Xâm nhập dữ liệu: Đánh cắp làm gì, bán cho ai?

Những gói dữ liệu cả triệu đô la vẫn có người mua, vì chắc chắn số tiền thu lại từ "mỏ vàng" đó sẽ lớn hơn nhiều.

Tối 11-9, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) thông báo đã tiếp nhận báo cáo về "một sự cố an ninh mạng" xảy ra tại Trung tâm Thông tin tín dụng quốc gia (CIC). Kết quả xác minh ban đầu cho thấy "có dấu hiệu tấn công, xâm nhập từ tội phạm mạng" với mục đích đánh cắp dữ liệu cá nhân.

Thế nào là xâm nhập dữ liệu?

Theo hãng bảo mật CrowdStrike, hai mối đe dọa phổ biến nhất đối với dữ liệu của các tổ chức ngày nay là rò rỉ dữ liệu (data leak) và xâm nhập dữ liệu (data breach). Nhiều người thường nhầm lẫn và xem hai hình thức này là một, song chúng khác nhau về bản chất.

Cụ thể, xâm nhập dữ liệu xảy ra khi có người không được phép (hacker hay kẻ xấu) cố ý truy cập vào dữ liệu nhạy cảm - hồ sơ tài chính, dữ liệu cá nhân (PII), thông tin khách hàng hay bí mật công ty - để đánh cắp, rồi đem bán hoặc tống tiền, trong khi rò rỉ dữ liệu xảy ra khi dữ liệu nhạy cảm bị để lộ ra ngoài do sơ suất hoặc thiếu cẩn trọng, chứ không nhất thiết do bị tấn công có chủ đích. Nói nôm na, xâm nhập dữ liệu cần có người xấu chủ động đột nhập để ăn cắp thông tin, còn rò rỉ dữ liệu là dữ liệu tự "chảy ra ngoài" do quản lý kém hay sơ ý từ nội bộ.

Theo bài viết ngày 8-9 trên trang tin bảo mật DataBreaches.Net, nhóm hacker ShinyHunters tuyên bố đã tấn công và lấy đi số lượng lớn bản ghi từ CIC, và rao bán dữ liệu trên một diễn đàn hacker. 

Ảnh chụp màn hình bài đăng (đã xóa) cho thấy các thông tin bị rao bán với giá 175.000 USD bao gồm: PII, lịch sử thanh toán tín dụng, phân tích rủi ro, thông tin thẻ tín dụng, số quân nhân, mã định danh, mã số thuế, báo cáo thu nhập, các khoản nợ và nhiều dữ liệu nhạy cảm khác. 

Những kẻ rao bán ghi rõ thông tin thẻ tín dụng "cần giải mã thêm", ngụ ý phần này của dữ liệu đã được mã hóa chứ không phải dãy số thuần.

CIC là đơn vị thuộc trực thuộc Ngân hàng Nhà nước Việt Nam (NHNN), có nhiệm vụ hỗ trợ NHNN thực hiện chức năng quản lý nhà nước trong lĩnh vực tiền tệ, ngân hàng, hỗ trợ tổ chức tín dụng trong hoạt động kinh doanh.

Trong thông cáo ngày 12-9, NHNN cho biết đang chỉ đạo xử lý sự cố thông tin tín dụng tại CIC và nhấn mạnh hoạt động cung cấp dịch vụ thông tin tín dụng và hệ thống công nghệ thông tin của các tổ chức tín dụng hiện vẫn an toàn, ổn định. 

NHNN cũng nói rõ thông tin tín dụng do CIC thu thập theo quy định của pháp luật không bao gồm thông tin về: tài khoản tiền gửi, số dư tiền gửi, sổ tiết kiệm, tài khoản thanh toán, số thẻ ghi nợ, số thẻ tín dụng, mã số bảo mật (CVV/CVC), lịch sử giao dịch thanh toán của khách hàng.

Chiếu theo định nghĩa của CrowdStrike, CIC đã bị xâm nhập dữ liệu: hành vi có chủ đích với mục đích rao bán dữ liệu đánh cắp. Nếu đúng ShinyHunters là thủ phạm đứng sau cũng không có gì ngạc nhiên. Nhóm này đang nổi lên là một tổ chức tội phạm mạng nguy hiểm.

Trong một bài blog hôm 6-8, Google cho biết ShinyHunters đã xâm nhập vào một cơ sở dữ liệu, trong đó lưu trữ thông tin liên hệ và ghi chú liên quan đến các doanh nghiệp nhỏ và vừa. Google nói thêm rằng hacker "chỉ có quyền truy cập trong một khoảng thời gian ngắn" trước khi bị chặn lại, và phần lớn dữ liệu bị lấy đi "chỉ là thông tin cơ bản" về doanh nghiệp vốn đã khá công khai.

ShinyHunters là ai?

