Tài khoản của bạn có thể đang bị rao bán trên mạng đen — Khám phá toàn bộ chuỗi dữ liệu bị đánh cắp

Mỗi lần bạn nhập tài khoản và mật khẩu trên trang lừa đảo, chúng có thể bị rao bán trên dark web với giá chưa đến trăm đô la. Đây không phải là lời đồn đại vô căn cứ, mà là một chuỗi ngành công nghiệp hoàn chỉnh đã được xây dựng bởi tội phạm mạng. Bài viết này theo dõi toàn bộ quá trình dữ liệu bị đánh cắp từ thu thập, luân chuyển đến sử dụng cuối cùng, tiết lộ hoạt động kinh doanh đen phía sau giao dịch dữ liệu trên dark web.

Dữ liệu bị đánh cắp như thế nào?

Trước khi cuộc tấn công phishing thực sự bắt đầu, kẻ tấn công cần thiết lập một “thiết bị” để thu thập dữ liệu. Phân tích các trang phishing thực tế cho thấy, tội phạm mạng chủ yếu sử dụng ba phương thức để lấy thông tin bạn nhập trên các trang giả mạo:

Phương thức 1: Chuyển tiếp email (đang dần bị loại bỏ)

Sau khi nạn nhân nhập dữ liệu vào biểu mẫu trên trang phishing, thông tin này sẽ tự động gửi đến email do kẻ tấn công kiểm soát qua script PHP. Đây là phương pháp truyền thống nhất, nhưng cũng tồn tại những điểm yếu chết người — trễ gửi email, dễ bị chặn, máy chủ gửi thư dễ bị cấm. Vì vậy, phương pháp này đang dần bị thay thế bằng các thủ thuật kín đáo hơn.

Chúng tôi từng phân tích một bộ công cụ phishing nhắm vào người dùng DHL. Trong đó, script tự động chuyển tiếp địa chỉ email và mật khẩu của nạn nhân đến một email chỉ định, nhưng do nhiều hạn chế của email, loại thao tác này đã trở nên lỗi thời.

Phương thức 2: Robot Telegram (ngày càng phổ biến)

Khác với email, kẻ tấn công sử dụng bot Telegram sẽ nhúng một liên kết API trong mã, chứa token của bot và ID chat. Khi nạn nhân gửi thông tin, dữ liệu sẽ được đẩy trực tiếp đến bot và người điều khiển sẽ nhận được thông báo ngay lập tức.

Tại sao phương thức này được ưa chuộng hơn? Vì bot Telegram khó bị truy tìm và cấm hơn, đồng thời hiệu năng không phụ thuộc vào chất lượng hosting của trang phishing. Thậm chí, kẻ tấn công còn có thể dùng bot dùng một lần, giảm thiểu rủi ro bị bắt giữ.

Phương thức 3: Bảng điều khiển tự động (chuyên nghiệp nhất)

Các nhóm tội phạm tinh vi hơn sẽ mua hoặc thuê các framework phishing chuyên dụng như BulletProofLink hoặc các nền tảng thương mại như Caffeine. Những “nền tảng dưới dạng dịch vụ” này cung cấp cho kẻ tấn công một bảng điều khiển web — tất cả dữ liệu bị đánh cắp sẽ được tổng hợp vào một cơ sở dữ liệu trung tâm.

Các bảng điều khiển này thường có các chức năng mạnh mẽ: thống kê thành công theo quốc gia, theo thời gian, tự động xác thực tính hợp lệ của dữ liệu bị đánh cắp, hỗ trợ xuất dữ liệu nhiều định dạng. Đối với các tổ chức tội phạm có hệ thống, đây là công cụ quan trọng để nâng cao hiệu quả. Đáng chú ý, một chiến dịch phishing thường sử dụng nhiều phương thức thu thập cùng lúc.

Dữ liệu bị rò rỉ gồm những gì? Giá trị khác nhau ra sao?

Không phải tất cả dữ liệu bị đánh cắp đều có giá trị như nhau. Trong tay tội phạm, các dữ liệu này được phân thành các cấp độ khác nhau, tương ứng với các mức giá và mục đích sử dụng khác nhau.

