Ảnh minh họa. Cyber Security 360

Theo báo cáo Security Navigator của công ty an ninh mạng Orange Cyberdefense, số nạn nhân bị tống tiền qua mạng đã tăng 45% trong giai đoạn từ tháng 10/2024 đến tháng 9/2025. Cùng thời gian này, số lượng các nhóm tội phạm mạng độc lập đã tăng gấp ba lần so với năm 2020, cho thấy mức độ phân mảnh nhưng cũng ngày càng chuyên nghiệp của hệ sinh thái tội phạm số.

Đáng chú ý, sự gia tăng các cuộc tấn công, đặc biệt là ransomware, không còn xuất phát từ đột phá kỹ thuật mới mà từ việc hạ thấp rào cản gia nhập. Các nhóm tội phạm không cần sở hữu chuyên môn sâu, mà chỉ cần mua hoặc thuê dịch vụ phù hợp để triển khai các chiến dịch tống tiền quy mô lớn theo mô hình "cybercrime-as-a-service".

Lừa đảo, thủ đoạn xâm nhập vẫn hiệu quả, nhưng tinh vi hơn

Sự phát triển của mô hình dịch vụ hóa tội phạm mạng đang trực tiếp thúc đẩy làn sóng lừa đảo “phishing” gia tăng cả về số lượng lẫn mức độ tinh vi. Khi hạ tầng, mã độc và công cụ lừa đảo được rao bán công khai trong các kênh ngầm, tội phạm mạng có thể nhanh chóng triển khai chiến dịch mà không cần hiểu sâu về kỹ thuật.

Xu hướng này đi kèm với các kỹ thuật lừa đảo xã hội mới, như tấn công đa kênh, deepfake hay khai thác các phương thức thao túng tâm lý ClickFix – thủ đoạn dụ người dùng tự tay chạy lệnh độc hại, qua đó vượt qua nhiều lớp phòng vệ truyền thống.

Theo Rik Ferguson, Phó Chủ tịch phụ trách tình báo an ninh của Forescout, phishing vẫn là con đường xâm nhập chủ yếu đối với các tổ chức tại Anh, song cách thức đã thay đổi rõ rệt. Khảo sát Cyber Security Breaches Survey 2025 cho thấy phishing tiếp tục là hình thức tấn công phổ biến nhất, nhưng vấn đề không còn nằm ở việc người dùng “có mắc bẫy hay không”, mà ở cách các chiến dịch được triển khai và mở rộng.

Các nhà nghiên cứu của Forescout chỉ ra rằng phishing ngày nay không chỉ là vấn đề nội dung email, mà đã trở thành bài toán hạ tầng. Tin tặc đang tận dụng bot Telegram, dịch vụ chuyển tiếp liên kết và hạ tầng lưu trữ trung gian để mở rộng quy mô tấn công. Nhiều chiến dịch còn lợi dụng tên miền đánh máy sai hoặc các hạ tầng đã bị bỏ hoang để phát tán mã độc.

Những kỹ thuật tấn công mới: lỗ hổng bảo mật OAuth và mã QR phần mềm độc hại

Giới chuyên gia dự báo, trong năm 2026, các cuộc tấn công khai thác lỗ hổng bảo mật trong giao thức ủy quyền OAuth sẽ gia tăng. Bằng cách lạm dụng quyền cấp phép ứng dụng, tin tặc có thể duy trì quyền truy cập vào Microsoft 365, các nền tảng SaaS hoặc công cụ cộng tác nội bộ, ngay cả khi nạn nhân đã đổi mật khẩu.

Bên cạnh đó, kỹ thuật tấn công mạng sử dụng các phương thức thao túng tâm lý  (ClickFix) đang trở thành một trong những kỹ thuật phát triển nhanh nhất. Theo ESET, số vụ ClickFix đã tăng gấp năm lần trong nửa đầu năm 2025, khi kẻ tấn công thuyết phục người dùng truy cập trang giả mạo và tự chạy lệnh độc hại.

Một xu hướng khác là lừa đảo thông qua mã QR. Khi người dùng ngày càng cảnh giác với các đường link lạ, mã QR trở thành phương thức thay thế để phát tán mã độc hoặc đánh cắp thông tin đăng nhập. Ngoài ra, các nhà nghiên cứu còn ghi nhận sự gia tăng phishing thông qua tệp lịch .ics, thậm chí kết hợp với việc dụ nạn nhân gọi đến các số WhatsApp giả mạo.