Theo trang Axios, ShinyHunters là một nhóm tội phạm mạng nổi tiếng với việc xâm nhập tổ chức thông qua các chiêu trò tấn công phi kỹ thuật (social engineering). Khác với những hình thức tấn công thuần kỹ thuật như cài mã độc hay khai thác lỗ hổng phần mềm, social engineering dựa vào thao túng tâm lý, khiến người dùng tự mắc sai lầm bảo mật hoặc vô tình tiết lộ dữ liệu nhạy cảm.

Trong phần lớn các phi vụ, ShinyHunters giả mạo bộ phận hỗ trợ IT của công ty, dùng chiêu gọi điện lừa đảo (voice phishing, còn gọi là vishing) để dụ nhân viên tự đặt lại mật khẩu hoặc lừa nhân viên này tự cài đặt phần mềm độc hại vào máy tính. Từ đó, hacker có thể truy cập và lấy đi dữ liệu nhạy cảm. 

Sau khi "vơ vét" dữ liệu thành công, ShinyHunters thường chờ nhiều tháng sau đó mới gọi điện hoặc gửi email cho nhân viên để tống tiền, đe dọa sẽ công khai thông tin bị đánh cắp nếu không trả tiền chuộc. 

Tính đến đầu tháng 8, ShinyHunters được cho là có dính dáng tới một loạt vụ rò rỉ dữ liệu ở hãng hàng không Qantas, công ty bảo hiểm Allianz Life, Louis Vuitton, Adidas, Pandora, Chanel, Tiffany & Co., Cisco…

Điểm chung của các vụ này là hệ thống Salesforce - nền tảng quản lý được nhiều doanh nghiệp dùng để thông tin khách hàng, đối tác và quản lý hợp đồng, giao dịch - bị xâm nhập bằng các chiêu trò social engineering. 

Mặc dù vishing không phải là chiêu mới, nhưng với sự xuất hiện của deepfake và AI tạo sinh, việc giả giọng người thật dễ hơn bao giờ hết, nên chiêu lừa này ngày càng khó phát hiện hơn.

Trong bài viết cho The Conversation ngày 3-9, Jennifer Medbury, giảng viên tình báo và bảo mật Đại học Edith Cowan (Úc), cho biết ShinyHunters lần đầu xuất hiện vào năm 2020 và cho biết đến nay đã tấn công thành công 91 nạn nhân. 

Trước đây, ShinyHunters thường nhắm vào lỗ hổng trong ứng dụng điện toán đám mây và cơ sở dữ liệu website. Việc dùng social engineering là chiến thuật mới của ShinyHunters, nhiều khả năng nhờ liên minh với các nhóm khác.

Giữa tháng 8, nhóm tuyên bố trên Telegram đã hợp tác với Scattered Spider và Lapsus$ để tấn công các công ty như Salesforce và tập đoàn bảo hiểm Allianz Life, sau đó công khai 2,8 triệu bản ghi dữ liệu của Allianz Life. Liên minh này sau đó đổi tên thành Scattered Lapsus$ Hunters, bắt đầu cung cấp dịch vụ ransomware-as-a-service - tức nhận tấn công mã độc tống tiền thuê cho bất kỳ ai trả tiền.

Đường đi của dữ liệu đánh cắp

Khi một vụ rò rỉ dữ liệu xảy ra, thông tin bị đánh cắp không biến mất mà trở thành tài sản giá trị trong thế giới ngầm tội phạm mạng.

Ngay sau khi có dữ liệu, nhiều nhóm tội phạm mạng chọn cách đe dọa công khai và đòi tiền chuộc để không phát tán thông tin. Đây là hình thức "kiếm nhanh, lời to", và trên thực tế, gần 70% các vụ ransomware kết thúc bằng việc nạn nhân trả tiền, theo một bài viết tháng 8-2024 của hãng bảo mật Bitdefender. Với tỉ lệ thành công cao như vậy, kẻ xấu "có động lực rất lớn để tiếp tục kiếm tiền từ các vụ xâm nhập", tức liên tục tìm kiếm con mồi và tấn công.

Trong nhiều trường hợp khác, hacker mang dữ liệu đó lên dark web - thế giới ngầm của Internet, chỉ truy cập được qua các trình duyệt chuyên biệt. Dark web được thiết kế để ẩn danh hoàn toàn, và nổi tiếng vì là nơi mua bán các nội dung, dịch vụ, hàng hóa phi pháp, từ ma túy cho đến dữ liệu bị đánh cắp. Theo Bitdefender, hacker có thể chia chiến lợi phẩm thành ba "mặt hàng" khác nhau để bán riêng lẻ: toàn bộ/các gói dữ liệu đánh cắp; quyền truy cập vào dữ liệu; hoặc quyền truy cập vào tài khoản hoặc hệ thống đã bị xâm nhập, với giá niêm yết hoặc đấu giá.

