Làm sao một thanh niên mới 18 tuổi có thể điều hành đường dây tấn công mạng xâm phạm tới 28.000 tài khoản người dùng? Cảnh sát mạng Ukraine, phối hợp cùng cơ quan thực thi pháp luật Mỹ, vừa xác định được danh tính nghi phạm đến từ Odesa trong vụ tấn công bằng mã độc infostealer nhắm vào khách hàng của một cửa hàng trực tuyến tại California. Vụ việc một lần nữa cho thấy xu hướng nguy hiểm khi tội phạm mạng ngày càng trẻ hóa và chuyên nghiệp hóa.

Đường dây tội phạm mạng xuyên quốc gia từ một căn phòng

Theo kết quả điều tra, nam thanh niên 18 tuổi này đã sử dụng mã độc infostealer - loại phần mềm độc hại chuyên đánh cắp thông tin cá nhân như mật khẩu, dữ liệu thẻ tín dụng và cookie đăng nhập từ trình duyệt của nạn nhân. Mục tiêu chính của hắn là khách hàng của một cửa hàng trực tuyến lớn tại California, nơi có hàng nghìn giao dịch thương mại điện tử diễn ra hàng ngày. Chúng tôi cho rằng việc nhắm mục tiêu vào cửa hàng trực tuyến cho thấy tính toán tinh vi của thủ phạm khi muốn thu thập được nhiều thông tin tài chính có giá trị nhất.

Điều đáng lo ngại là quy mô thiệt hại. 28.000 tài khoản bị xâm phạm có nghĩa là hàng chục nghìn người dùng có thể đã bị đánh cắp thông tin cá nhân, từ dữ liệu đăng nhập đến chi tiết thẻ tín dụng. Theo kinh nghiệm của chúng tôi, một vụ tấn công infostealer với quy mô này có thể gây thiệt hại tài chính lên tới hàng triệu đô la Mỹ khi thông tin bị bán trên các marketplace ngầm (dark web marketplace).

Kỹ thuật tấn công infostealer và cách thức hoạt động

Infostealer là dạng malware được thiết kế đặc biệt để thu thập thông tin nhạy cảm từ máy tính nạn nhân một cách âm thầm. Khác với ransomware (mã độc mã hóa dữ liệu đòi tiền chuộc) hoạt động công khai, infostealer hoạt động ngầm để tránh bị phát hiện. Mã độc này thường được phân phối qua email lừa đảo (phishing), trang web giả mạo hoặc phần mềm crack. Sau khi xâm nhập thành công, nó sẽ quét toàn bộ hệ thống tìm kiếm mật khẩu đã lưu, cookie đăng nhập, lịch sử duyệt web và thông tin ví điện tử.

Điều đặc biệt nguy hiểm của loại mã độc này là khả năng đánh cắp session cookie - những đoạn mã nhỏ mà trình duyệt sử dụng để duy trì trạng thái đăng nhập. Khi có được session cookie, tội phạm mạng có thể truy cập trực tiếp vào tài khoản nạn nhân mà không cần biết mật khẩu. Theo đánh giá của chúng tôi, đây chính là lý do tại sao số lượng tài khoản bị xâm phạm lại cao đến vậy trong thời gian ngắn.

Tác động nghiêm trọng với người dùng Việt Nam

Mặc dù vụ việc xảy ra tại Ukraine và Mỹ, người dùng Việt Nam không nên chủ quan. Theo thống kê của Cục An toàn thông tin (Bộ TT&TT), năm 2023 Việt Nam ghi nhận hơn 15.000 vụ tấn công mạng, trong đó khoảng 30% liên quan đến mã độc đánh cắp thông tin cá nhân. Đặc biệt với sự bùng nổ của thương mại điện tử tại Việt Nam, các cửa hàng trực tuyến trong nước đang trở thành mục tiêu hấp dẫn của tội phạm mạng quốc tế.

Con số 28.000 tài khoản bị xâm phạm từ chỉ một thủ phạm cho thấy mức độ tự động hóa cao trong các cuộc tấn công hiện tại. Nếu thông tin cá nhân bị đánh cắp, nạn nhân có thể phải đối mặt với việc tài khoản ngân hàng bị truy cập trái phép, thẻ tín dụng bị sử dụng giả mạo, hoặc danh tính bị lạm dụng cho các hoạt động bất hợp pháp khác.

Hướng dẫn bảo vệ khỏi mã độc infostealer

Để phòng chống hiệu quả, người dùng Việt Nam cần thực hiện ngay các bước sau: Thứ nhất, bật tính năng xác thực hai yếu tố (2FA) cho tất cả tài khoản quan trọng, đặc biệt là ngân hàng và thương mại điện tử. Thứ hai, thường xuyên xóa cookie và dữ liệu duyệt web, đặc biệt sau khi sử dụng máy tính công cộng. Thứ ba, sử dụng trình quản lý mật khẩu uy tín thay vì để trình duyệt lưu mật khẩu tự động.

Chúng tôi khuyến cáo mạnh mẽ người dùng không nên tải phần mềm từ nguồn không rõ ràng và luôn cập nhật hệ điều hành cũng như phần mềm diệt virus mới nhất. Đối với doanh nghiệp, việc triển khai giải pháp EDR (Endpoint Detection and Response - phần mềm phát hiện và ứng phó tại điểm cuối) là cần thiết để giám sát và ngăn chặn các hoạt động bất thường trên hệ thống mạng. Cuối cùng, hãy kiểm tra thường xuyên các giao dịch tài chính và thay đổi mật khẩu định kỳ để hạn chế tối đa rủi ro bị tấn công.