Tại sao phải tốn công hack server khi chỉ cần một tin nhắn "giả vờ sếp" cũng đủ lấy mật khẩu? Nghiên cứu mới từ Abnormal AI cho thấy các hacker đã hoàn toàn thay đổi chiến thuật, từ bỏ những kỹ thuật tấn công phức tạp để thay vào đó khai thác thứ khó phòng thủ nhất: lòng tin giữa con người. Đây là sự chuyển dịch hành vi (behavioral shift) đang làm xáo trộn toàn bộ ngành an ninh mạng toàn cầu.

Khi lòng tin thành "cửa hậu" lớn nhất hệ thống

Thay vì mày mò tìm lỗ hổng CVE (Common Vulnerabilities and Exposures - mã định danh lỗ hổng bảo mật quốc tế) hay viết malware (phần mềm độc hại) phức tạp, tin tặc hiện tại đang "vũ khí hóa" các quy trình làm việc hàng ngày và lòng tin nội bộ trong tổ chức. Chúng tôi cho rằng đây là bước tiến hóa tất yếu khi các biện pháp bảo mật kỹ thuật ngày càng chặt chẽ. Kẻ tấn công đã nhận ra rằng con người mới chính là khâu yếu nhất trong chuỗi bảo mật.

Phân tích từ Abnormal AI chỉ ra rằng các cuộc tấn công dựa trên mối quan hệ tin tưởng (trust-based attacks) đang gia tăng đột biến. Thay vì khai thác lỗ hổng hệ thống, hacker giờ đây tập trung vào việc mạo danh những người có uy tín trong tổ chức - từ sếp trực tiếp, đối tác kinh doanh, đến cả nhà cung cấp dịch vụ. Họ nghiên cứu kỹ cách giao tiếp, thời gian làm việc, thậm chí cả ngôn ngữ cơ thể qua video call để tạo ra những "cuộc tấn công hoàn hảo".

Kỹ thuật Social Engineering 4.0 - tinh vi đến mức nào?

Social Engineering (kỹ thuật tấn công tâm lý) thế hệ mới không còn là những email lừa đảo thô thiển với chính tả sai chũm choẹ. Thay vào đó, chúng ta đang chứng kiến những chiến dịch được chuẩn bị tỉ mỉ trong hàng tháng. Hacker sử dụng AI để phân tích cách viết email của từng cá nhân, thời gian họ thường online, thậm chí cả các mối quan hệ công việc thông qua LinkedIn và mạng xã hội.

Một kịch bản điển hình mà chúng tôi ghi nhận: hacker theo dõi một giám đốc tài chính đang trong chuyến công tác, sau đó mạo danh gửi email khẩn cấp cho kế toán trưởng về việc chuyển tiền "bí mật" cho thương vụ quan trọng. Email được gửi đúng giờ làm việc, dùng đúng phong cách viết, thậm chí đề cập đến các dự án thực tế mà công ty đang thực hiện. Tỷ lệ thành công của các cuộc tấn công này lên tới 70% theo thống kê từ FBI.

Tác động thực tế - con số không thể phủ nhận

Business Email Compromise (BEC - tấn công email doanh nghiệp) dựa trên lòng tin đã gây thiệt hại 43 tỷ USD toàn cầu chỉ trong năm 2023, tăng 65% so với năm trước. Riêng tại Việt Nam, Cục An ninh mạng và Phòng chống tội phạm công nghệ cao ghi nhận hơn 15.000 vụ lừa đảo trực tuyến, trong đó 40% sử dụng phương thức mạo danh người quen. Đáng lo ngại hơn, thời gian phát hiện ra cuộc tấn công trung bình là 287 ngày - quá muộn để ngăn chặn thiệt hại.

Các doanh nghiệp Việt Nam, đặc biệt là SME (doanh nghiệp vừa và nhỏ), đang trở thành mục tiêu ưa thích vì thường thiếu quy trình xác thực nghiêm ngặt. Chúng tôi đánh giá rằng 80% doanh nghiệp trong nước vẫn chưa có chính sách Double Authentication (xác thực kép) cho các giao dịch tài chính quan trọng.

Phòng thủ thế nào trước "cuộc chiến lòng tin"?

Zero Trust Architecture (kiến trúc không tin tưởng) không còn là lựa chọn mà đã trở thành bắt buộc. Doanh nghiệp cần thiết lập quy trình "nghi ngờ mọi thứ, xác minh mọi thứ" ngay cả với những yêu cầu dường như đến từ người quen. Cụ thể, mọi giao dịch tài chính trên 50 triệu đồng phải qua ít nhất 2 kênh xác thực độc lập - email và điện thoại trực tiếp.

Đầu tư vào đào tạo nhận thức an ninh mạng cho nhân viên là then chốt. Tổ chức phải thường xuyên mô phỏng các cuộc tấn công giả (phishing simulation) để kiểm tra phản xạ của nhân viên. Đồng thời, triển khai các giải pháp AI phòng thủ như Email Security Gateway có khả năng phân tích hành vi và ngôn ngữ để phát hiện email bất thường. Theo kinh nghiệm của chúng tôi, những biện pháp này có thể giảm 90% rủi ro từ các cuộc tấn công dựa trên lòng tin.