Nghiên cứu gần đây từ Gen đã phơi bày MediPhantom, một mối đe dọa mạng rộng lớn bao gồm hơn 5.000 tên miền dược phẩm trực tuyến gian lận. Thực thể tội phạm mạng duy nhất này vận hành một chiến dịch PharmaFraud phức tạp, sử dụng các kỹ thuật tiên tiến để đánh lừa người tiêu dùng tìm kiếm thuốc điều trị các bệnh như rối loạn cương dương, giảm cân và kháng sinh thiết yếu. Chiến dịch này không chỉ là một vấn đề tài chính mà còn là một nguy cơ nghiêm trọng đối với sức khỏe cộng đồng, định hình lại bối cảnh của các mối đe dọa mạng toàn cầu.

MediPhantom: Mối đe dọa Mạng Y tế Toàn cầu

Quy mô và Bản chất của Hoạt động

Chiến dịch PharmaFraud của MediPhantom khai thác các phương thức tinh vi, bao gồm chiếm quyền điều khiển tên miền, thao túng tối ưu hóa công cụ tìm kiếm (SEO), và sử dụng nội dung được tạo bởi AI. Mục tiêu chính là lừa gạt người dùng trực tuyến, đặc biệt là những người đang tìm kiếm các loại thuốc nhạy cảm, biến chúng thành nạn nhân của một cuộc tấn công mạng tinh vi.

Kỹ thuật Tấn công và Thao túng

Các đối tượng tấn công xâm nhập vào các trang web y tế hợp pháp và triển khai các biểu ngữ lừa đảo trên các blog sức khỏe giả mạo. Mục đích là dẫn dụ nạn nhân đến các cổng thanh toán độc hại. Điều này thể hiện một hình thức lừa đảo trực tuyến phức tạp.

• Chiếm quyền điều khiển tên miền (Domain Hijacking): Kẻ tấn công lợi dụng các lỗ hổng như lỗ hổng chiếm quyền điều khiển tên miền tùy chỉnh của Substack để kiểm soát các tên miền hợp pháp, sau đó chuyển hướng người dùng đến các trang web gian lận của chúng. Đây là một phương pháp hiệu quả để tạo lòng tin giả mạo.
• Thao túng SEO: Các trang web giả mạo được tối ưu hóa để xuất hiện ở vị trí cao trong kết quả tìm kiếm. Điều này khiến người dùng dễ dàng tìm thấy và tin tưởng chúng hơn, làm tăng khả năng thành công của cuộc tấn công mạng.
• Nội dung được tạo bởi AI: Kẻ tấn công sử dụng AI để tạo ra các bài viết, mô tả sản phẩm, và đánh giá giả mạo. Nội dung này thuyết phục và khó phân biệt với thông tin thật, góp phần củng cố sự lừa dối.

Để hiểu rõ hơn về kỹ thuật chiếm quyền điều khiển tên miền, có thể tham khảo trường hợp lỗ hổng của Substack tại: Substack Custom Domain Vulnerability.

Hạ tầng Tinh vi của MediPhantom

Cơ sở hạ tầng của MediPhantom thể hiện mức độ tinh vi cao trong vận hành và khả năng né tránh. Hệ thống này sử dụng các tên miền thay đổi liên tục để né tránh việc phát hiện và bị gỡ bỏ. Ngoài ra, chúng còn có các hệ thống tập trung để hỗ trợ trò chuyện trực tuyến (live-chat support) và thực hiện các cuộc gọi kỹ thuật xã hội qua điện thoại. Sự phức tạp này cho thấy một mối đe dọa mạng được tổ chức tốt.

Quy trình thanh toán được thiết kế để bắt chước các luồng thương mại điện tử hợp pháp, tạo cảm giác an toàn cho nạn nhân. Tuy nhiên, các giao dịch được định tuyến qua các cổng thanh toán do kẻ tấn công kiểm soát. Chúng thường đưa ra các ưu đãi giảm giá khi thanh toán bằng tiền mã hóa, đảm bảo việc rò rỉ dữ liệu thẻ tín dụng và thông tin cá nhân trực tiếp và nhanh chóng. Đây là một trong những mục tiêu chính của mối đe dọa mạng này.

