Đằng sau nhiều vụ tấn công mạng nghiêm trọng hiện nay không còn là hình ảnh những thiếu niên tuổi teen nghịch ngợm như trong phim ảnh, mà là các đối tượng trưởng thành, làm việc có tổ chức, phân vai rõ ràng và theo đuổi lợi nhuận như một mô hình kinh doanh ngầm.
 |
| Những hacker tuổi trung niên dày dặn kinh nghiệm là mối đe dọa lớn với các tổ chức, doanh nghiệp (ảnh dùng AI tạo ra) |
Trong nhiều năm, điện ảnh và văn hóa đại chúng đã góp phần tạo nên một hình dung khá quen thuộc về hacker: trẻ tuổi, nổi loạn, thích thử thách kỹ thuật và hành động phần nhiều vì tò mò hoặc để thể hiện bản thân. Tuy nhiên, những phân tích mới từ giới nghiên cứu an ninh mạng cho thấy hình ảnh ấy đang ngày càng lỗi thời. Bức tranh thực tế của tội phạm mạng hiện nay cho thấy nhóm tuổi trung niên mới là lực lượng nổi bật trong nhiều vụ án lớn, đặc biệt ở những hoạt động gắn với tống tiền, phát tán mã độc, gián điệp mạng và rửa tiền.
Theo Orange Cyberdefense, đơn vị an ninh mạng thuộc Orange Group, khi phân tích 418 hoạt động thực thi pháp luật được công bố công khai trong giai đoạn từ năm 2021 đến giữa năm 2025, nhóm 35 - 44 tuổi chiếm tỷ lệ lớn nhất trong các vụ việc tội phạm mạng bị xử lý, ở mức 37%. Nếu cộng thêm nhóm 25 - 34 tuổi, hai nhóm này chiếm tới 58% số vụ được nghiên cứu. Trong khi đó, nhóm 18 - 24 tuổi chiếm 21%, còn nhóm 12 - 17 tuổi chỉ chiếm khoảng 5%. Những con số này cho thấy tội phạm mạng nghiêm trọng không còn chủ yếu gắn với tuổi vị thành niên, mà ngày càng mang dáng dấp của một hoạt động phạm tội có tính nghề nghiệp, tích lũy kinh nghiệm qua thời gian.
Điều đáng chú ý là xu hướng này đi ngược lại với mô hình thường thấy ở nhiều loại tội phạm truyền thống, nơi hành vi phạm tội thường xuất hiện mạnh ở tuổi mới lớn hoặc đầu tuổi trưởng thành rồi giảm dần. Với tội phạm mạng, mức độ tham gia vào các hành vi sinh lợi cao dường như lại tăng theo tuổi. Orange Cyberdefense cho rằng điều đó phản ánh sự chuyển dịch từ kiểu xâm nhập mang tính thử nghiệm sang những chiến dịch có tính toán, có tổ chức và nhằm thu lợi nhuận rõ rệt.
Từ tò mò kỹ thuật đến mô hình kiếm tiền có tổ chức
Nếu nhìn sâu hơn vào từng nhóm tuổi, sự khác biệt càng hiện rõ. Ở nhóm 18 - 24 tuổi, hoạt động phạm tội mạng khá phân tán, trong đó xâm nhập trái phép chiếm khoảng 30%, còn bán dữ liệu đánh cắp và tấn công từ chối dịch vụ phân tán cùng ở mức 10%. Điều này cho thấy nhiều đối tượng trẻ tuổi vẫn tham gia theo kiểu “thử nghề”, khám phá công cụ, thử chiến thuật và tìm chỗ đứng trong cộng đồng ngầm.
Nhưng khi bước sang nhóm 25 - 34 tuổi, bức tranh bắt đầu đổi khác. Những hoạt động trực tiếp gắn với lợi nhuận như bán dữ liệu đánh cắp, tống tiền mạng và phát tán mã độc bắt đầu nổi lên. Đến nhóm 35 - 44 tuổi, tống tiền mạng trở thành hành vi nổi bật nhất, tiếp theo là phát tán mã độc, gián điệp mạng, xâm nhập trái phép và rửa tiền. Nói cách khác, tuổi càng lớn thì hành vi càng bớt tính “ngẫu hứng”, thay vào đó là những hoạt động đòi hỏi khả năng vận hành, điều phối và thu lợi từ cả một dây chuyền phạm tội.
