Ai có thể ngờ rằng một cuộc trò chuyện bình thường với khách hàng lại có thể trở thành cánh cửa để hacker xâm nhập vào trung tâm bảo mật của một trong những nhà cung cấp chứng chỉ số lớn nhất thế giới? DigiCert - công ty quản lý hàng triệu chứng chỉ SSL/TLS toàn cầu - vừa trải qua một cuộc tấn công tinh vi khiến họ phải thu hồi hàng loạt certificate. Thủ đoạn này một lần nữa chứng minh rằng yếu tố con người vẫn là mắt xích yếu nhất trong chuỗi bảo mật doanh nghiệp. Vụ việc đặt ra cảnh báo nghiêm trọng về an ninh mạng cho các tổ chức tại Việt Nam.

Kịch bản tấn công từ kênh chat: Khi lòng tin thành hung khí

Hacker đã sử dụng chính kênh chat hỗ trợ khách hàng của DigiCert như một phương tiện phân phối malware (phần mềm độc hại). Thay vì tấn công trực tiếp vào hạ tầng kỹ thuật, họ nhắm vào yếu tố con người - những nhân viên hỗ trợ khách hàng đang làm việc hàng ngày. Qua cuộc trò chuyện tưởng chừng vô hại, malware đã được cài đặt vào hệ thống của một chuyên viên phân tích bảo mật.

Chúng tôi cho rằng đây là một bước tiến đáng lo ngại trong chiến thuật social engineering (kỹ thuật tấn công tâm lý). Việc sử dụng kênh giao tiếp chính thức của doanh nghiệp để phân phối malware cho thấy mức độ tinh vi và chuẩn bị kỹ lưỡng của nhóm hacker. Điều đáng suy ngẫm là ngay cả những chuyên gia bảo mật cũng có thể trở thành nạn nhân nếu không đủ cảnh giác.

Hành trình xâm nhập: Từ máy tính cá nhân đến trái tim hệ thống

Sau khi kiểm soát được máy tính của nhân viên phân tích, hacker đã thực hiện lateral movement (di chuyển ngang) trong mạng nội bộ của DigiCert. Họ leo thang đặc quyền và cuối cùng truy cập được vào internal support portal (cổng hỗ trợ nội bộ) - khu vực chứa thông tin nhạy cảm về khách hàng và hệ thống quản lý chứng chỉ số. Portal này thường chứa dữ liệu về certificate requests (yêu cầu chứng chỉ), private keys (khóa riêng), và thông tin xác thực của khách hàng.

Theo đánh giá của chúng tôi, việc xâm nhập vào support portal đặc biệt nguy hiểm vì đây là điểm tập trung của toàn bộ quy trình cấp phát và quản lý chứng chỉ số. Hacker có thể truy cập thông tin về hàng nghìn tổ chức, từ các ngân hàng, công ty thương mại điện tử đến các cơ quan chính phủ trên toàn thế giới. Thông tin này có thể được sử dụng để tạo ra các certificate giả mạo hoặc thực hiện các cuộc tấn công man-in-the-middle (tấn công người ở giữa) trong tương lai.

Tác động lan tỏa: Khi niềm tin vào chữ ký số bị lung lay

DigiCert đã buộc phải thu hồi một số lượng lớn certificate như một biện pháp phòng ngừa. Việc này ảnh hưởng trực tiếp đến hàng nghìn website và dịch vụ trực tuyến đang sử dụng chứng chỉ từ DigiCert. Các trang web bị thu hồi certificate sẽ hiển thị cảnh báo bảo mật, khiến người dùng không thể truy cập hoặc cảm thấy không an toàn khi sử dụng dịch vụ.

Tại Việt Nam, nhiều ngân hàng số, sàn thương mại điện tử và cổng dịch vụ công đang sử dụng chứng chỉ SSL/TLS từ các nhà cung cấp quốc tế như DigiCert. Theo thống kê của Cục An toàn thông tin, có hơn 60% website thương mại điện tử Việt Nam sử dụng chứng chỉ số từ các Certificate Authority (CA - tổ chức cấp chứng chỉ số) nước ngoài. Vụ việc này có thể làm gián đoạn hoạt động kinh doanh và giảm lòng tin của khách hàng đối với các dịch vụ trực tuyến.

Bài học và biện pháp phòng chống cho doanh nghiệp Việt Nam

Các doanh nghiệp Việt Nam cần rà soát ngay các kênh giao tiếp với khách hàng, đặc biệt là chat support và email. Thiết lập quy trình kiểm tra file đính kèm bằng sandbox environment (môi trường cát) trước khi mở. Đào tạo nhân viên nhận diện các dấu hiệu tấn công social engineering và không bao giờ tải xuống file từ nguồn không rõ ràng, kể cả từ khách hàng quen thuộc.

Triển khai Zero Trust Architecture (kiến trúc không tin tưởng) là điều cần thiết. Phân quyền truy cập theo nguyên tắc least privilege (đặc quyền tối thiểu), sử dụng multi-factor authentication (xác thực đa yếu tố) cho tất cả tài khoản có quyền truy cập hệ thống quan trọng. Thực hiện giám sát mạng 24/7 để phát hiện các hoạt động bất thường và lateral movement. Đặc biệt, các doanh nghiệp cần có kế hoạch ứng phó sự cố bảo mật chi tiết, bao gồm quy trình thu hồi và cấp lại certificate khi cần thiết.