Ảnh hưởng và Rủi ro từ Hoạt động PharmaFraud

Rủi ro Tài chính và Thông tin Cá nhân

Bên cạnh việc thu thập dữ liệu tài chính và thông tin cá nhân nhạy cảm, hoạt động này còn phân phối các loại thuốc giả mạo hoặc bị nhiễm độc. Điều này gây ra những rủi ro sức khỏe nghiêm trọng cho người tiêu dùng. Đây là một cuộc tấn công mạng đa chiều, không chỉ gây thiệt hại về tài chính mà còn đe dọa tính mạng và dữ liệu của cá nhân, dẫn đến nguy cơ rò rỉ dữ liệu nhạy cảm.

Nguy cơ Sức khỏe từ Thuốc Giả

Các loại thuốc giả được bán qua các trang web này bỏ qua mọi biện pháp bảo vệ quy định. Chúng thường chứa liều lượng không chính xác, các chất phụ gia độc hại hoặc không có hoạt chất. Hậu quả có thể là phản ứng dị ứng nghiêm trọng, điều trị thất bại hoàn toàn hoặc thậm chí gây tử vong cho người sử dụng.

Các trường hợp đáng chú ý bao gồm việc thu giữ các loại thuốc có chứa fentanyl ở Hoa Kỳ vào năm 2024. Hơn 80 triệu viên thuốc giả đã bị tịch thu trên toàn quốc, làm nổi bật tiềm năng gây chết người của các sản phẩm này. Ở các khu vực như Châu Âu và Nhật Bản, mặc dù có luật pháp nghiêm ngặt, các vụ lừa đảo này vẫn lợi dụng tình trạng thiếu thuốc và các cuộc khủng hoảng y tế, điển hình như trong đại dịch COVID-19 với các phương pháp điều trị giả mạo. Điều này cho thấy khả năng thích nghi của mối đe dọa mạng này với các tình huống toàn cầu.

Phạm vi Tiếp cận và Mục tiêu

Dữ liệu từ hệ thống đo lường từ xa cho thấy các đợt hoạt động gia tăng trong các giai đoạn nhu cầu cao, chẳng hạn như vào các dịp lễ. MediPhantom nhắm mục tiêu đến khán giả đa ngôn ngữ trên nhiều khu vực địa lý, bao gồm Đông Nam Âu, Trung Âu, Tây Âu, Hoa Kỳ, Canada, Nhật Bản và Úc. Phạm vi tiếp cận toàn cầu này nhấn mạnh khả năng mở rộng của một mối đe dọa mạng được tổ chức tốt.

Các phương pháp chủ động như email spam và quảng cáo độc hại (malvertising) trên các nền tảng lớn như Facebook và YouTube được bổ sung bằng các chiến thuật bị động. Các chiến thuật này liên quan đến việc sử dụng các máy chủ bị xâm nhập để chuyển hướng người dùng một cách liền mạch, gia tăng hiệu quả của cuộc tấn công mạng này.

Để biết thêm về cách tội phạm mạng khai thác máy chủ email bị xâm nhập, tham khảo tại: Cybercriminals Exploit Compromised Email Servers.

Phát hiện và Biện pháp Đối phó

Vai trò của Giám sát Chủ động

Theo báo cáo của Gen, việc giám sát chủ động của họ đã đóng vai trò then chốt trong việc phát hiện và chặn nhiều tên miền lừa đảo. Đồng thời, họ hợp tác chặt chẽ với các cơ quan thực thi pháp luật quốc tế để tiến hành các cuộc gỡ bỏ. Điều này nhấn mạnh tầm quan trọng của việc tăng cường khả năng phát hiện các “dead drop resolvers” và các bảng điều khiển quản trị viên được cấu hình sai trong các hệ thống, vốn là những điểm yếu thường bị các mối đe dọa mạng như MediPhantom khai thác.

Báo cáo chi tiết về các mối đe dọa và hoạt động giám sát chủ động của Gen có thể xem tại: Gen Threat Report Q2 2025.

Khuyến nghị An toàn cho Người Tiêu Dùng

Việc công khai hoạt động của MediPhantom không chỉ làm gián đoạn các chiến dịch hiện tại của chúng mà còn nâng cao nhận thức về các chiến thuật tội phạm mạng đang phát triển nhanh chóng. Người tiêu dùng được khuyến nghị thực hiện các biện pháp phòng ngừa cần thiết. Cụ thể, hãy xác minh tính hợp pháp của nhà thuốc trực tuyến thông qua các logo chính thức và giấy phép được cấp phép. Tuyệt đối tránh mua hàng trực tuyến không được xác minh để tự bảo vệ trước nguy cơ rò rỉ dữ liệu cá nhân và các sản phẩm giả mạo gây hại cho sức khỏe.