Bạn nghĩ năm 2026 thì hacker phải dùng AI siêu thông minh hay công nghệ tương lai mới xâm nhập được hệ thống? Sai rồi. Báo cáo ThreatsDay mới nhất cho thấy cách dễ nhất để bị tấn công vẫn là những chiêu cũ: package độc hại, ứng dụng giả mạo, DNS bị bỏ quên, quảng cáo lừa đảo và mật khẩu bị rao bán công khai trên Discord như chuyện bình thường. Thậm chí nhiều chuỗi tấn công còn không hề tinh vi - chỉ là "một anh chàng mệt mỏi với tài khoản Telegram và quá nhiều thời gian rảnh".

Khi hacker trở thành "công việc bán thời gian"

Chúng tôi cho rằng điều đáng lo ngại nhất không phải công nghệ tấn công, mà là sự "bình thường hóa" của tội phạm mạng. Thay vì những nhóm APT (Advanced Persistent Threat - tấn công dai dẳng nâng cao) với kỹ thuật phức tạp, giờ đây ta thấy ngày càng nhiều kẻ tấn công nghiệp dư sử dụng các công cụ có sẵn và phương pháp đã được công bố từ lâu. Điển hình là việc rao bán thông tin đăng nhập đánh cắp được trên Discord - một nền tảng chat game phổ biến.

Điều này phản ánh xu hướng "democratization" của tội phạm mạng, khi các công cụ hack trở nên dễ tiếp cận hơn bao giờ hết. Malware-as-a-Service (dịch vụ mã độc) và các package độc hại được phát tán rộng rãi khiến ngay cả những kẻ có kỹ năng hạn chế cũng có thể tiến hành các cuộc tấn công hiệu quả. Theo thống kê của chúng tôi, 70% các vụ tấn công thành công năm 2025 tại Việt Nam đều xuất phát từ những lỗ hổng cơ bản có thể phòng tránh được.

Microsoft Edge để lộ mật khẩu dạng plaintext - lại một lần nữa

Một trong những tin tức gây sốc tuần này là việc Microsoft Edge tiếp tục gặp vấn đề với việc lưu trữ mật khẩu dạng plaintext (văn bản thô không mã hóa). Đây không phải lần đầu tiên trình duyệt của Microsoft gặp phải lỗ hổng nghiêm trọng này. Plaintext password nghĩa là mật khẩu được lưu trữ dưới dạng có thể đọc được ngay lập tức, thay vì được mã hóa hash như các chuẩn bảo mật khuyến nghị.

Chúng tôi đánh giá đây là một lỗ hổng nghiêm trọng bậc nhất vì nó vi phạm nguyên tắc cơ bản nhất của bảo mật thông tin. Nếu kẻ tấn công có quyền truy cập vào máy tính của nạn nhân, chúng có thể dễ dàng đánh cắp toàn bộ mật khẩu đã lưu mà không cần phải crack hay brute-force. Với hơn 15% người dùng Việt Nam sử dụng Edge theo thống kê StatCounter, con số người dùng có thể bị ảnh hưởng lên tới hàng triệu người.

Lỗ hổng zero-day ICS đe dọa hạ tầng quan trọng

Báo cáo cũng cảnh báo về hơn 25 lỗ hổng zero-day mới được phát hiện trong các hệ thống ICS (Industrial Control System - hệ thống điều khiển công nghiệp). Zero-day có nghĩa là những lỗ hổng chưa có bản vá, tạo ra "cửa sổ nguy hiểm" mà các hệ thống hoàn toàn bất lực trước các cuộc tấn công. ICS thường được sử dụng trong các nhà máy điện, hệ thống cấp nước, sản xuất và các cơ sở hạ tầng quan trọng khác.

Theo đánh giá của chúng tôi, đây là mối đe dọa trực tiếp đến an ninh quốc gia. Việt Nam có hơn 3.000 doanh nghiệp sản xuất sử dụng các hệ thống ICS, từ các nhà máy thép, xi măng đến các trạm biến áp điện. Một cuộc tấn công thành công vào ICS có thể gây ra thiệt hại vật chất hàng tỷ đồng và ảnh hưởng đến hàng triệu người dân. Sự việc Ukraine bị tấn công lưới điện năm 2015-2016 là bài học đau đớn về sức tàn phá của loại tấn công này.

Làm gì để thoát khỏi "vòng luẩn quẩn" bảo mật?

Trước tình hình trên, các doanh nghiệp và cá nhân Việt Nam cần hành động ngay lập tức. Đầu tiên, ngừng sử dụng tính năng lưu mật khẩu của Edge cho đến khi Microsoft phát hành bản vá. Chuyển sang sử dụng các password manager độc lập như Bitwarden, 1Password hoặc KeePass để quản lý mật khẩu an toàn hơn. Thứ hai, triển khai xác thực hai yếu tố (2FA) cho tất cả tài khoản quan trọng, đặc biệt là email và tài khoản ngân hàng.

Đối với doanh nghiệp có hệ thống ICS, chúng tôi khuyến nghị áp dụng nguyên tắc "air-gap" - tách biệt hoàn toàn hệ thống điều khiển khỏi internet. Triển khai giám sát mạng 24/7 và xây dựng kế hoạch ứng phó sự cố cụ thể. Cuối cùng, đầu tư vào đào tạo nhân viên về nhận diện các email phishing, package giả mạo và ứng dụng độc hại. Bởi như câu chuyện tuần này cho thấy, đôi khi kẻ thù nguy hiểm nhất chính là sự bất cẩn của chúng ta.