Trí tuệ nhân tạo (AI) làm gia tăng các mối đe dọa mạng

Nhiều chuyên gia nhận định, AI có thể trở thành mối đe dọa lớn nhất đối với an ninh mạng trong thời gian tới. Các mô hình ngôn ngữ lớn đang được sử dụng để tạo email lừa đảo không còn lỗi ngữ pháp, dịch chính xác sang nhiều ngôn ngữ và mở rộng phạm vi tấn công với chi phí thấp.

“Trí tuệ nhân tạo (AI) đã làm tăng độ chính xác của rất nhiều email lừa đảo. Trước đây, ai cũng quen thuộc với email lừa đảo vì có thể nhận ra chúng qua lỗi ngữ pháp, định dạng kém và những thứ tương tự. Một kẻ tấn công giỏi có thể tạo ra email lừa đảo chất lượng cao. AI giúp kẻ tấn công tạo ra email lừa đảo chất lượng cao một cách nhanh chóng và trên quy mô lớn”, Richard Meeus, giám đốc chiến lược và công nghệ bảo mật khu vực EMEA tại Akamai, giải thích.

Không chỉ dừng lại ở phishing, AI còn được khai thác trong lừa đảo danh tính tổng hợp, kết hợp deepfake, giả giọng nói và hình ảnh tạo sinh để phục vụ các vụ mạo danh lãnh đạo doanh nghiệp hoặc hồ sơ xin việc giả từ “nhân sự làm việc từ xa”.

Các nhà nghiên cứu dự đoán, từ năm 2026, tội phạm mạng sẽ ngày càng tự động hóa các quy trình tấn công bằng AI, từ khâu trinh sát mục tiêu đến phát hiện lỗ hổng, giúp mở rộng quy mô với ít nguồn lực và kỹ năng hơn trước.

“Năm 2026, chúng tôi dự kiến ​​sẽ thấy các nhóm tội phạm có tổ chức tự động hóa quy trình làm việc và thuê ngoài nhiều nhiệm vụ hơn bằng cách sử dụng các tác nhân AI trong những cuộc tấn công, đặc biệt là các nhiệm vụ chuẩn bị như nghiên cứu nạn nhân để nhắm mục tiêu,” Alex Holland, nhà nghiên cứu mối đe dọa chính tại Phòng thí nghiệm An ninh của HP, cho biết. Ông cũng dự đoán tin tặc tội phạm sẽ sử dụng AI, và đặc biệt là các mô hình ngôn ngữ lớn (LLM), cho các nhiệm vụ phức tạp hơn, bao gồm cả việc phát hiện lỗ hổng.

Ông nói: “Sự hỗ trợ của trí tuệ nhân tạo sẽ giúp các tin tặc mở rộng quy mô hoạt động, khiến các chiến dịch hiệu quả hơn bằng cách giảm bớt nguồn lực và kỹ năng mà kẻ tấn công cần để xâm nhập mục tiêu”.

Doanh nghiệp, tổ chức đối mặt với thủ đoạn lừa đảo, tống tiền mới

Theo các chuyên gia, trong bối cảnh phishing và tống tiền qua mạng ngày càng tinh vi, doanh nghiệp không thể chỉ trông chờ vào việc nâng cao nhận thức người dùng.

“Nhận thức của người dùng vẫn quan trọng, nhưng như vậy là chưa đủ,” Ferguson của Forescout cảnh báo. “Trong thế giới của video deepfake, giọng nói sao chép và thư được viết hoàn hảo, tiêu chí đánh giá của bảo mật không thể chỉ là 'liệu người dùng của chúng ta có nhận ra điều này không?'”

Thực tế cho thấy, các quy trình có mức độ rủi ro cao cần được bổ sung thêm lớp xác minh độc lập, trong khi những kênh liên lạc vốn bị xem là thứ yếu như SMS, công cụ cộng tác nội bộ hay hệ thống hỗ trợ kỹ thuật đang dần trở thành điểm yếu mới bị tin tặc khai thác.

Việc siết chặt xác thực đa yếu tố (MFA) và giới hạn khả năng di chuyển ngang trong hệ thống được đánh giá là giải pháp then chốt, nhằm ngăn chặn kẻ tấn công mở rộng phạm vi kiểm soát sau khi đã xâm nhập thành công.

Dù các kỹ thuật tấn công ngày càng tinh vi, các chuyên gia cảnh báo rằng những hình thức tấn công “cũ” như phishing email cơ bản vẫn tiếp tục gây rủi ro, và nhiều khả năng sẽ còn tồn tại song song với các mối đe dọa công nghệ cao trong thời gian tới.

An Lâm (Theo Infosecurity Magazine)