Tại sao hacker phải tốn công phá khóa khi họ có thể sử dụng chìa khóa thật? Thống kê mới nhất cho thấy, trong khi cộng đồng an ninh mạng toàn cầu đang đầu tư hàng tỷ đô la để chống lại các cuộc tấn công tinh vi như zero-day exploits, supply chain attacks hay AI-generated malware, thì phần lớn hacker vẫn đang thản nhiên "đi qua cửa trước" bằng những thông tin đăng nhập hợp lệ bị đánh cắp. Đây không phải xu hướng mới, nhưng sự bền bỉ của phương pháp tấn công identity-based (dựa trên danh tính) này đang khiến các chuyên gia phải xem xét lại chiến lược bảo mật hiện tại.

Kẻ thù ngay trong nhà: Khi thông tin đăng nhập trở thành vũ khí

Identity-based attacks (tấn công dựa trên danh tính) là phương pháp mà hacker sử dụng thông tin đăng nhập hợp lệ để truy cập vào hệ thống mà không cần khai thác bất kỳ lỗ hổng kỹ thuật nào. Thay vì phải tìm kiếm và khai thác các CVE (Common Vulnerabilities and Exposures - mã định danh lỗ hổng bảo mật quốc tế) phức tạp, hacker chỉ cần có được username và password đúng để "cosplay" thành nhân viên hợp pháp. Phương pháp này đặc biệt nguy hiểm vì hoàn toàn không kích hoạt các hệ thống cảnh báo truyền thống.

Credential stuffing (tấn công nhồi thông tin đăng nhập) là một trong những kỹ thuật phổ biến nhất trong loại tấn công này. Hacker sử dụng các cơ sở dữ liệu khổng lồ chứa hàng triệu cặp email-mật khẩu bị rò rỉ từ các vụ data breach trước đó, sau đó tự động thử nghiệm chúng trên hàng nghìn website khác nhau. Chúng tôi cho rằng thói quen sử dụng chung một mật khẩu cho nhiều tài khoản của người dùng Việt Nam đang tạo ra "hiệu ứng domino" cực kỳ nguy hiểm trong bối cảnh này.

Nghịch lý công nghệ: Càng tiên tiến càng dễ bị tấn công

Điều trớ trêu là trong thời đại mà chúng ta có AI phát hiện malware, machine learning nhận diện anomaly và các giải pháp EDR (Endpoint Detection and Response) tiên tiến, thì phương pháp tấn công đơn giản nhất lại đang thống trị. Theo phân tích của chúng tôi, nguyên nhân chính nằm ở chỗ các doanh nghiệp đang tập trung quá nhiều nguồn lực vào việc "xây tường thành" mà quên mất rằng kẻ địch có thể đã có sẵn chìa khóa cổng thành.

Credential stuffing attacks đặc biệt hiệu quả vì chúng khai thác yếu tố con người - yếu tố khó kiểm soát nhất trong bất kỳ hệ thống bảo mật nào. Một nghiên cứu cho thấy trung bình mỗi người dùng có khoảng 100 tài khoản trực tuyến nhưng chỉ sử dụng khoảng 12-15 mật khẩu khác nhau. Con số này ở Việt Nam còn thấp hơn, với nhiều người dùng chỉ sử dụng 3-5 mật khẩu cho tất cả tài khoản của mình.

Tác động kinh tế: Con số đáng báo động từ thống kê toàn cầu

IBM Security X-Force Threat Intelligence Index 2024 cho thấy identity-based attacks chiếm 71% tổng số initial access vectors (phương thức xâm nhập ban đầu) trong các vụ tấn công mạng. Tại Việt Nam, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) ghi nhận hơn 15.000 cuộc tấn công credential stuffing chỉ trong quý đầu năm 2024, tăng 340% so với cùng kỳ năm trước. Thiệt hại kinh tế trung bình từ một vụ data breach có nguồn gốc từ compromised credentials lên tới 4.5 triệu USD, cao hơn 20% so với các phương thức tấn công khác.

Đặc biệt đáng lo ngại là thời gian phát hiện breach trung bình khi sử dụng stolen credentials là 327 ngày - gần gấp đôi so với các phương pháp tấn công khác. Điều này có nghĩa hacker có thể "ẩn mình" trong hệ thống của bạn suốt gần một năm mà không bị phát hiện, đủ thời gian để thu thập dữ liệu nhạy cảm, cài đặt backdoor và chuẩn bị cho các cuộc tấn công quy mô lớn hơn.

Chiến lược phòng thủ: Từ lý thuyết đến thực hành cụ thể

Chúng tôi khuyến nghị các doanh nghiệp Việt Nam cần thực hiện ngay các bước sau: Đầu tiên, triển khai Multi-Factor Authentication (MFA - xác thực đa yếu tố) cho tất cả tài khoản, đặc biệt là những tài khoản có quyền truy cập cao. Bước thứ hai là sử dụng password manager (trình quản lý mật khẩu) để tạo và lưu trữ mật khẩu độc nhất cho mỗi tài khoản. Thứ ba, định kỳ kiểm tra xem thông tin đăng nhập của công ty có xuất hiện trong các database breach thông qua các dịch vụ như HaveIBeenPwned.

Đối với người dùng cá nhân, hãy bắt đầu bằng việc thay đổi mật khẩu cho những tài khoản quan trọng nhất như email, ngân hàng và mạng xã hội. Sử dụng mật khẩu dài ít nhất 12 ký tự, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt. Quan trọng nhất, không bao giờ sử dụng chung mật khẩu giữa tài khoản ngân hàng với bất kỳ tài khoản nào khác. Theo đánh giá của chúng tôi, 90% các vụ tấn công identity-based có thể được ngăn chặn chỉ bằng việc tuân thủ nghiêm ngặt hai nguyên tắc cơ bản này.