Bức tranh này cũng phù hợp với đánh giá rộng hơn của Europol. Trong báo cáo IOCTA 2025, cơ quan cảnh sát châu Âu cho biết dữ liệu hiện đã trở thành một loại hàng hóa quan trọng trong nền kinh tế tội phạm mạng. Không chỉ dữ liệu bị mua bán, mà ngay cả quyền truy cập vào hệ thống bị xâm nhập cũng được rao bán ngày càng phổ biến. Đặc biệt, giới “môi giới truy cập ban đầu” (Initial Access Brokers) đang mở rộng hoạt động trên các nền tảng tội phạm chuyên biệt, cung cấp quyền truy cập cho nhiều nhóm khác nhau trong chuỗi tấn công. Điều này cho thấy tội phạm mạng hiện không còn là hành vi đơn lẻ, mà vận hành theo kiểu phân khúc dịch vụ và chuyên môn hóa cao.
Nói cách khác, một người trẻ có thể là kẻ đầu tiên tìm ra lỗ hổng hoặc lấy được thông tin đăng nhập, nhưng phần sinh lời lớn nhất của đường dây lại nằm ở những người biết cách biến quyền truy cập đó thành tiền. Từ xâm nhập ban đầu đến cài mã độc, tống tiền, thương lượng với nạn nhân rồi hợp thức hóa dòng tiền, mỗi mắt xích đều có thể do một nhóm chuyên trách đảm nhiệm. Trong một hệ sinh thái như vậy, kinh nghiệm và độ tin cậy trở thành tài sản quan trọng không kém kỹ năng kỹ thuật.
Khi đường dây tội phạm mạng vận hành như “doanh nghiệp ngầm”
Điểm đáng lo ngại là nhiều chiến dịch tội phạm mạng hiện nay mang dáng dấp của một doanh nghiệp vận hành bài bản. ENISA, cơ quan an ninh mạng của Liên minh châu Âu, trong báo cáo Threat Landscape 2025 nhận định rằng sự lan rộng của mô hình “ransomware as a service”, các vụ rò rỉ công cụ tạo mã độc và dịch vụ của giới môi giới truy cập đã làm giảm đáng kể rào cản gia nhập giới tội phạm mạng. Theo ENISA, điều này góp phần tạo ra một hệ sinh thái phạm tội chuyên nghiệp hơn, bền bỉ hơn và có khả năng thích nghi nhanh hơn trước sức ép từ cơ quan thực thi pháp luật.
Cũng theo đánh giá này, nhiều nhóm tội phạm mạng đã phản ứng với các chiến dịch truy quét bằng cách phân tán hạ tầng, thay đổi phương thức tống tiền và tận dụng áp lực tuân thủ pháp lý của doanh nghiệp để gia tăng sức ép lên nạn nhân. Điều đó cho thấy các nhóm này không chỉ giỏi kỹ thuật, mà còn hiểu khá rõ tâm lý tổ chức, quy trình ra quyết định trong doanh nghiệp và cả những tổn thất danh tiếng mà nạn nhân phải đối mặt nếu dữ liệu bị công khai. Đó là loại hiểu biết thường khó có được nếu chỉ là những tay chơi kỹ thuật non tuổi.
Thực tế từ các chiến dịch triệt phá quốc tế cũng phản ánh mức độ tổ chức ngày càng sâu của loại hình tội phạm này. Europol cho biết trong chiến dịch Operation Endgame, lực lượng chức năng đã đánh vào các dịch vụ mã độc được sử dụng làm mắt xích khởi đầu trong chuỗi tấn công ransomware, vô hiệu hóa hàng trăm máy chủ và tên miền liên quan. Thông điệp từ những chiến dịch như vậy rất rõ: đằng sau một vụ tấn công tống tiền mạng thường là cả một chuỗi cung ứng ngầm, từ người tạo công cụ, người bán quyền truy cập, người triển khai mã độc đến người lo phần dòng tiền.
