Điều gì xảy ra với dữ liệu sau khi bị đánh cắp?
Một nghiên cứu mới hé lộ hành trình của dữ liệu bị đánh cắp sau các cuộc tấn công phishing (tấn công giả mạo). Từ việc thu thập đến buôn bán và tái sử dụng, dữ liệu này trở thành một phần trong hệ sinh thái tội phạm mạng có tổ chức, đe dọa người dùng trong nhiều năm sau vụ tấn công đầu tiên.
Tấn công phishing: Không chỉ dừng lại ở một cú nhấp chuột
Trong bối cảnh người dùng Internet ngày càng cảnh giác hơn với các mối đe dọa trực tuyến, tấn công phishing vẫn tiếp tục là một trong những hình thức lừa đảo mạng nguy hiểm và phổ biến nhất. Một email tưởng chừng vô hại, một trang đăng nhập trông giống thật, chỉ cần một phút mất cảnh giác, người dùng có thể đánh mất thông tin đăng nhập, dữ liệu cá nhân hoặc thậm chí là quyền truy cập vào hệ thống của tổ chức.
Tuy nhiên, theo một nghiên cứu mới từ các chuyên gia bảo mật của Kaspersky, những gì xảy ra sau cú nhấp chuột vào liên kết độc hại mới thực sự là phần nguy hiểm nhất. Dữ liệu không đơn thuần bị đánh cắp rồi bỏ qua, mà bước vào một chuỗi hoạt động phức tạp, nơi nó được trao đổi, lưu trữ, phân phối và tái sử dụng trong hàng loạt cuộc tấn công mạng khác.
Một cuộc tấn công phishing thường bắt đầu bằng việc dụ người dùng nhập thông tin đăng nhập vào một trang web giả mạo. Sau khi nạn nhân nhập xong, dữ liệu sẽ được gửi ngay cho kẻ tấn công. Nhưng đây mới chỉ là điểm khởi đầu.
Các nhà nghiên cứu đã phát hiện rằng, dữ liệu bị đánh cắp sẽ tiếp tục được luân chuyển trong các mạng lưới tội phạm ngầm. Dữ liệu trở thành một dạng "tài sản số" có thể mua bán, lưu trữ, hoặc kết hợp với các thông tin khác để tạo thành hồ sơ chi tiết về nạn nhân - thường được sử dụng cho các cuộc tấn công sau đó.
Đáng chú ý, ngay cả những thông tin đã rò rỉ từ nhiều năm trước vẫn có thể được khai thác lại. Nhiều nhóm tấn công sử dụng những dữ liệu cũ này để kiểm tra xem người dùng có tái sử dụng mật khẩu hay không, từ đó dễ dàng xâm nhập vào các dịch vụ khác như email, mạng xã hội, tài khoản ngân hàng hoặc các hệ thống nội bộ của doanh nghiệp.
Các phương pháp thu thập và truyền dữ liệu phổ biến
Trong quá trình nghiên cứu các trang phishing thực tế, các nhà phân tích phát hiện 3 kỹ thuật chính mà tội phạm mạng sử dụng để chuyển dữ liệu đánh cắp từ trang giả mạo về máy chủ hoặc tài khoản của chúng.
Truyền dữ liệu qua email
Đây là cách tấn công truyền thống nhất, kẻ tấn công sử dụng một đoạn mã PHP nhúng trong trang web giả mạo để gửi dữ liệu người dùng qua email. Tuy nhiên, cách làm này đang dần lỗi thời vì bị hạn chế bởi các chính sách của nhà cung cấp dịch vụ email, độ trễ trong quá trình gửi và nguy cơ bị chặn bởi nhà cung cấp dịch vụ lưu trữ (hosting).
Sử dụng bot Telegram
Một phương pháp phổ biến hơn là sử dụng bot Telegram. Thay vì gửi qua email, thông tin người dùng bị đánh cắp sẽ được gửi đến một tài khoản Telegram thông qua API. Với việc cấu hình token bot và chat ID, kẻ tấn công có thể nhận thông tin gần như tức thời, cùng với thông báo trực tiếp trên thiết bị cá nhân.
Ưu điểm của phương pháp này là khả năng ẩn danh cao, khó bị phát hiện và không phụ thuộc vào chất lượng hoặc độ ổn định của hosting. Bot có thể bị xoá hoặc thay đổi nhanh chóng, khiến việc lần theo dấu vết trở nên phức tạp hơn rất nhiều.
Hệ thống quản lý chuyên nghiệp
Các nhóm tội phạm mạng tinh vi hơn sử dụng những nền tảng thương mại như BulletProofLink hoặc Caffeine - hoạt động theo mô hình dịch vụ phần mềm (PaaS - Platform as a Service). Những nền tảng này cung cấp bảng điều khiển tập trung, cho phép kẻ tấn công theo dõi và quản lý nhiều chiến dịch phishing cùng lúc.
