Tyler Robert Buchanan chỉ mới 24 tuổi nhưng đã trở thành thành viên cấp cao của một trong những nhóm tội phạm mạng nguy hiểm nhất thế giới. Thanh niên người Anh này vừa nhận tội âm mưu gian lận chuyển tiền điện tử và trộm cắp danh tính nghiêm trọng tại tòa án Mỹ. Vai trò của anh ta trong nhóm "Scattered Spider" đã giúp băng nhóm này thâm nhập ít nhất 12 công ty công nghệ lớn và đánh cắp hàng chục triệu USD tiền cryptocurrency chỉ trong mùa hè 2022. Đây là lần đầu tiên một thành viên cấp cao của nhóm hacker khét tiếng này bị pháp luật Mỹ "tóm gọn".

Chiến thuật phishing qua SMS - vũ khí tối thượng của Scattered Spider

Buchanan đã thừa nhận vai trò chủ chốt trong chuỗi tấn công phishing (lừa đảo) qua tin nhắn SMS diễn ra vào mùa hè 2022. Phương thức này tưởng chừng đơn giản nhưng lại cực kỳ hiệu quả - nhóm Scattered Spider gửi tin nhắn giả mạo các dịch vụ uy tín để lừa nhân viên các công ty công nghệ cung cấp thông tin đăng nhập. Chúng tôi cho rằng sự thành công rực rỡ của chiến dịch này phản ánh một thực tế đáng lo ngại: ngay cả những công ty công nghệ hàng đầu cũng chưa thể hoàn toàn bảo vệ mình khỏi các cuộc tấn công social engineering (kỹ thuật tâm lý xã hội).

Scattered Spider nổi tiếng với khả năng kết hợp nhiều kỹ thuật tấn công phức tạp, từ SIM swapping (chiếm quyền kiểm soát số điện thoại) đến voice phishing (lừa đảo qua cuộc gọi). Nhóm này thường nhắm vào các nhân viên IT và bộ phận hỗ trợ khách hàng, những người có quyền truy cập vào hệ thống nội bộ. Một khi đã xâm nhập được vào mạng nội bộ, chúng có thể di chuyển ngang (lateral movement) để tiếp cận các tài sản có giá trị cao hơn như ví cryptocurrency của khách hàng.

Khi social engineering trở thành "nghệ thuật" tội phạm mạng

Điều khiến Scattered Spider trở nên đặc biệt nguy hiểm không phải là công nghệ tiên tiến, mà là khả năng thao túng tâm lý con người. Các thành viên nhóm này thường là người bản ngữ tiếng Anh, có hiểu biết sâu về văn hóa và cách thức hoạt động của các công ty Mỹ. Chúng có thể dành hàng tuần để nghiên cứu mục tiêu, thu thập thông tin từ mạng xã hội và trang web công ty để tạo ra những cuộc gọi hoặc tin nhắn cực kỳ thuyết phục. Theo đánh giá của chúng tôi, đây chính là điểm khác biệt lớn nhất so với các nhóm tội phạm mạng truyền thống từ Nga hay Trung Quốc.

Vụ việc với Buchanan cho thấy FBI và các cơ quan thực thi pháp luật đang tăng cường truy quét những kẻ tấn công sử dụng social engineering. Hình phạt mà thanh niên 24 tuổi này có thể đối mặt lên tới 22 năm tù - một mức án đủ để làm nhiều hacker trẻ khác phải suy nghĩ lại về "nghề nghiệp" của mình.

Thiệt hại hàng chục triệu USD trong vài tháng mùa hè

Con số hàng chục triệu USD cryptocurrency bị đánh cắp chỉ trong một chiến dịch cho thấy quy mô hoạt động đáng sợ của Scattered Spider. Nhóm này không chỉ tấn công các sàn giao dịch crypto mà còn nhắm vào các công ty fintech, ngân hàng số và cả những dịch vụ lưu trữ tài sản số của các nhà đầu tư lớn. Mỗi vụ tấn công thành công có thể mang về cho chúng từ vài trăm nghìn đến vài triệu USD, khiến việc này trở thành "nghề" sinh lời cực kỳ hấp dẫn.

Tại Việt Nam, thị trường cryptocurrency đang phát triển mạnh mẽ với hàng triệu người tham gia đầu tư và giao dịch. Các chuyên gia an ninh mạng trong nước cảnh báo rằng phương thức tấn công của Scattered Spider hoàn toàn có thể được các nhóm tội phạm địa phương "học hỏi" và áp dụng. Chúng tôi ghi nhận đã có ít nhất 3 vụ lừa đảo qua SMS nhắm vào người dùng cryptocurrency Việt Nam trong 6 tháng qua, mặc dù quy mô chưa lớn như các vụ việc quốc tế.

Bảo vệ bản thân trước các cuộc tấn công social engineering

Người dùng Việt Nam cần áp dụng ngay các biện pháp bảo vệ cụ thể sau: Bật xác thực hai yếu tố (2FA) cho tất cả tài khoản quan trọng, đặc biệt là ví cryptocurrency và tài khoản ngân hàng. Tuyệt đối không cung cấp mã OTP hoặc thông tin đăng nhập qua điện thoại, ngay cả khi người gọi tự xưng là nhân viên ngân hàng hay sàn giao dịch. Sử dụng ứng dụng authenticator thay vì SMS để nhận mã xác thực, vì SMS có thể bị chặn bởi kỹ thuật SIM swapping.

Các doanh nghiệp cần triển khai chương trình đào tạo nhận biết social engineering cho toàn bộ nhân viên, không chỉ riêng bộ phận IT. Thiết lập quy trình xác minh nghiêm ngặt khi có yêu cầu thay đổi thông tin tài khoản hoặc chuyển tiền. Chúng tôi khuyến nghị các công ty nên thực hiện bài kiểm tra phishing giả định định kỳ để đánh giá mức độ cảnh giác của nhân viên. Vụ việc Buchanan một lần nữa chứng minh rằng yếu tố con người vẫn là mắt xích yếu nhất trong chuỗi bảo mật doanh nghiệp.