Trong những năm gần đây, số liệu về các vụ tấn công mạng ngày càng gia tăng, đặc biệt là hình thức phishing. Các dữ liệu gần đây chỉ ra sự tăng vọt 400% trong các trường hợp định danh bị chiếm đoạt thành công qua phishing, cho thấy một sự thay đổi chiến lược đáng kể của các tác nhân đe dọa.

Sự Gia Tăng Đột Biến Của Phishing Trong Mối Đe Dọa Mạng Doanh Nghiệp

Phân tích sâu rộng đã tiết lộ mức tăng đột biến 400% về số lượng định danh bị phishing thành công chỉ trong vòng một năm. Đáng chú ý, gần 40% trong số hơn 28 triệu hồ sơ phishing được thu thập lại chứa địa chỉ email doanh nghiệp. Tỷ lệ này cao hơn đáng kể so với 11.5% hồ sơ chứa email doanh nghiệp được tìm thấy trong dữ liệu mã độc.

Điều này cho thấy lực lượng lao động của doanh nghiệp có nguy cơ bị nhắm mục tiêu bởi các cuộc tấn công phishing cao gấp ba lần so với các cuộc tấn công bằng mã độc đánh cắp thông tin (infostealer malware). Xu hướng này dự kiến sẽ tiếp tục gia tăng trong năm 2026, củng cố vị thế của phishing như một cổng vào ưu tiên cho các môi trường doanh nghiệp.

Phishing: Cửa Ngõ Chính Cho Mã Độc Tống Tiền

Phishing không chỉ là một phương thức xâm nhập đơn lẻ mà còn đóng vai trò là bệ phóng cho các cuộc tấn công tiếp theo. Hiện tại, phishing là điểm khởi đầu hàng đầu cho các vụ lây nhiễm mã độc tống tiền (ransomware), chiếm 35% tổng số ca nhiễm ransomware được ghi nhận.

Các tác nhân đe dọa đang tận dụng tính khả mở rộng của phishing để xâm nhập vào các môi trường doanh nghiệp. Sự xuất hiện của các dịch vụ hỗ trợ tội phạm mạng như “phishing-as-a-service” cung cấp các bộ công cụ tự động hóa để tạo ra các mồi nhử thuyết phục và triển khai các chiến thuật phức tạp hơn.

Phân Tích Kỹ Thuật Các Kỹ Thuật Khai Thác Mới

Kỹ Thuật Adversary-in-the-Middle (AiTM) và Phishing-as-a-Service

Các bộ công cụ phishing-as-a-service đã dân chủ hóa việc thực hiện các cuộc tấn công phishing tiên tiến, cho phép cả những tác nhân có kỹ năng thấp cũng có thể triển khai các chiến dịch quy mô lớn. Một trong những chiến thuật hiệu quả nhất là Adversary-in-the-Middle (AiTM).

AiTM cho phép kẻ tấn công chặn và chuyển tiếp lưu lượng truy cập giữa người dùng và dịch vụ hợp pháp, từ đó chiếm đoạt các mã thông báo xác thực đa yếu tố (MFA tokens) và cookie phiên (session cookies). Kỹ thuật này làm giảm hiệu quả của MFA, một lớp bảo mật vốn được coi là vững chắc.

Hạn Chế Của Các Biện Pháp Phòng Thủ Truyền Thống

Nhiều tổ chức vẫn dựa vào các biện pháp phòng thủ truyền thống như bộ lọc email, giải pháp bảo vệ điểm cuối (endpoint protection) và đào tạo nâng cao nhận thức cho nhân viên để chống lại các cuộc tấn công phishing và mã độc. Tuy nhiên, hiệu quả của các công cụ này có giới hạn.

Mặc dù các hệ thống phòng thủ hoạt động hiệu quả, kẻ tấn công vẫn tìm được cách vượt qua. Khi điều đó xảy ra, chính dữ liệu định danh đã bị lộ sẽ là yếu tố tạo điều kiện cho các tổn hại tiếp theo, bao gồm truy cập trái phép, lừa đảo và chiếm đoạt tài khoản.

Tầm Quan Trọng Của Khả Năng Hiển Thị Real-time và Khắc Phục Hậu Sự Cố Trong An Ninh Mạng

Để đối phó với sự thay đổi trong chiến lược của tội phạm mạng, các nhóm bảo mật cần có khả năng hiển thị liên tục, theo thời gian thực (real-time visibility) vào những gì đã bị xâm phạm và đang lưu hành trong thế giới ngầm tội phạm (criminal underground). Việc ngăn chặn là quan trọng, nhưng không đủ nếu thiếu khả năng hiển thị và khắc phục hậu sự cố.

