Phân tích của Kaspersky cho thấy dữ liệu thu được từ phishing không chỉ bị bán trên chợ đen mà còn được xử lý tự động, kết hợp thành “hồ sơ số” để phục vụ các hình thức lừa đảo và tấn công có chủ đích trong thời gian dài.
Những con số mới nhất cho thấy phishing vẫn đang là một trong những mối đe dọa an ninh mạng dai dẳng và khó kiểm soát nhất hiện nay. Trong năm 2025, các giải pháp bảo mật của Kaspersky đã phát hiện và chặn đứng hơn 117 triệu lượt truy cập vào các liên kết giả mạo tại khu vực châu Á – Thái Bình Dương (APAC). Tuy nhiên, thực tế là không phải người dùng nào cũng được bảo vệ, khiến phishing tiếp tục trở thành “cánh cửa ngỏ” cho tội phạm mạng đánh cắp dữ liệu.
Phishing thường được triển khai dưới dạng website, email hoặc dịch vụ giả mạo các nền tảng quen thuộc, từ đó đánh lừa người dùng tự nhập thông tin nhạy cảm như tài khoản đăng nhập, dữ liệu cá nhân hoặc thông tin thẻ ngân hàng. Điều đáng lo ngại là rủi ro không kết thúc tại thời điểm người dùng bị lừa, mà còn kéo dài nhiều năm sau đó.
Dữ liệu bị đánh cắp được xử lý như thế nào?
Các chuyên gia của Kaspersky đã theo dõi “dòng chảy” của dữ liệu thu được từ các chiến dịch phishing, qua đó phơi bày cách tội phạm mạng thu thập, xử lý và kiếm tiền từ những thông tin này trên chợ đen.
Theo phân tích, 88,5% các cuộc tấn công phishing nhắm vào thông tin đăng nhập tài khoản trực tuyến, trong khi 9,5% tập trung vào dữ liệu cá nhân (như họ tên, địa chỉ, ngày sinh) và 2% còn lại trực tiếp nhằm vào thông tin thẻ ngân hàng. Sau khi bị đánh cắp, dữ liệu không được xử lý thủ công mà được đưa vào các hệ thống tự động chuyên biệt.
Những hệ thống này hoạt động tương tự mô hình Platform-as-a-Service (PaaS), do chính tội phạm mạng phát triển hoặc xây dựng trên các nền tảng công nghệ hợp pháp. Chúng cho phép quản lý, phân loại và xử lý khối lượng dữ liệu khổng lồ một cách nhanh chóng và hiệu quả.
Từ dữ liệu thô đến “hồ sơ số” giá trị cao
Theo Kaspersky Digital Footprint Intelligence, dữ liệu bị đánh cắp thường được gom thành các gói lớn, gọi là “dump”, sau khi đã được xác minh còn sử dụng được. Trên các diễn đàn dark web, những gói dữ liệu này thường được rao bán với giá khá thấp, đôi khi chỉ từ 50 USD trở xuống.
Tuy nhiên, các tài khoản có giá trị cao lại là một câu chuyện khác. Ví dụ, tài khoản liên quan đến tiền mã hóa có thể được giao dịch với giá trung bình 105 USD, tài khoản ngân hàng lên đến 350 USD, tài khoản cổng dịch vụ Chính phủ điện tử khoảng 82,5 USD, còn giấy tờ cá nhân như CCCD hoặc hộ chiếu vào khoảng 15 USD mỗi bộ.
Trước khi bán, thông tin sẽ được kiểm tra bằng các đoạn mã tự động để đảm bảo tính hợp lệ. Sau đó, chúng được kết hợp với dữ liệu rò rỉ từ nhiều nguồn khác để tạo thành các “hồ sơ số” hoàn chỉnh, giúp nâng giá trị của dữ liệu lên gấp nhiều lần. Những bộ hồ sơ này thường được sử dụng cho các cuộc tấn công có chủ đích, đặc biệt là whaling – hình thức lừa đảo nhắm vào cá nhân có vị trí cao hoặc tài sản lớn.
Dữ liệu bị đánh cắp: mối đe dọa kéo dài
Theo bà Olga Altukhova, chuyên gia an ninh mạng của Kaspersky, dữ liệu bị đánh cắp không còn là “món hàng dùng một lần”.
“Tội phạm mạng tận dụng dữ liệu công khai trên Internet kết hợp với các thông tin rò rỉ trước đó để xây dựng những kịch bản lừa đảo ngày càng tinh vi và cá nhân hóa. Nạn nhân không chỉ đối mặt với nguy cơ mất dữ liệu tức thời, mà còn có thể trở thành mục tiêu lâu dài của các hành vi gian lận tài chính, đánh cắp danh tính hoặc tống tiền.”
Khuyến nghị để giảm thiểu rủi ro
Để chủ động bảo vệ bản thân trước các mối đe dọa từ phishing, Kaspersky đưa ra một số khuyến nghị quan trọng:
- Khóa ngay thẻ ngân hàng nếu nghi ngờ thông tin bị lộ, bằng cách liên hệ trực tiếp với ngân hàng hoặc tổ chức phát hành
- Thay đổi mật khẩu cho các tài khoản có nguy cơ bị xâm nhập, sử dụng mật khẩu khác nhau cho từng dịch vụ và kích hoạt xác thực đa yếu tố (MFA)
- Kiểm tra các phiên đăng nhập đang hoạt động trên ứng dụng nhắn tin, ngân hàng số và các dịch vụ quan trọng
- Trang bị giải pháp bảo mật đáng tin cậy để giám sát thiết bị và phát hiện sớm nguy cơ rò rỉ dữ liệu