
- Cấu hình VPN
- Token dành riêng cho ứng dụng
Những dữ liệu bị đánh cắp này sau đó được kiếm tiền trên các thị trường ngầm với hiệu quả tương tự như thương mại điện tử, tạo ra một chuỗi cung ứng nguy hiểm cho tội phạm mạng.
Tác động và Thách thức trong Phát hiện
Thời gian nhanh chóng từ lúc đánh cắp thông tin xác thực đến hành vi gian lận thực tế, thường chỉ trong vài giờ, làm trầm trọng thêm thách thức đối với các tổ chức. Điều này được thấy rõ trong các trường hợp thỏa hiệp email doanh nghiệp (BEC), vốn chiếm 41% tổng số sự cố trong Quý 1 năm 2025, tăng từ 25,6% vào năm 2024. Tốc độ chuyển đổi nhanh chóng này đòi hỏi khả năng phản ứng và khắc phục sự cố gần như tức thời để giảm thiểu thiệt hại.
Các điểm mù và Bề mặt tấn công vô hình
Việc khai thác các điểm mù trong giám sát bổ sung một lớp phức tạp khác vào bối cảnh mối đe dọa này. Các thiết bị không được quản lý, cơ sở hạ tầng IT bóng (shadow IT), và các mối quan hệ đối tác chuỗi cung ứng bên thứ ba tạo ra các bề mặt tấn công vô hình, lẩn tránh các biện pháp kiểm soát bảo mật truyền thống. Phân tích của TRU nhấn mạnh cách các thông tin xác thực bị đánh cắp, thường có được thông qua các phần mềm đánh cắp thông tin, được sử dụng để truy cập mạng công ty thông qua các kênh hợp pháp như VPN. Việc này chỉ trở nên có thể phát hiện được trong các giai đoạn tấn công muộn hơn, chẳng hạn như triển khai ransomware.
Mức độ phơi nhiễm theo ngành và Địa lý
Các ngành như Xây dựng, Sản xuất, Dịch vụ kinh doanh và Phần mềm phải đối mặt với mức độ phơi nhiễm cao hơn với các mối đe dọa dựa trên email, mặc dù không có lĩnh vực nào miễn nhiễm. Sự đa dạng về địa lý của cơ sở hạ tầng tấn công, với 78% các hoạt động lừa đảo được liên kết với các nhà cung cấp dịch vụ lưu trữ có trụ sở tại Hoa Kỳ (mặc dù các tác nhân đe dọa được phân phối trên toàn cầu sử dụng VPN và proxy), càng làm phức tạp thêm các nỗ lực phát hiện và giảm thiểu.
Chiến lược Giảm thiểu và Cải thiện tư thế Bảo mật
Sự thay đổi lớn trong chiến thuật tấn công này đòi hỏi một sự đánh giá lại các kiến trúc bảo mật của tổ chức. Các biện pháp phòng thủ chu vi truyền thống và bảo vệ điểm cuối không còn đủ sức chống lại những kẻ tấn công sử dụng thông tin xác thực hợp lệ.
eSentire khuyến nghị áp dụng các phương pháp xác thực kháng lừa đảo và triển khai các nguyên tắc bảo mật hiện đại:
Cải thiện xác thực
- Sử dụng các phương pháp xác thực kháng lừa đảo: Áp dụng các tiêu chuẩn như FIDO2/WebAuthn, vốn sử dụng các cặp khóa mật mã để xác thực, giúp ngăn chặn hiệu quả các cuộc tấn công lừa đảo truyền thống và AitM.
Nguyên tắc Zero Trust
- Triển khai các nguyên tắc Zero Trust: Áp dụng triết lý “không bao giờ tin tưởng, luôn xác minh”. Điều này bao gồm xác minh liên tục danh tính của người dùng và thiết bị, cũng như quyền truy cập vào tài nguyên, bất kể vị trí của họ trong mạng. Việc xác minh danh tính và ủy quyền được thực hiện trước mọi yêu cầu truy cập tài nguyên.
Tăng cường giám sát
- Tăng cường giám sát các bất thường trong xác thực: Theo dõi chặt chẽ các hoạt động đăng nhập và xác thực để phát hiện các hành vi bất thường, chẳng hạn như đăng nhập từ các vị trí địa lý bất thường, nhiều lần đăng nhập thất bại, hoặc truy cập vào các tài nguyên nhạy cảm vào những thời điểm không điển hình.
- Giám sát phơi nhiễm thông tin xác thực trên dark web: Thực hiện các biện pháp chủ động để theo dõi và cảnh báo về việc thông tin xác thực của tổ chức bị rò rỉ hoặc rao bán trên các thị trường dark web. Việc này giúp tổ chức nhanh chóng thay đổi mật khẩu hoặc thu hồi thông tin xác thực bị xâm phạm trước khi chúng có thể được khai thác.
Khi các cuộc tấn công dựa trên định danh tiếp tục chiếm ưu thế, các tổ chức phải hành động nhanh chóng để chuyển đổi tư thế bảo mật của mình, ưu tiên phản ứng nhanh và các biện pháp phòng thủ chủ động để giảm thiểu các rủi ro leo thang về tổn thất tài chính, vi phạm quy định và thiệt hại danh tiếng do các mối đe dọa mạng tinh vi này gây ra.
