5 lý do tội phạm mạng đổ bộ sang “giăng bẫy” trên LinkedIn

LinkedIn - mảnh đất màu mỡ cho tội phạm mạng

Lừa đảo trực tuyến (phishing) từ lâu được coi là “đặc sản” của thư điện tử. Tuy nhiên, các thống kê mới cho thấy, bức tranh đã thay đổi đáng kể: Cứ ba cuộc tấn công, thì một không hề xuất hiện trong hộp thư email mà diễn ra trên mạng xã hội, công cụ tìm kiếm hay ứng dụng nhắn tin.

Trong số đó, LinkedIn đang nổi lên như một trong những nền tảng bị kẻ tấn công khai thác mạnh nhất.

Tại sao một ứng dụng mang tính chất nghề nghiệp - nơi người dùng chủ yếu cập nhật CV, tìm việc hoặc kết nối đối tác -lại trở thành nơi gieo bẫy? Câu trả lời nằm ở chính hành vi của người dùng hiện nay.

LinkedIn dù là “ứng dụng cá nhân”, nhưng hầu như ai cũng truy cập bằng thiết bị làm việc, đăng nhập bằng tài khoản doanh nghiệp và liên tục trao đổi thông tin liên quan tới công việc.

Với hacker, đây là cánh cửa mở rộng vào các dịch vụ quan trọng như Microsoft Entra, Google Workspace hay những tài khoản có quyền truy cập nhạy cảm khác.

Lý do đáng lo ngại hơn: Số vụ tấn công trên LinkedIn hiện bị báo cáo thiếu nghiêm trọng. Phần lớn các hệ thống đo lường an ninh vẫn tập trung vào email, khiến doanh nghiệp gần như “mù” trước những nguy cơ đến từ các kênh khác.

Dưới đây là năm lý do cho thấy vì sao tội phạm mạng đang ồ ạt chuyển sang LinkedIn - và vì sao hình thức này ngày càng hiệu quả:

Bỏ qua hoàn toàn các công cụ bảo mật truyền thống

Trong môi trường doanh nghiệp, email được bảo vệ bằng nhiều lớp phòng vệ như lọc spam, phân tích URL, kiểm tra tên miền và sandboxing. Nhưng tin nhắn trực tiếp (DM) trên LinkedIn thì không. Kẻ tấn công có thể gửi tin nhắn tới nhân viên đang dùng laptop công ty mà bộ phận bảo mật không có bất kỳ công cụ giám sát nào.

Khi người dùng nhấp vào liên kết độc hại, hệ thống khó có khả năng “chặn giữa đường” bởi nhiều bộ kit phishing hiện đại được thiết kế để đánh lừa các công cụ phân tích web, tránh bot kiểm tra và xoá dấu vết khi bị truy vấn. Doanh nghiệp gần như chỉ còn trông chờ vào việc nhân viên tự nhận ra dấu hiệu đáng ngờ và báo cáo lại.

Ngay cả khi người dùng phát hiện và báo cáo, vấn đề vẫn chưa được giải quyết. Doanh nghiệp không thể biết tin nhắn đó đã gửi tới bao nhiêu người, không có công cụ thu hồi hoặc cách ly như email và không thể ngăn tài khoản độc hại lập tức nhắm sang mục tiêu khác.

Thông thường, các tổ chức chỉ có thể chặn URL có vấn đề - nhưng hacker thay đổi tên miền nhanh đến mức biện pháp này gần như vô tác dụng.

Tấn công trên LinkedIn rẻ, nhanh và dễ mở rộng

Nếu muốn gửi email lừa đảo, hacker phải đầu tư vào tên miền, tạo uy tín, vượt qua bộ lọc thư rác và tránh bị đưa vào danh sách đen. Nhưng trên LinkedIn, mọi thứ đơn giản hơn nhiều.

Một thủ thuật rất phổ biến là chiếm quyền điều khiển tài khoản hợp pháp. Các kho dữ liệu bị đánh cắp từ phần mềm đánh cắp thông tin cho thấy, khoảng 60% thông tin đăng nhập liên quan đến mạng xã hội và phần lớn không có bảo mật hai lớp (MFA).

Khi xâm nhập được vào tài khoản thật, kẻ tấn công dễ dàng mạo danh chủ tài khoản, tiếp cận toàn bộ mạng lưới kết nối sẵn có và tạo độ tin cậy cao hơn nhiều so với email lạ.

Cộng thêm sự hỗ trợ của các công cụ AI có khả năng tạo tin nhắn tự nhiên, cá nhân hóa theo từng mục tiêu, hacker có thể mở rộng chiến dịch với tốc độ chóng mặt mà gần như không tốn kém.

