Dữ liệu bị đánh cắp được thương mại hóa mạnh

Tội phạm mạng đã chuẩn bị từ rất sớm, tận dụng hệ sinh thái công cụ tấn công ngày càng công nghiệp hóa để mở rộng quy mô và phạm vi.

Đối với các nhà bán lẻ, tổ chức tài chính hay doanh nghiệp vận hành hệ thống thương mại điện tử (TMĐT), đây là một môi trường rủi ro đặc biệt cao, khi hành vi tiêu dùng trực tuyến – mua sắm, thanh toán số, truy cập đa nền tảng – tăng đột biến trong mùa cao điểm cuối năm.

Nghiên cứu gần đây từ FortiGuard Labs (Fortinet) cho thấy một thông điệp rõ ràng: Những kẻ tấn công đang tăng tốc, tự động hóa nhiều hơn và tận dụng tối đa sự bùng nổ của hoạt động mua sắm mùa lễ. Dưới đây là tổng hợp các phát hiện quan trọng từ Báo cáo FortiRecon về bối cảnh đe dọa mùa lễ hội 2025.

Tên miền độc hại theo chủ đề lễ hội tăng vọt

Một trong những tín hiệu hoạt động mạnh nhất của tội phạm mạng là lượng tên miền mới được đăng ký. Trong 3 tháng, FortiGuard đã ghi nhận hơn 18.000 tên miền gắn với từ khóa “Christmas”, “Black Friday”, “Flash Sale”, trong đó 750 tên miền xác nhận độc hại; 19.000+ tên miền nhái thương hiệu bán lẻ lớn, với 2.900 tên miền độc hại.

Nhiều tên miền chỉ thay đổi một ký tự hoặc ký hiệu, khiến người dùng dễ nhầm lẫn khi truy cập nhanh trong các đợt giảm giá. Những tên miền này được dùng để lừa đảo thanh toán, đánh cắp thông tin đăng nhập; triển khai chiến dịch SEO độc hại để đưa URL giả lên top tìm kiếm; tạo “cửa hàng giả” phục vụ gian lận thẻ, thu thập dữ liệu khách hàng.

Tài khoản bị đánh cắp bùng nổ – nguy cơ chiếm đoạt tăng mạnh

Trong mùa lễ hội 2025, thị trường ngầm ghi nhận mức tăng kỷ lục là 1,57 triệu tài khoản đăng nhập liên quan đến các website TMĐT lớn bị rao bán.

Các dữ liệu như mật khẩu, cookie, mã phiên, dữ liệu tự động điền, vân tay thiết bị đều giá trị vì người dùng thường đăng nhập trên nhiều thiết bị trong mùa mua sắm… Điều này giúp ngay cả tội phạm nghiệp dư cũng dễ dàng thực hiện việc “nhồi nhét thông tin xác thực”, chiếm đoạt tài khoản, thực hiện giao dịch trái phép.

Ngoài ra, những “đợt giảm giá dữ liệu thẻ tín dụng” theo phong cách Black Friday trên chợ ngầm càng thúc đẩy gian lận tài chính.

Lỗ hổng nghiêm trọng trên các nền tảng thương mại điện tử

Nhiều hệ thống TMĐT đang trở thành mục tiêu của các cuộc tấn công có chủ đích. Ba lỗ hổng nổi bật đó là:

CVE-2025-54236 – Adobe/Magento: Bị khai thác để chiếm quyền phiên và thực thi mã từ xa. Hơn 250 cửa hàng Magento đã có dấu hiệu bị xâm nhập.

CVE-2025-61882 – Oracle EBS: Bị nhóm ransomware khai thác để truy cập dữ liệu ERP, phá vỡ hệ thống đặt hàng và kiểm kê.

CVE-2025-47569 – Plugin thẻ quà tặng WooCommerce: Cho phép thao túng hoặc đánh cắp dữ liệu nhạy cảm. Một số tác nhân đe dọa đã rao bán quyền truy cập cơ sở dữ liệu khai thác từ lỗ hổng này.

Ngoài ra, tấn công Magecart – chèn mã JavaScript để đánh cắp thông tin thẻ tại trang thanh toán – tiếp tục là mối đe dọa hàng đầu.

Công cụ tấn công công nghiệp hóa – tự động hóa ở mọi khâu

Hệ sinh thái tấn công năm 2025 cho thấy mức độ chuyên nghiệp cao hơn nhiều như: Bot brute-force sử dụng AI giả lập hành vi người thật; Bộ công cụ xác thực bị đánh cắp cho WordPress, WooCommerce, FTP, SMTP…; Dịch vụ proxy/VPN thay đổi IP liên tục…

Nền tảng dựng sẵn trang lừa đảo và lưu trữ độc hại chỉ cần vài phút để triển khai. Cùng với đó, công cụ sao chép “front-end cửa hàng” phục vụ lừa đảo; Spam SMS và SIP giả mạo ID người gọi hỗ trợ các chiến dịch smishing quy mô lớn. Gói SEO độc hại giúp đẩy URL lừa đảo lên top tìm kiếm.

Tất cả kết hợp tạo thành một chuỗi cung ứng tấn công hoàn chỉnh, với đầy đủ dịch vụ “khuyến mãi mùa lễ” tương tự các chiến dịch bán hàng hợp pháp.

Mô hình kiếm tiền tinh vi – dữ liệu bị xâm phạm trở thành hàng hóa

Các chợ ngầm ghi nhận sự gia tăng mạnh của: CSDL khách hàng bị lấy cắp từ website TMĐT; hồ sơ WooCommerce chứa thông tin người mua – người bán; mã token thanh toán, cookie trình duyệt bỏ qua được MFA; tài khoản quản trị hoặc FTP của các cửa hàng lớn; dịch vụ tuyển “đồng phạm rút tiền” để rửa tiền và bán lại tài sản số.

Những tài khoản có lịch sử mua sắm đang hoạt động được định giá cao vì quá giống hành vi hợp pháp và rất khó phát hiện.

Theo các chuyên gia cấp cao của Fortinet là Bhumit Mali và Aamir Lakhani, bức tranh tổng thể cho thấy tốc độ tấn công nhanh hơn, mức tự động hóa cao, công cụ tấn công dễ tiếp cận, dữ liệu bị đánh cắp được thương mại hóa mạnh, lỗ hổng TMĐT lan rộng. Đây không chỉ là vấn đề mùa lễ, mà là xu hướng sẽ tiếp tục trong năm 2026. Các Giám đốc an ninh thông tin (CISO) và đội ngũ an ninh cần chuẩn bị chiến lược lâu dài./.