Các gói hàng đã bị đánh cắp nằm dọc đường ray xe lửa ở Los Angeles vào ngày 21 tháng 1 năm 2022. Ảnh Edwin Lopez/Cybersecurity Dive

Tội phạm mạng trở thành “người mở cửa” cho tội phạm có tổ chức

Theo báo cáo được công ty an ninh mạng Proofpoint  công bố ngày 3/11, các băng nhóm tội phạm mạng đang hợp tác với tội phạm có tổ chức để đánh cắp hàng hóa thông qua lạm dụng các công cụ giám sát từ xa .

Những tội phạm mạng, hoạt động ít nhất từ ​​tháng 6 năm 2025, có thể bắt đầu từ tháng 1, đã sử dụng các công cụ quản lý và giám sát từ xa như ScreenConnect hoặc SimpleHelp hay các phần mềm hợp pháp như Remote Monitoring and Management (RMM), công cụ quản trị từ xa để tấn công vào hệ thống của các doanh nghiệp logistics, nhà môi giới hoặc sàn giao dịch vận tải (load boards), chiếm quyền điều khiển hệ thống mà không kích hoạt cảnh báo an ninh.

Sau khi xâm nhập, nhóm tin tặc dò tìm thông tin về lịch trình giao hàng, hóa đơn, tài xế, hợp đồng vận tải, rồi chiếm tài khoản của nhà môi giới. Từ đó, tội phạm mạng đăng tải các chuyến hàng giả, chỉnh sửa dữ liệu giao nhận, khiến các hãng vận tải tin rằng đây là lệnh điều phối hợp lệ.

Cùng lúc, tổ chức tội phạm có tổ chức – vốn kiểm soát mạng lưới xe, tài xế và kho tạm chỉ việc thực hiện “trên thực địa”: cho người đến nhận hàng theo lệnh giả, vận chuyển về kho riêng và phân tán trong vài giờ.

Hàng hóa bị chiếm đoạt như thế nào?

Bằng cách can thiệp vào hệ thống quản lý vận đơn, nhóm tội phạm có thể đổi hướng xe tải, tạo vận đơn giả hoặc gửi lệnh GPS sai khiến tài xế đi nhầm. Ở điểm đến giả mạo, người của tổ chức sẽ xuất hiện, giả danh bên nhận và lấy toàn bộ hàng hóa.

Những mặt hàng bị nhắm đến chủ yếu là thiết bị điện tử, dược phẩm, linh kiện và hàng tiêu dùng cao cấp – dễ tiêu thụ và khó truy vết. Sau khi lấy hàng, chúng nhanh chóng chia nhỏ, thay bao bì hoặc xuất khẩu qua kênh phi chính thức. Lợi nhuận được chia qua tiền điện tử hoặc mạng lưới rửa tiền ngầm, giúp tội phạm gần như vô hình trên hệ thống tài chính.

Các chuyên gia mô tả đây là chuỗi tội phạm khép kín: tin tặc khai thác quyền truy cập mạng, tổ chức tội phạm xử lý phần vật lý, còn dòng tiền được rửa trơn tru qua các lớp trung gian.

Sử dụng mã độc chiếm đoạt hàng thật làm gia tăng tổn thất

Bên cạnh chiến dịch dùng RMM, một chiến dịch riêng biệt diễn ra từ năm 2024 đến tháng 3/2025 cho thấy các tin tặc đã triển khai mã độc như DanaBot, NetSupport hoặc LummaStealer để tấn công trực tiếp các công ty vận tải mặt đất.

Trong đó, DanaBot – từng bị phát hiện hoạt động trong mạng botnet quốc tế và liên quan đến một nhóm tội phạm mạng có trụ sở ở nước ngoài, cho phép kẻ tấn công xâm nhập, đánh cắp dữ liệu và điều khiển từ xa các thiết bị của nạn nhân.

Theo Cục Bảo hiểm Tội phạm Quốc gia Mỹ (NICB), trộm cắp hàng hóa hiện gây thiệt hại bình quân 34 tỷ USD mỗi năm cho ngành logistics. Riêng năm 2024, thiệt hại tăng 27%, và dự kiến tăng thêm 22% trong năm 2025.

Sự leo thang này khiến Bộ Giao thông Vận tải Mỹ tháng 9 vừa qua phải phát thông báo kêu gọi doanh nghiệp và giới chuyên môn góp ý biện pháp đối phó nạn trộm hàng có tổ chức.

Mối đe dọa kết hợp giữa tội phạm mạng và tội phạm có tổ chức

Sự “bắt tay” giữa tin tặc và tội phạm có tổ chức cho thấy ranh giới giữa tội phạm mạng và tội phạm truyền thống đang bị xóa nhòa. Khi công nghệ trở thành công cụ của tội phạm trên thực địa, mỗi lỗ hổng hệ thống CNTT có thể dẫn đến nguy cơ tổn thất nặng nề vật chất và hàng hóa.

Các chuyên gia cảnh báo, doanh nghiệp vận tải và logistics cần xem an ninh mạng là tuyến phòng thủ đầu tiên cho cả tài sản vật chất, không chỉ dữ liệu.

Việc kiểm soát quyền truy cập, xác thực người điều phối, giám sát bất thường trong hệ thống và đào tạo nhân sự nhận diện chiêu giả mạo là những bước tối thiểu để ngăn chuỗi tội phạm “ảo – thật” đang lan rộng trên toàn cầu.

An Lâm (Theo Cybersecurity Dive)