Tiếp cận dễ dàng với những mục tiêu “hái ra tiền”

LinkedIn từ lâu đã là kho dữ liệu khổng lồ về nhân sự cho các đội red team trong các bài kiểm thử bảo mật. Đối với hacker thật, giá trị này còn lớn hơn. Từ mô tả công việc, vị trí, thâm niên đến kỹ năng chuyên môn, họ dễ dàng xác định ai là người có quyền truy cập hệ thống quan trọng, ai có tài khoản có thể trở thành bàn đạp để xâm nhập sâu hơn vào hạ tầng doanh nghiệp.

Không có bộ lọc spam, không có trợ lý lọc tin nhắn, không có cảnh báo rủi ro. Tin nhắn LinkedIn là cách trực tiếp nhất để tiếp cận một lãnh đạo cấp cao. Với các chiến dịch lừa đảo nhắm mục tiêu có chủ đích - đây là hình thức tấn công đặc biệt nguy hiểm.

Người dùng dễ mắc bẫy hơn

Trong môi trường chuyên nghiệp, việc nhận tin nhắn từ người lạ là điều bình thường. Do đó, người dùng ít cảnh giác khi mở tin nhắn trên LinkedIn hơn so với email - nơi các chiến dịch lừa đảo đã quá phổ biến.

Khi tài khoản liên lạc bị chiếm đoạt, hiệu quả lừa đảo tăng vọt. Người dùng nhìn thấy tin nhắn từ đồng nghiệp, đối tác quen thuộc - những người mà họ vốn tin tưởng. Trong nhiều trường hợp, kẻ tấn công chiếm được tài khoản của chính nhân viên trong công ty, tạo điều kiện để tiếp cận các lãnh đạo cấp cao dưới danh nghĩa “nội bộ”.

Chỉ cần một kịch bản hợp lý như “cần duyệt gấp”, “xin kiểm tra tài liệu”, “cần xác nhận thanh toán”, tỷ lệ người dùng sập bẫy tăng lên đáng kể. Điều nguy hiểm là mọi việc xảy ra âm thầm mà bộ phận an ninh gần như không phát hiện được.

Phần thưởng lớn dành cho hacker

Nhiều người vẫn nghĩ LinkedIn là ứng dụng cá nhân, nên rủi ro chỉ dừng lại ở việc lộ thông tin. Nhưng thực tế, phần lớn các cuộc tấn công đều nhắm tới những tài khoản có khả năng truy cập sâu vào hệ thống doanh nghiệp. Một tài khoản Microsoft, Google hoặc Okta bị xâm nhập có thể mở cánh cửa tới toàn bộ hệ thống mà người dùng đó có quyền truy cập, bao gồm hàng chục ứng dụng dùng chung qua SSO (đăng nhập một lần).

Chỉ một tài khoản bị chiếm quyền có thể dẫn tới việc lây lan trong nội bộ qua Slack, Teams, các ứng dụng SaaS hoặc kỹ thuật SAMLjacking - biến một dịch vụ bình thường thành “bãi đáp” đầy bẫy cho những người đăng nhập sau.

Thiệt hại dễ dàng trở thành sự cố nhiều triệu USD

Trường hợp điển hình là vụ vi phạm Okta năm 2023, khi một nhân viên đăng nhập tài khoản Google cá nhân trên thiết bị công ty. Các mật khẩu lưu trên trình duyệt đã được đồng bộ sang điện thoại cá nhân.

Khi thiết bị này bị hack, 134 tài khoản khách hàng Okta cũng bị lộ theo. Đây là minh chứng rõ ràng rằng ranh giới giữa “thiết bị cá nhân” và “thiết bị công việc” đã quá mong manh.

Sự dịch chuyển của lừa đảo mạng phản ánh đúng thực tế làm việc hiện nay: Mọi hoạt động kết nối diễn ra trên vô số nền tảng phi tập trung, từ mạng xã hội, ứng dụng nhắn tin đến công cụ dịch vụ (SaaS). Điều này khiến doanh nghiệp khó kiểm soát hơn bao giờ hết.

Tội phạm mạng có thể gửi liên kết độc hại qua Messenger, WhatsApp, X, SMS, quảng cáo hoặc bất kỳ nền tảng nào có khả năng gửi thông báo trực quan. Đồng thời, doanh nghiệp hiện sử dụng hàng trăm ứng dụng, mỗi ứng dụng lại có mức độ bảo mật khác nhau, tạo ra vô số điểm yếu.

Để hiểu rõ lừa đảo mạng đang biến đổi ra sao vào năm 2025 và những năm tiếp theo, các chuyên gia khuyến nghị, người dùng, doanh nghiệp cần theo dõi tin tức, phân tích chuyên sâu để có thể tự bảo vệ trước các chiêu trò lừa đảo liên tục biến hình./.