Tấn công mạng nghiêm trọng: Nguy cơ từ Social Engineering và Mã độc
Tính đến ngày 21 tháng 2 năm 2026, đã tròn một năm kể từ khi các tác nhân đe dọa liên kết với một nhóm tấn công gây ra vụ trộm tiền mã hóa lớn nhất được xác nhận trong lịch sử từ sàn giao dịch Bybit có trụ sở tại Dubai, với tổng giá trị khoảng 1,46 tỷ USD. Vụ tấn công mạng này không làm chậm các hoạt động của nhóm mà ngược lại, chúng ngày càng trở nên tích cực hơn, tiếp tục các chiến dịch chống lại ngành công nghiệp tiền mã hóa toàn cầu.
Mối Đe Dọa Mạng Từ Các Nhóm Tấn Công Leo Thang
Trong năm 2025, các chiến dịch liên quan đến nhóm tấn công này đã đánh cắp một kỷ lục 2 tỷ USD tài sản tiền mã hóa, nâng tổng số tiền đã biết lên hơn 6 tỷ USD. Các quỹ này được cho là tài trợ trực tiếp cho các chương trình phát triển vũ khí của nhóm. Chỉ riêng tháng 1 năm 2026, số vụ khai thác đã tăng gấp đôi so với cùng kỳ năm trước.
Mối đe dọa không còn chỉ nhắm vào các sàn giao dịch. Các nhà phát triển, những người đóng góp dự án và bất kỳ ai có quyền truy cập vào cơ sở hạ tầng tiền mã hóa đều có nguy cơ bị tấn công.
Kỹ Thuật Social Engineering: Vector Tấn Công Chính
Các nhà nghiên cứu tại Elliptic đã xác định rằng social engineering vẫn là vector tấn công chính trong mọi sự cố lớn liên quan đến nhóm tấn công, từ vụ vi phạm Bybit cho đến các vụ khai thác gần đây nhất. Mặc dù các vụ trộm này đòi hỏi kỹ năng kỹ thuật đáng kể, điểm xâm nhập đầu tiên gần như luôn là yếu tố con người. Hiện nay, các tác nhân đe dọa còn sử dụng AI để tạo ra các danh tính và liên lạc giả mạo đầy thuyết phục, khiến việc phát hiện trở nên khó khăn hơn nhiều.
Chiến Lược Rửa Tiền Mã Hóa Sau Khi Xâm Nhập Hệ Thống
Số tiền từ vụ Bybit đã được rửa thông qua các địa chỉ hoàn tiền, việc tạo token vô giá trị và các dịch vụ trộn đa dạng, với phần lớn số tiền được chuyển qua các dịch vụ giao dịch qua quầy (OTC) bị nghi ngờ hoạt động tại Trung Quốc. Đến tháng 8 năm 2025, hơn 1 tỷ USD đã được xử lý. Vụ tấn công Bybit không phải là một kết thúc, mà là một bước ngoặt cho một chiến dịch vẫn đang tiếp tục leo thang.
Chiến Dịch “DangerousPassword”
Chiến dịch này bắt đầu bằng việc một tài khoản mạng xã hội bị xâm nhập liên hệ với mục tiêu, thường là đề cập đến một sự kiện chung trong quá khứ và đề xuất một cuộc gọi video. Khi nạn nhân kết nối qua Zoom hoặc Microsoft Teams, họ sẽ thấy một lỗi âm thanh giả mạo.
Giải pháp được đề xuất – cài đặt một bộ phát triển phần mềm (SDK) thông qua dòng lệnh – thực chất triển khai mã độc thu thập khóa riêng, cụm từ hạt giống (seed phrases) và mật khẩu của người dùng.
Chiến Dịch “Contagious Interview”
Chiến dịch này sử dụng các cơ hội việc làm giả mạo để dụ dỗ các mục tiêu. Trong quá trình giả mạo onboarding, nạn nhân được yêu cầu chạy một bài kiểm tra kỹ năng kỹ thuật thông qua một kho mã nguồn. Kho mã nguồn này chứa mã độc ẩn.
Cả hai chiến dịch này đã tạo ra 37,5 triệu USD từ ngày 1 tháng 1 đến giữa tháng 2 năm 2026. Bất kỳ ai chạy mã độc bị nhiễm trên thiết bị công ty đều đặt toàn bộ tổ chức vào rủi ro.
Các Biện Pháp Phòng Ngừa và Bảo Vệ Hệ Thống Khỏi Các Cuộc Tấn Công Mạng
Để giảm thiểu rủi ro từ các cuộc tấn công mạng và các chiến dịch social engineering tinh vi, các tổ chức cần thực hiện các biện pháp phòng ngừa nghiêm ngặt:
- Xác minh tất cả các yêu cầu cài đặt phần mềm: Luôn kiểm tra tính hợp lệ của nguồn gốc và tính cần thiết của bất kỳ phần mềm nào được yêu cầu cài đặt, đặc biệt là trên các thiết bị công ty.
- Kiểm tra kỹ lưỡng danh tính của người đóng góp từ xa: Thực hiện quy trình xác minh danh tính chặt chẽ cho tất cả nhân viên hoặc đối tác làm việc từ xa, đặc biệt là những người có quyền truy cập vào các hệ thống nhạy cảm.
- Cảnh giác với các lời mời làm việc không mong muốn: Xử lý các lời mời làm việc không được yêu cầu hoặc có vẻ quá tốt để là sự thật với sự thận trọng cao nhất, vì đây là một chiến thuật phổ biến để triển khai mã độc.
Việc nâng cao nhận thức về an ninh mạng và đào tạo nhân viên về các mối đe dọa social engineering là yếu tố then chốt để bảo vệ tài sản số của tổ chức khỏi các cuộc tấn công mạng ngày càng phức tạp.
