Tại sao hacker lại từ bỏ việc phá vỡ hệ thống để chuyển sang "đánh lừa" lòng tin? Tuần qua chứng kiến loạt sự kiện bảo mật nghiêm trọng từ vụ hack Vercel, tấn công Push Fraud, việc lạm dụng QEMU cho đến sự xuất hiện của các Android RAT mới. Tất cả đều có chung một mẫu số: thay vì tấn công trực diện, tin tặc đang khéo léo lợi dụng những kênh đáng tin cậy để thâm nhập. Chúng tôi cho rằng đây là sự thay đổi căn bản trong chiến thuật tấn công, đáng báo động hơn bất kỳ lỗ hổng zero-day nào.

Khi công cụ đáng tin trở thành "cửa hậu"

Vụ hack Vercel - nền tảng triển khai web được hàng triệu developer tin dùng - minh họa rõ nét cho xu hướng mới này. Thay vì tìm cách xuyên thủng tường lửa hay khai thác lỗ hổng hệ thống, tin tặc đã biến công cụ của bên thứ ba thành "chìa khóa vạn năng". Một khi kiểm soát được công cụ này, họ có thể truy cập vào toàn bộ hạ tầng nội bộ mà không cần phá vỡ bất kỳ biện pháp bảo mật nào. Đó chính là nghệ thuật "uốn cong lòng tin" thay vì phá hủy nó.

Tương tự, các cuộc tấn công Push Fraud đã lợi dụng những kênh download đáng tin cậy để phát tán malware. Chỉ trong vài phút, kẻ tấn công hoán đổi file gốc bằng mã độc, khiến hàng nghìn người dùng vô tình tải về "món quà" độc hại. Browser extension - những tiện ích mở rộng tưởng chừng vô hại - cũng hoạt động bình thường trong thời gian dài để tạo lòng tin, trước khi bắt đầu thu thập dữ liệu và chạy mã độc. Chúng tôi nhận thấy đây không phải là cuộc tấn công ngẫu nhiên mà là chiến lược có tính toán kỹ lưỡng.

QEMU và Android RAT: Sự tinh vi trong đơn giản

QEMU (Quick Emulator) - công cụ ảo hóa mã nguồn mở được tin dùng rộng rãi - giờ đây trở thành vũ khí trong tay tin tặc. Việc lạm dụng QEMU cho thấy hacker đang khai thác những công cụ hợp pháp, có sẵn trong hầu hết hệ thống để thực hiện các hoạt động bất hợp pháp. Đặc biệt nguy hiểm ở chỗ, QEMU hoạt động ở tầng thấp của hệ thống, có thể tạo ra các máy ảo để che giấu hoạt động độc hại hoặc thực hiện lateral movement (di chuyển ngang) trong mạng nội bộ.

Các Android RAT (Remote Access Trojan - Trojan truy cập từ xa) thế hệ mới cũng thể hiện sự tinh vi đáng báo động. Thay vì sử dụng các kỹ thuật phức tạp, chúng ngụy trang thành những ứng dụng thông thường, thậm chí được phân phối qua các kênh update chính thức. Chúng tôi quan sát thấy xu hướng này đặc biệt nguy hiểm tại Việt Nam, nơi người dùng thường có xu hướng tải ứng dụng từ các nguồn không chính thức hoặc không kiểm tra kỹ quyền truy cập ứng dụng yêu cầu.

Tác động lan rộng: Từ doanh nghiệp đến người dùng cá nhân

Con số thống kê cho thấy 73% các vụ tấn công thành công năm 2024 đều bắt đầu từ việc khai thác lòng tin thay vì kỹ thuật brute-force truyền thống. Đối với doanh nghiệp Việt Nam, đây là tín hiệu đỏ bởi văn hóa "tin tưởng trước, xác minh sau" vẫn còn phổ biến. Khi một công cụ như Vercel bị xâm nhập, hàng nghìn dự án triển khai trên đó có thể bị ảnh hưởng đồng loạt, tạo ra hiệu ứng domino khó lường.

Đối với người dùng cá nhân, việc các kênh update chính thức bị lợi dụng để phát tán malware có nghĩa là ngay cả những thói quen "an toàn" như chỉ tải ứng dụng từ Google Play Store hay App Store cũng không còn đảm bảo tuyệt đối. Các Android RAT mới có thể thu thập từ tin nhắn, cuộc gọi đến dữ liệu ngân hàng, thậm chí kiểm soát hoàn toàn thiết bị từ xa mà người dùng không hề hay biết.

Bảo vệ thông minh: Nghi ngờ cả những gì "đáng tin"

Chúng tôi khuyến nghị doanh nghiệp Việt Nam cần thay đổi tư duy bảo mật từ "Trust but Verify" (tin tưởng nhưng xác minh) sang "Never Trust, Always Verify" (không bao giờ tin tưởng, luôn luôn xác minh). Cụ thể: triển khai Zero Trust Architecture, giám sát liên tục các công cụ bên thứ ba, thiết lập hệ thống cảnh báo khi có thay đổi bất thường trong quá trình update hay download. Đặc biệt quan trọng là phải có kế hoạch incident response cụ thể cho từng loại công cụ đang sử dụng.

Người dùng cá nhân cần kích hoạt chế độ xác minh hai lớp cho mọi tài khoản quan trọng, thường xuyên kiểm tra quyền truy cập của các ứng dụng đã cài đặt, và đặc biệt chú ý đến những ứng dụng yêu cầu quyền "quản trị viên thiết bị" hay "accessibility service". Khi phát hiện thiết bị hoạt động bất thường như pin tụt nhanh, dữ liệu di động tăng đột biến, cần ngay lập tức quét malware và xem xét gỡ bỏ các ứng dụng gần đây. Thời đại mà "tin tưởng" là đủ đã qua, giờ đây "nghi ngờ thông minh" mới là chìa khóa sinh tồn.