Việc phát hiện kịp thời những người dùng bị nhắm mục tiêu và dữ liệu bị lộ, sau đó khắc phục các thông tin xác thực đó trước khi chúng có thể bị vũ khí hóa, là một lợi thế cạnh tranh thiết yếu. Các giải pháp bảo vệ định danh cần tập trung vào việc thu hồi và tự động khắc phục dữ liệu định danh bị phishing và các danh sách nhắm mục tiêu quy mô lớn nhằm giảm thiểu rủi ro bảo mật.

Mối Đe Dọa Từ Malware và Ranh Giới Mờ Giữa Định Danh Cá Nhân và Doanh Nghiệp

Malware Vẫn Là Vector Tấn Công Đáng Kể

Trong khi phishing đã trở thành điểm xâm nhập thống trị, mã độc vẫn là một vector đe dọa quan trọng. Với xu hướng làm việc từ xa (remote work) và chính sách mang thiết bị cá nhân (BYOD), các rủi ro bảo mật từ thông tin cá nhân ngày càng được sử dụng để xâm nhập vào môi trường doanh nghiệp.

Một ví dụ điển hình là vụ Nikkei breach năm 2025, nơi mã độc trên thiết bị cá nhân đã dẫn đến việc xâm phạm dữ liệu doanh nghiệp nhạy cảm. Mặc dù chỉ 11.5% số lây nhiễm mã độc đánh cắp thông tin trực tiếp thu thập địa chỉ email doanh nghiệp, dữ liệu cho thấy gần 1 trong 2 người dùng doanh nghiệp đã từng là nạn nhân của mã độc infostealer trong lịch sử kỹ thuật số của họ, dù trên thiết bị do công ty quản lý hay thiết bị cá nhân.

Sự Liên Kết Giữa Định Danh Cá Nhân và Doanh Nghiệp Trong Các Cuộc Tấn Công Mạng

Sự tái sử dụng liên tục mật khẩu và dữ liệu định danh dùng chung trên các tài khoản công việc và cá nhân (ví dụ: số điện thoại di động) đã làm mờ ranh giới giữa lịch sử kỹ thuật số cá nhân của người dùng và quyền truy cập chuyên nghiệp của họ. Điều này tạo ra một lỗ hổng đáng kể cho các cuộc tấn công mạng.

Để bảo vệ hiệu quả, cần phải giám sát và khắc phục các rủi ro trên toàn bộ phổ định danh kỹ thuật số của một cá nhân – bao gồm cả thông tin cá nhân và chuyên nghiệp. Điều này đòi hỏi một cách tiếp cận toàn diện, vượt ra ngoài phạm vi các tài khoản doanh nghiệp truyền thống nhằm hạn chế tối đa các cuộc tấn công mạng.

Chiến Lược Bảo Vệ Định Danh Toàn Diện Trước Các Cuộc Tấn Công Mạng

Một chiến lược bảo vệ định danh toàn diện tập trung vào việc phát hiện và bảo vệ các tổ chức khỏi các rủi ro bảo mật do phishing, mã độc và các vụ rò rỉ dữ liệu ảnh hưởng đến nhân viên, nhà thầu và nhà cung cấp, xuyên suốt các định danh cá nhân và chuyên nghiệp.

Các giải pháp bảo vệ định danh tự động sử dụng phân tích nâng cao và trí tuệ nhân tạo (AI) để chủ động ngăn chặn mã độc tống tiền và chiếm đoạt tài khoản. Chúng cũng hỗ trợ phát hiện các mối đe dọa nội bộ (insider threats), bảo vệ định danh của nhân viên và người tiêu dùng, đồng thời đẩy nhanh quá trình điều tra tội phạm mạng.

Dữ liệu thu thập từ các vụ rò rỉ, thiết bị nhiễm mã độc và các vụ phishing thành công cũng được sử dụng để cung cấp thông tin cho các dịch vụ giám sát dark web và bảo vệ chống trộm định danh phổ biến, từ đó cung cấp một cái nhìn sâu sắc và khả năng phản ứng toàn diện hơn trước các mối đe dọa tấn công mạng phức tạp. Đây là một phần thiết yếu của chiến lược an ninh mạng hiện đại.