Bạn có tin rằng chỉ bằng một cuộc gọi điện thoại, hacker có thể chiếm quyền kiểm soát toàn bộ hệ thống công nghệ thông tin của một doanh nghiệp lớn không? Điều này không còn là viễn tưởng khi nhóm BlackFile đã chứng minh điều đó qua hàng trăm vụ tấn công thành công kể từ tháng 2/2026. Những kẻ tấn công này đã sử dụng kỹ thuật vishing (voice phishing - lừa đảo qua điện thoại) để xâm nhập vào hệ thống của các doanh nghiệp bán lẻ và khách sạn trên toàn cầu. Chúng tôi cho rằng đây là một trong những chiến dịch tấn công có tổ chức và tinh vi nhất trong năm qua, đánh dấu sự trỗi dậy của một thế hệ cybercriminal mới.

Khi cuộc gọi điện thoại trở thành 'chìa khóa vạn năng'

BlackFile hoạt động theo mô hình hoàn toàn khác biệt so với các nhóm ransomware truyền thống. Thay vì dựa vào malware (phần mềm độc hại) hay khai thác lỗ hổng kỹ thuật, họ tập trung vào yếu tố con người - điểm yếu lớn nhất trong mọi hệ thống bảo mật. Các thành viên trong nhóm sẽ gọi điện thoại trực tiếp cho nhân viên IT hoặc nhân viên hỗ trợ kỹ thuật, giả danh là đồng nghiệp hoặc nhà cung cấp dịch vụ đáng tin cậy. Họ sử dụng thông tin thu thập được từ mạng xã hội và các nguồn công khai để tạo ra kịch bản đàm thoại cực kỳ thuyết phục.

Điểm đáng chú ý là BlackFile không chỉ dừng lại ở việc lừa đảo đơn thuần. Sau khi có được quyền truy cập ban đầu, họ triển khai một quy trình tấn công có hệ thống với ba giai đoạn chính: reconnaissance (trinh sát), lateral movement (di chuyển ngang trong hệ thống), và data exfiltration (đánh cắp dữ liệu). Chúng tôi nhận thấy rằng thời gian từ khi xâm nhập thành công đến khi hoàn tất việc đánh cắp dữ liệu trung bình chỉ là 72 giờ - một tốc độ đáng báo động cho thấy trình độ chuyên nghiệp của nhóm này.

Công nghệ tinh vi ẩn sau lớp vỏ 'social engineering'

Mặc dù dựa chủ yếu vào kỹ thuật social engineering (kỹ thuật tâm lý xã hội), BlackFile vẫn sử dụng các công cụ kỹ thuật tiên tiến để hỗ trợ hoạt động. Họ phát triển các custom malware (phần mềm độc hại tùy chỉnh) có khả năng tự xóa dấu vết và tránh bị phát hiện bởi các hệ thống antivirus thông thường. Đặc biệt, nhóm này sử dụng living-off-the-land techniques - kỹ thuật lợi dụng các công cụ có sẵn trong hệ điều hành để thực hiện các hoạt động độc hại mà không cần cài đặt phần mềm bổ sung.

Theo phân tích của chúng tôi, BlackFile còn đầu tư mạnh vào việc nghiên cứu tâm lý học để nâng cao hiệu quả của các cuộc tấn công vishing. Họ tạo ra các profile (hồ sơ) chi tiết về từng mục tiêu, bao gồm cấu trúc tổ chức, quy trình làm việc, thậm chí cả thông tin cá nhân của các nhân viên chủ chốt. Điều này giúp các cuộc gọi lừa đảo của họ trở nên cực kỳ thuyết phục, đến mức ngay cả những chuyên gia IT kinh nghiệm cũng có thể bị 'mắc câu'.

Tác động kinh tế và danh tiếng không thể đo lường

Thiệt hại do BlackFile gây ra không chỉ dừng lại ở con số 847 doanh nghiệp đã bị xác nhận tấn công thành công. Theo ước tính của các chuyên gia, tổng thiệt hại kinh tế có thể lên đến 2.3 tỷ USD, bao gồm tiền chuộc, chi phí khôi phục hệ thống, và mất doanh thu do gián đoạn kinh doanh. Một chuỗi khách sạn tại châu Âu đã phải đóng cửa hoàn toàn trong 5 ngày để khắc phục hậu quả, dẫn đến thiệt hại ước tính 15 triệu EUR.

Chúng tôi đánh giá cao mức độ nguy hiểm của BlackFile không chỉ vì thiệt hại tài chính mà còn vì tác động lâu dài đến danh tiếng doanh nghiệp. Nhiều công ty bị tấn công đã mất lòng tin của khách hàng sau khi thông tin cá nhân bị rò rỉ. Điều đặc biệt lo ngại là nhóm này còn có xu hướng công bố công khai dữ liệu đã đánh cắp trên dark web nếu nạn nhân từ chối trả tiền chuộc, tạo ra một 'hiệu ứng domino' khiến các doanh nghiệp khác càng thêm lo sợ.

Lá chắn phòng thủ cho doanh nghiệp Việt Nam

Trước mối đe dọa từ BlackFile, các doanh nghiệp Việt Nam cần triển khai ngay các biện pháp phòng thủ tích cực. Bước đầu tiên và quan trọng nhất là xây dựng quy trình xác thực nghiêm ngặt cho mọi yêu cầu hỗ trợ kỹ thuật qua điện thoại. Nhân viên IT phải được đào tạo để luôn xác minh danh tính người gọi thông qua multiple channels (nhiều kênh khác nhau) trước khi cung cấp bất kỳ thông tin hoặc quyền truy cập nào. Thiết lập callback policy (chính sách gọi lại) bắt buộc - nghĩa là luôn gọi lại theo số điện thoại chính thức thay vì tin tưởng vào số máy hiển thị trên màn hình.

Về mặt kỹ thuật, doanh nghiệp cần triển khai zero-trust architecture (kiến trúc không tin tưởng) và multi-factor authentication (xác thực đa yếu tố) cho tất cả các tài khoản quan trọng. Đầu tư vào các giải pháp endpoint detection and response (EDR - phát hiện và ứng phó tại điểm cuối) để theo dõi những hoạt động bất thường trong hệ thống. Quan trọng không kém là tổ chức regular security awareness training (đào tạo nhận thức bảo mật định kỳ) và thực hiện red team exercise (diễn tập tấn công giả định) để kiểm tra mức độ sẵn sàng của tổ chức trước các cuộc tấn công tương tự.