Theo China News, kịch bản lừa đảo trên không gian mạng ngày nay thường bắt đầu rất “đời thường”: một thông báo tài khoản QQ, Apple ID hay Xiaomi bị đăng nhập từ nơi xa; một cuộc gọi từ “nhân viên ngân hàng” đọc chính xác số tài khoản và thông báo bị trừ tiền nhầm; hay một email xác nhận đơn hàng Taobao kèm tệp đính kèm trông hoàn toàn bình thường.
Chỉ cần người dùng làm theo hướng dẫn hoặc mở tệp, tiền trong tài khoản có thể “không cánh mà bay”. Những tình huống như vậy xuất hiện dày đặc, biến lừa đảo mạng thành rủi ro thường trực trong đời sống số.
Điều khiến nhiều nạn nhân hoang mang không chỉ là mất tiền, mà là cảm giác bị “lột trần” thông tin cá nhân: từ tên, số điện thoại, địa chỉ, thói quen mua sắm cho đến tài khoản ngân hàng. Câu hỏi đặt ra là: vì sao kẻ xấu lại nắm rõ dữ liệu của nạn nhân đến như vậy, và những thông tin ấy đã rơi vào tay chúng bằng con đường nào?
Triệu Vũ, một chuyên gia an ninh mạng Trung Quốc với nhiều năm lăn lộn trong giới, từng trực tiếp chứng kiến mặt tối đó. Ông không chỉ phân tích tấn công, mà còn nhiều lần “tấn công ngược” vào máy chủ của hacker, lấy lại dữ liệu cá nhân bị đánh cắp rồi gọi điện cảnh báo từng nạn nhân đổi mật khẩu.
Có lần, sau khi phá giải một cơ sở dữ liệu bị chiếm qua trạm gốc giả, ông mang toàn bộ thông tin đến trình báo cảnh sát. Khi bị hỏi “Anh có phải nạn nhân không?”, ông trả lời “Không”. Câu đáp lại của cảnh sát: “Nạn nhân chưa báo, anh báo làm gì?”, cho thấy khoảng trống lớn giữa tội phạm mạng và cơ chế xử lý truyền thống.
Năm 2015, Triệu Vũ thành lập công ty an ninh Bạch Mạo Hội, chuyên cung cấp tình báo để đối phó rò rỉ thông tin và tội phạm mạng. Điểm đặc biệt là cách tiếp cận rất “bình dân” nhưng hiệu quả: kết nối hàng nghìn hacker mũ trắng, những người làm việc hợp pháp trong lĩnh vực an ninh, thâm nhập sâu vào thế giới ngầm để nắm bắt động thái tội phạm.
Theo ông, bản thân không quan tâm họ tiếp cận thông tin bằng cách nào, nhiệm vụ của công ty là xác minh, kiểm chứng và biến dữ liệu thô thành cảnh báo có giá trị. Chính vì sở hữu nguồn tin độc quyền và nhạy cảm, Bạch Mạo Hội được ví như “thám tử tư” trong giới an ninh mạng.
Tại một hội nghị về giải pháp tình báo an ninh, Triệu Vũ đã bóc tách con đường phổ biến khiến dữ liệu cá nhân bị lộ. Theo ông, nguồn rò rỉ thường đến từ các trang thương mại điện tử, diễn đàn hoặc dịch vụ trực tuyến – nơi người dùng buộc phải nhập địa chỉ, số thẻ và thông tin cá nhân, sau đó được lưu trữ trên máy chủ. Hacker xâm nhập bằng cách khai thác “lỗ hổng” bảo mật, những điểm yếu cho phép vượt qua hệ thống phòng vệ. Có lỗ hổng cho phép vào sâu “trái tim” hệ thống, có lỗ chỉ dừng ở vòng ngoài; có loại phổ biến, có loại chỉ tồn tại trên vài website.
Trong thế giới ngầm, sự khác biệt giữa hacker mũ trắng và mũ đen nằm ở cách sử dụng lỗ hổng. Mũ trắng báo cho doanh nghiệp để vá lỗi, còn mũ đen bán lỗ hổng hoặc trực tiếp khai thác để tấn công. Mỗi lỗ hổng đều có “chu kỳ sống”: khoảng thời gian từ khi bị phát hiện đến khi được vá chính là “thời kỳ vàng” cho tội phạm.
Nếu chỉ một nhóm nhỏ biết, cả thế giới chưa hay, đó là lỗ hổng 0Day – nguy hiểm nhất. Ngay cả các lỗ hổng cũ, gọi là NDay, vẫn tiếp tục bị khai thác vì nhiều doanh nghiệp chậm vá, do chi phí cao hoặc đánh giá thấp rủi ro.
Hậu quả là dữ liệu cá nhân bị thu gom thành những “kho” khổng lồ. Tội phạm mạng sử dụng kỹ thuật “dò kho”, lấy tài khoản – mật khẩu có sẵn thử đăng nhập hàng loạt website.
Do thói quen dùng chung mật khẩu, chỉ từ một email bị lộ, hacker có thể truy cập Apple ID, Taobao, nắm được thông tin ngân hàng, địa chỉ, thậm chí đánh cắp mã OTP thông qua email lừa đảo. Chuỗi tấn công “lỗ hổng – rò rỉ – dò kho” đã khiến hơn 2 tỷ tài khoản mật khẩu bị lưu hành trong thế giới ngầm tại Trung Quốc.
Nhóm của Triệu Vũ từng triệt phá khoảng 1.900 website lừa đảo, thu được dữ liệu đầy đủ của hơn 16.000 nạn nhân, bao gồm tên, số thẻ, mật khẩu, CMND, địa chỉ và số điện thoại. Chỉ với chừng đó thông tin, việc chiếm đoạt tài sản gần như không gặp trở ngại. Trong một phóng sự của chương trình CCTV 315, các chuyên gia cho thấy chỉ cần cài một ứng dụng do hacker gửi, toàn bộ cuộc gọi và tin nhắn trong điện thoại có thể bị theo dõi – điều hoàn toàn khả thi về mặt kỹ thuật.
Theo Triệu Vũ, mức độ cao nhất của tấn công không phải là phá hệ thống, mà là thao túng con người. Khi hacker chiếm được tài khoản nội bộ, họ có thể đăng nhập “hợp pháp” và âm thầm lấy dữ liệu mà không hệ thống nào phát hiện.
Cách duy nhất để đối phó, theo ông, là tấn công ngược: lần theo kênh nhận dữ liệu của hacker, truy ra danh tính thật ngoài đời và đưa ra pháp luật. Quy trình ấy giống hệt cách hacker mũ đen săn nạn nhân, chỉ khác ở mục tiêu cuối cùng không phải lừa đảo, mà là trừng phạt.