Năm 2021, ShinyHunters tuyên bố bán dữ liệu đánh cắp từ 73 triệu khách hàng của AT&T với giá 1 triệu USD. Ai sẽ mua những dữ liệu này, và làm gì với chúng để có thể thu lời nhiều hơn rất nhiều từ số tiền đã bỏ ra?

Theo Bitdefender, một khi dữ liệu bị đánh cắp của một công ty đã trôi dạt lên dark web, nó sẽ trở thành miếng mồi cho vô số kẻ xấu sẵn sàng bỏ tiền mua dữ liệu hoặc quyền truy cập. Hệ quả là công ty có thể tiếp tục bị xâm nhập và hứng chịu nhiều dạng tấn công khác, chẳng hạn: chiếm đoạt tài khoản thông qua thông tin đăng nhập bị lộ; tấn công APT (Advanced Persistent Threat), Spearphishing và BEC (Business Email Compromise); đánh cắp tiền trực tiếp từ chi tiết tài khoản ngân hàng bị lộ; hoặc giả mạo danh tính dựa trên PII để thực hiện hành vi lừa đảo khác.

APT (Advanced Persistent Threat) là hình thức kẻ xấu dùng dữ liệu mua được xâm nhập vào hệ thống nhưng không phá hoại ngay mà "nằm vùng", từng bước mở rộng quyền kiểm soát. Ví dụ thực tế: Vụ APT29 (Cozy Bear) - nhóm hacker liên quan tới Nga, từng sử dụng tài khoản email/IT bị lộ để xâm nhập chuỗi cung ứng phần mềm SolarWinds năm 2020, từ đó tiếp cận hàng loạt cơ quan chính phủ và tập đoàn Mỹ.

Spearphishing là dạng phishing có chủ đích và cá nhân hóa. Thay vì gửi email lừa đảo hàng loạt với nội dung chung chung, hacker sẽ dựa vào PII (họ tên, chức vụ, email công ty, số điện thoại...) đã bị lộ để viết email cực kỳ thuyết phục vì mọi thông tin đều chính xác. 

Tương tự, với BEC, nhờ dữ liệu xịn (PII, lịch sử giao dịch), kẻ xấu có thể soạn email lừa đảo "như thật" rồi giả mạo lãnh đạo hoặc đối tác gửi cho bộ phận kế toán, tài chính, yêu cầu chuyển tiền. 

Trong một báo cáo hồi tháng 4-2025, FBI cho biết BEC là loại tội phạm mạng lớn thứ 2, nếu xét thiệt hại tài chính. Từ năm 2022 đến 2024, tổng thiệt hại vì BEC được ghi nhận đã lên tới 8,5 tỉ USD.

Nói cách khác, tội phạm mạng không cần tự xâm nhập, đánh cắp dữ liệu vất vả, mà chỉ cần mua dữ liệu trên dark web là có sẵn chìa khóa vào "kho vàng" của nạn nhân. Theo Bitdefender, các tổ chức từng bị rò rỉ dữ liệu sẽ "có nguy cơ bị tấn công lần nữa cao hơn 67%" chỉ trong vòng một năm tiếp theo.

Theo Bitdefender, trước nguy cơ ngày càng tăng của nạn xâm nhập dữ liệu, các tổ chức, doanh nghiệp cần tập trung vào hai ưu tiên chính để tự bảo vệ "mỏ vàng" dữ liệu của mình: ngăn chặn rò rỉ dữ liệu ngay từ đầu và ngăn dữ liệu đã lộ (dù từ hệ thống của mình hay của đơn vị khác) bị lợi dụng để tấn công tổ chức. "Cách phòng thủ hiệu quả nhất không nằm ở công cụ duy nhất, mà là sự kết hợp giữa công nghệ, quy trình và con người" - Bitdefender khuyên.

Điều cần nhớ là kẻ xấu luôn biết cách tận dụng mọi thông tin có được cho các hành vi lừa đảo của mình. Ngay cả khi chỉ có họ tên, số điện thoại, địa chỉ, thông tin ngân hàng… kẻ lừa đảo hoàn toàn có thể được dùng để mạo danh vay tiền, mở tài khoản, xin chứng từ giả, mượn danh để trục lợi, phishing cá nhân hóa.

Chính vì vậy, ngày 13-9, Phòng an ninh mạng và phòng chống tội phạm sử dụng công nghệ cao Công an TP.HCM thông báo người dân cần chủ động cảnh giác trước các thủ đoạn lừa đảo trực tuyến sau vụ CIC, cũng như không hoang mang trước các cảnh báo thất thiệt liên quan yêu cầu: phải đổi thẻ ngân hàng - khóa thẻ - rút tiết kiệm… vì đây có thể là một thủ đoạn dẫn dụ nạn nhân làm theo các kịch bản lừa đảo.