Dựa trên phân tích thống kê trong năm qua, chúng tôi nhận thấy phân bố mục tiêu của các cuộc tấn công phishing như sau:

• Thông tin đăng nhập trực tuyến (88.5%): Tên đăng nhập và mật khẩu. Đây là loại dữ liệu bị đánh cắp phổ biến nhất, vì ngay cả chỉ có email hoặc số điện thoại, cũng có giá trị đối với kẻ tấn công — họ có thể dùng để phục hồi tài khoản hoặc thực hiện các cuộc phishing tiếp theo.

• Thông tin cá nhân (9.5%): Họ tên, địa chỉ, ngày sinh, v.v. Loại dữ liệu này thường được dùng trong các cuộc tấn công xã hội, hoặc kết hợp với dữ liệu khác để thực hiện lừa đảo chính xác hơn.

• Thông tin thẻ ngân hàng (2%): Số thẻ, hạn sử dụng, mã CVV, v.v. Dù tỷ lệ nhỏ nhất, nhưng giá trị cao nhất, nên được bảo vệ nghiêm ngặt.

Giá trị cụ thể của dữ liệu còn phụ thuộc vào các thuộc tính bổ sung của tài khoản — tuổi tài khoản, số dư, có bật xác thực hai yếu tố (2FA) hay không, phương thức thanh toán liên kết, v.v. Một tài khoản mới đăng ký, số dư 0, chưa bật 2FA gần như không có giá trị gì, nhưng một tài khoản lâu năm, có nhiều lịch sử mua hàng, liên kết thẻ ngân hàng thật, có thể trị giá hàng trăm đô la.

Thương trường trên dark web: dữ liệu “từ đánh cắp đến bán”

Dữ liệu bị đánh cắp cuối cùng sẽ đi vào dark web. Có chuyện gì xảy ra ở đây? Hãy theo dõi chuỗi ngành công nghiệp bí mật này:

Bước 1: Đóng gói và bán buôn dữ liệu

Dữ liệu bị đánh cắp không được sử dụng ngay sau khi thu thập, mà sẽ đóng gói thành các file nén — thường chứa hàng triệu bản ghi từ các vụ phishing và rò rỉ dữ liệu khác nhau. Những “gói dữ liệu” này được bán với giá rẻ trên các diễn đàn dark web, có thể chỉ 50 đô la.

Ai mua những dữ liệu này? Không phải hacker trực tiếp thực hiện lừa đảo, mà là các nhà phân tích dữ liệu trên dark web — các trung gian trong chuỗi cung ứng.

Bước 2: Phân loại, xác thực và xây dựng hồ sơ

Nhà phân tích dữ liệu sẽ xử lý dữ liệu mua vào. Họ phân loại theo loại (email, số điện thoại, thẻ ngân hàng, v.v.), rồi chạy các script tự động để xác thực — kiểm tra xem mật khẩu Facebook có thể đăng nhập vào Steam hoặc Gmail không.

Bước này cực kỳ quan trọng, vì người dùng thường dùng cùng hoặc mật khẩu tương tự trên nhiều trang web. Dữ liệu cũ bị rò rỉ từ vài năm trước vẫn có thể mở khóa các tài khoản khác ngày nay. Những tài khoản đã xác thực, vẫn còn đăng nhập được, sẽ có giá cao hơn khi bán lại.

Ngoài ra, các nhà phân tích còn liên kết, tổng hợp dữ liệu từ các cuộc tấn công khác nhau. Một mật khẩu rò rỉ từ mạng xã hội cũ, một danh sách đăng nhập từ biểu mẫu phishing, một số điện thoại còn lưu trên trang lừa đảo — những mảnh ghép tưởng chừng không liên quan này được ghép thành hồ sơ số hoàn chỉnh về một người dùng cụ thể.

Bước 3: Bán chuyên nghiệp trên thị trường dark web

Dữ liệu đã xác thực và xử lý sẽ được đăng bán trên các diễn đàn dark web hoặc kênh Telegram — các “cửa hàng online” này hiển thị giá, mô tả hàng hóa và đánh giá của khách hàng, chẳng khác gì các trang thương mại điện tử.

Giá bán tài khoản rất chênh lệch. Một tài khoản mạng xã hội đã xác thực có thể chỉ giá 1-5 đô la, nhưng một tài khoản ngân hàng online có lịch sử dài, liên kết thẻ thật, bật 2FA, số dư cao, có thể trị giá hàng trăm đô la. Giá phụ thuộc vào nhiều yếu tố: tuổi tài khoản, số dư, phương thức thanh toán liên kết, trạng thái 2FA, và độ nổi tiếng của nền tảng.

