Một container chứa 50 tấn hàng điện tử trị giá 2 triệu USD biến mất không dấu vết sau khi 'bỗng nhiên' thay đổi điểm đến từ cảng Los Angeles sang một kho hàng bỏ hoang ở Mexico. Đây không phải vụ cướp thông thường mà là sản phẩm của cuộc cách mạng trong giới tội phạm: sự kết hợp giữa hacker chuyên nghiệp và các băng nhóm trộm cắp hàng hóa truyền thống. Chúng tôi cho rằng đây là bước tiến nguy hiểm nhất trong lịch sử tội phạm logistics toàn cầu.

Khi hacker 'bắt tay' với băng nhóm cướp truyền thống

Supply chain attack (tấn công chuỗi cung ứng) từ lâu đã là nỗi ác mộng của ngành công nghệ, nhưng giờ đây chúng lan sang cả lĩnh vực vận chuyển hàng hóa vật lý. Các tổ chức tội phạm mạng xuyên quốc gia không còn hài lòng với việc đánh cắp dữ liệu hay tiền điện tử. Chúng nhận ra rằng việc thâm nhập vào Transportation Management System (TMS - hệ thống quản lý vận tải) và Warehouse Management System (WMS - hệ thống quản lý kho bãi) có thể mang lại lợi nhuận khổng lồ từ hàng hóa thực tế.

Modus operandi (phương thức hoạt động) mới này hoạt động như thế nào? Thay vì dùng súng ống và xe tải như các băng nhóm truyền thống, tội phạm mạng sẽ tấn công các hệ thống IT của công ty logistics thông qua phishing email, malware hoặc khai thác zero-day vulnerability (lỗ hổng chưa được vá). Một khi kiểm soát được hệ thống, chúng có thể thay đổi thông tin giao hàng, chuyển hướng container, hoặc tạo ra các đơn hàng giả mà không ai hay biết cho đến khi quá muộn.

Công nghệ thay đổi bộ mặt tội phạm logistics

API (Application Programming Interface - giao diện lập trình ứng dụng) không được bảo vệ đúng cách đang trở thành cửa ngõ chính cho loại tội phạm lai này. Nhiều công ty logistics kết nối hệ thống với hàng chục đối tác thông qua API, tạo ra một mạng lưới phức tạp với vô số điểm yếu. Chúng tôi đã ghi nhận trường hợp một hacker đơn lẻ có thể kiểm soát toàn bộ lịch trình vận chuyển của một công ty logistics lớn chỉ bằng cách khai thác lỗ hổng SQL injection trên một API endpoint không được mã hóa.

Machine Learning và AI cũng bị lợi dụng theo hướng tiêu cực. Tội phạm sử dụng thuật toán để phân tích pattern (mẫu hình) vận chuyển, xác định những tuyến đường ít được giám sát, dự đoán thời điểm tối ưu để thực hiện hành vi trộm cắp. Một số băng nhóm còn phát triển chatbot để tự động tương tác với nhân viên logistics, tạo ra các yêu cầu thay đổi tuyến đường trông có vẻ hợp lệ.

Thiệt hại tăng vọt, khó phát hiện gấp 10 lần

Theo báo cáo mới nhất của Transported Asset Protection Association (TAPA), thiệt hại từ cargo theft (trộm cắp hàng hóa) có yếu tố cyber đã tăng 340% trong hai năm qua, với tổng giá trị lên tới 35 tỷ USD toàn cầu. Con số này đặc biệt đáng báo động khi xét đến độ tinh vi của các vụ tấn công. Trung bình, một vụ trộm cắp truyền thống được phát hiện sau 4-6 giờ, nhưng với phương thức cyber-enabled cargo theft, thời gian này kéo dài lên 72 giờ.

Tại Việt Nam, dù chưa có thống kê chính thức về loại tội phạm lai này, nhưng Cục An toàn thông tin đã ghi nhận gia tăng các vụ tấn công vào hệ thống quản lý của các doanh nghiệp logistics tại các cảng lớn như Cát Lái, Hải Phòng. Chúng tôi cho rằng đây chỉ là phần nổi của tảng băng, khi nhiều doanh nghiệp Việt Nam vẫn chưa nhận thức đầy đủ về mối đe dọa này.

Lộ trình bảo vệ khẩn cấp cho doanh nghiệp Việt

Bước đầu tiên và quan trọng nhất là audit (kiểm toán) toàn bộ hệ thống API. Mọi endpoint phải được bảo vệ bằng authentication token có thời hạn, implement rate limiting để ngăn chặn brute force attack, và mã hóa toàn bộ dữ liệu truyền tải bằng TLS 1.3. Đặc biệt, các doanh nghiệp cần triển khai Web Application Firewall (WAF) chuyên dụng cho API, không phải chỉ dựa vào firewall truyền thống.

Tiếp theo, xây dựng hệ thống monitoring (giám sát) real-time cho mọi thay đổi trong supply chain. Bất kỳ sự thay đổi nào về điểm đến, thời gian giao hàng, hoặc thông tin người nhận đều phải được cảnh báo tức thì qua SMS và email tới nhiều người có thẩm quyền. Cuối cùng, đào tạo nhân viên nhận biết social engineering attack - nhiều vụ hack bắt đầu từ một cuộc điện thoại giả mạo đơn giản nhưng cực kỳ thuyết phục.