Tất cả thông tin thu thập được sẽ được lưu trữ vào cơ sở dữ liệu tập trung, nơi hacker có thể truy cập, phân loại và xử lý theo mục đích sử dụng. Đây là sự khác biệt lớn so với các cuộc tấn công nhỏ lẻ trước đây, đánh dấu bước chuyển mình rõ rệt của tội phạm mạng từ hoạt động cá nhân sang mô hình tổ chức chuyên nghiệp.
Dữ liệu cũ vẫn là "mỏ vàng" của tội phạm mạng
Một trong những phát hiện đáng lo ngại từ nghiên cứu là dữ liệu bị đánh cắp từ lâu vẫn có thể được sử dụng hiệu quả trong các chiến dịch mới. Các tập dữ liệu cũ - bao gồm email, mật khẩu, tên người dùng, số điện thoại hoặc địa chỉ IP - thường được gộp lại và bán dưới dạng "combo" trên các chợ đen trực tuyến.
Tội phạm mạng có thể tận dụng thông tin này để thử truy cập vào các dịch vụ mới mà người dùng có thể đã đăng ký sau đó, hoặc sử dụng để thực hiện các cuộc tấn công có chủ đích như spear-phishing, giả mạo email doanh nghiệp hoặc lừa đảo tài chính.
Sự tồn tại lâu dài của dữ liệu rò rỉ trong hệ sinh thái ngầm cũng là lý do vì sao các chuyên gia bảo mật luôn khuyến cáo người dùng không nên sử dụng lại mật khẩu cũ và cần kích hoạt xác thực hai yếu tố (2FA) cho tất cả tài khoản quan trọng.
Nghiên cứu của Kaspersky chỉ ra rằng, tội phạm mạng ngày nay không còn hoạt động đơn lẻ mà vận hành như một hệ sinh thái ngầm được tổ chức bài bản. Mỗi phần trong chuỗi tấn công đều do những nhóm khác nhau đảm nhiệm, từ phát triển hạ tầng, thu thập dữ liệu cho đến phân phối và khai thác thông tin.
Có những nhóm chuyên thiết kế các trang web giả mạo với giao diện tinh vi, đánh lừa cả người dùng thông thường lẫn nhân viên IT. Nhóm khác vận hành các nền tảng thu thập và quản lý dữ liệu bị đánh cắp, đảm bảo chúng được lưu trữ có hệ thống và dễ dàng truy xuất. Sau đó, dữ liệu được rao bán hoặc chia sẻ trong các cộng đồng hacker, nơi những nhóm khác sẽ tiếp tục sử dụng để phát động các cuộc tấn công tiếp theo như chiếm quyền truy cập hệ thống, lừa đảo qua email hoặc cài phần mềm độc hại.
Cách tổ chức phân tầng này khiến các chiến dịch phishing hiện đại trở nên cực kỳ hiệu quả và khó bị phát hiện. Không chỉ dựa vào công nghệ, tội phạm mạng còn sử dụng cả mô hình kinh doanh, chia lợi nhuận và thậm chí là thuê ngoài dịch vụ để giảm thiểu rủi ro và tối đa hóa hiệu suất tấn công.
Người dùng cần làm gì để tự bảo vệ?
Trước mức độ tinh vi ngày càng cao của các chiến dịch phishing, việc phòng ngừa cần được đặt lên hàng đầu. Dưới đây là một số khuyến nghị từ các chuyên gia bảo mật:
.jpg)
Người dùng nên luôn kiểm tra kỹ địa chỉ URL trước khi đăng nhập vào bất kỳ dịch vụ nào. Tuyệt đối không nên nhấp vào các liên kết đáng ngờ trong email, tin nhắn hoặc mạng xã hội. Việc bật xác thực hai yếu tố (2FA) sẽ giúp tăng cường lớp bảo vệ cho tài khoản, kể cả khi mật khẩu đã bị lộ.
Ngoài ra, việc sử dụng các trình quản lý mật khẩu sẽ giúp người dùng tạo mật khẩu mạnh, duy nhất cho mỗi dịch vụ - giảm thiểu nguy cơ bị tấn công lan truyền từ một tài khoản sang các tài khoản khác.
Với doanh nghiệp, cần tổ chức đào tạo nhận thức an ninh mạng định kỳ cho nhân viên, đồng thời triển khai các công cụ giám sát, phát hiện bất thường và phản ứng nhanh khi có dấu hiệu bị tấn công.
Có thể thấy, phishing không còn là những email vụng về như trước đây, mà đã trở thành một mắt xích trong hệ sinh thái tội phạm mạng được tổ chức tinh vi và có quy mô toàn cầu. Dữ liệu bị đánh cắp không chỉ là kết thúc của một cuộc tấn công, mà là khởi đầu của hàng loạt mối đe dọa kéo dài nhiều năm sau đó. Trong bối cảnh đó, việc nâng cao nhận thức, chủ động bảo vệ tài khoản cá nhân và triển khai các biện pháp bảo mật toàn diện không còn là lựa chọn - mà là yêu cầu bắt buộc trong thời đại số./.