Bước 4: Săn mục tiêu cao giá trị chính xác

Dữ liệu trên dark web không chỉ dùng để lừa đảo quy mô lớn, mà còn để tấn công mục tiêu chính xác “whale phishing”. Đây là hình thức tấn công có mục tiêu hướng vào các lãnh đạo doanh nghiệp, kế toán hoặc quản trị hệ thống IT có giá trị cao.

Hãy tưởng tượng: Một công ty A bị rò rỉ dữ liệu, trong đó có thông tin của một nhân viên đã nghỉ việc, nay là lãnh đạo công ty B. Kẻ tấn công dùng OSINT phân tích, xác định vị trí và email của người này. Sau đó, họ gửi email phishing giả mạo từ CEO của công ty B, thậm chí trích dẫn các chi tiết từ công ty cũ — tất cả đều lấy từ dữ liệu mua trên dark web. Cách này làm giảm đáng kể cảnh giác của nạn nhân, mở ra cơ hội xâm nhập toàn bộ hệ thống của công ty B.

Tương tự, các cuộc tấn công còn nhắm vào cá nhân có số dư tài khoản ngân hàng cao, hoặc sở hữu giấy tờ quan trọng (như hồ sơ vay ngân hàng).

Sự thật đáng sợ về dữ liệu bị đánh cắp

Dữ liệu bị đánh cắp giống như một món hàng không bao giờ bị tiêu hủy — nó được tích lũy, tổng hợp, đóng gói lại rồi tái sử dụng nhiều lần. Một khi dữ liệu của bạn đã vào dark web, nó có thể bị khai thác để tấn công chính xác, tống tiền hoặc chiếm đoạt danh tính trong vài tháng, thậm chí nhiều năm sau đó.

Đây không phải là lời đồn đại vô căn cứ. Đó chính là thực tế của môi trường mạng ngày nay.

Các biện pháp phòng vệ cần làm ngay bây giờ

Nếu bạn chưa có biện pháp bảo vệ tài khoản của mình, hãy bắt đầu ngay:

Hành động ngay lập tức (ngăn chặn rò rỉ dữ liệu):

1. Đặt mật khẩu duy nhất cho từng tài khoản. Đây là bước cơ bản nhưng hiệu quả nhất. Nếu một nền tảng bị rò rỉ, các tài khoản khác của bạn vẫn an toàn.
2. Bật xác thực hai yếu tố (MFA/2FA) ở tất cả các dịch vụ hỗ trợ, để ngăn chặn kẻ tấn công dù có lấy được mật khẩu của bạn.
3. Thường xuyên kiểm tra xem dữ liệu của bạn có bị rò rỉ không. Truy cập các dịch vụ như Have I Been Pwned để kiểm tra xem email của bạn có nằm trong các vụ rò rỉ dữ liệu đã biết không.

Các biện pháp khắc phục khi trở thành nạn nhân:

1. Nếu thông tin thẻ ngân hàng bị rò rỉ, gọi ngay ngân hàng để khóa thẻ và yêu cầu phát hành lại.
2. Thay đổi mật khẩu của các tài khoản bị xâm phạm, đồng thời cập nhật lại các dịch vụ dùng chung mật khẩu đó.
3. Kiểm tra lịch sử đăng nhập của tài khoản, chấm dứt các phiên đăng nhập đáng ngờ.
4. Nếu tài khoản mạng xã hội hoặc nhắn tin bị chiếm quyền, thông báo cho người thân để cảnh giác các tin giả mạo gửi từ bạn.
5. Cảnh giác với mọi email, cuộc gọi hoặc ưu đãi bất thường — chúng có thể trông đáng tin, vì kẻ tấn công đã khai thác dữ liệu của bạn trên dark web để tạo ra các chiêu trò lừa đảo.

Sự tồn tại của thị trường dark web đã thay đổi quy tắc chơi của tội phạm mạng. Dữ liệu không còn là chiến lợi phẩm dùng một lần nữa, mà là hàng hóa có thể tái sử dụng nhiều lần. Cách tốt nhất để bảo vệ chính mình là bắt đầu hành động ngay bây giờ, chứ đừng đợi đến khi bị tấn công rồi mới hối tiếc.