Trong mô hình đó, nhóm tuổi 35-44 có lợi thế dễ hiểu. Đây là độ tuổi thường đã tích lũy được kinh nghiệm làm việc, khả năng tổ chức, hiểu biết về quy trình vận hành và kỹ năng xây dựng quan hệ. Với tội phạm mạng, những năng lực ấy có thể được chuyển hóa thành khả năng điều phối chiến dịch, tuyển cộng tác viên, quản lý “đối tác”, duy trì uy tín trong các diễn đàn ngầm và xử lý các khâu nhạy cảm như thương lượng hay rửa tiền. Chính vì vậy, nếu nhóm trẻ tuổi thường xuất hiện ở khâu thử nghiệm và đột nhập ban đầu, thì nhóm lớn tuổi hơn lại nắm phần trung tâm của các hoạt động mang lại lợi nhuận cao nhất.
 |
| (ảnh minh họa do AI tạo ra) |
Sự thay đổi này cũng đặt ra yêu cầu điều chỉnh nhận thức trong công tác phòng, chống tội phạm mạng. Nếu vẫn nhìn mối đe dọa chủ yếu như vài “hacker trẻ trâu” ham thể hiện, doanh nghiệp và cơ quan quản lý có thể đánh giá thấp quy mô thật sự của đối thủ. Điều họ phải đối mặt ngày nay nhiều khi là những cấu trúc tội phạm đã tiến hóa thành các “công ty ngầm”: có phân vai, có chuỗi dịch vụ, có quy tắc uy tín nội bộ và có động cơ lợi nhuận rõ ràng.
Vì thế, huyền thoại về “hacker tuổi teen” có lẽ không còn đủ để mô tả diện mạo tội phạm mạng hiện đại. Trong nhiều vụ việc nghiêm trọng, đối tượng đứng sau không còn là những thanh thiếu niên thích nghịch ngợm công nghệ, mà là những người trưởng thành, hiểu rất rõ cách biến một lỗ hổng kỹ thuật thành tiền, và biến tội phạm mạng thành một nấc thang nghề nghiệp trong thế giới ngầm.
Việt Nam cho thấy xu hướng tội phạm mạng ngày càng chuyên nghiệp
Thực tế tại Việt Nam cũng cho thấy tội phạm mạng đang vận hành ngày càng bài bản và gây thiệt hại ngày càng lớn. Theo số liệu được Bộ Thông tin và Truyền thông dẫn từ báo cáo của Hiệp hội An ninh mạng quốc gia, trong năm 2024 có 46,15% cơ quan, doanh nghiệp tại Việt Nam từng bị tấn công mạng, với tổng số vụ ước khoảng 659.000. Trong đó, các hình thức tấn công có chủ đích (APT) và mã hóa dữ liệu tống tiền (ransomware) được ghi nhận là nổi bật.
Ở mảng lừa đảo trực tuyến, thiệt hại trong năm 2024 được ước tính lên tới 18.900 tỷ đồng; riêng 9 tháng đầu năm, hệ thống cảnh báo đã tiếp nhận hơn 22.200 phản ánh từ người dùng, phần lớn liên quan đến hành vi chiếm đoạt tài sản. Những con số này cho thấy ở Việt Nam, tội phạm mạng không còn dừng ở mức phá phách hay thử nghiệm kỹ thuật, mà đã trở thành hoạt động có tổ chức, nhắm thẳng vào tiền và dữ liệu.
Dù chưa có thống kê công khai về cơ cấu độ tuổi của tội phạm mạng tại Việt Nam giống như nghiên cứu của Orange Cyberdefense, các số liệu trong nước vẫn cho thấy một thực tế đáng chú ý: tội phạm mạng đang ngày càng chuyên nghiệp, gây thiệt hại lớn và tập trung vào những hoạt động sinh lợi cao như xâm nhập hệ thống, mã hóa dữ liệu tống tiền, lừa đảo chiếm đoạt tài sản và khai thác dữ liệu cá nhân. Điều đó cũng đồng nghĩa, việc nhìn hacker chỉ như những "hacker trẻ trâu" có thể khiến xã hội đánh giá thấp quy mô và mức độ tổ chức của mối đe dọa này.
Xem thêm:
Đăng Khoa