Giới tội phạm mạng giờ không chỉ nhắm vào các mục tiêu lớn nữa. Chúng đang tấn công tất cả mọi người, và vũ khí chính là loại mã độc có tên “infostealer malware”. Đây là những chương trình nhỏ gọn, lén lút, chuyên đi đánh cắp mật khẩu, dữ liệu trình duyệt và các thông tin đăng nhập từ thiết bị cá nhân của người dùng.
Một báo cáo mới đây cho thấy mức độ nghiêm trọng của vấn đề này. Chỉ trong một năm, hoạt động của infostealer đã tăng vọt 500%, thu về hơn 1,7 tỷ thông tin đăng nhập mới toanh.
Theo tin từ Fox News ngày 8/5/2025, các nhà nghiên cứu an ninh mạng tại Fortinet đã ghi nhận sự gia tăng đáng kinh ngạc của dữ liệu đăng nhập bị đánh cắp và rao bán trên dark web trong năm 2024. Hơn 1,7 tỷ thông tin này không phải từ các vụ rò rỉ cũ, mà là kết quả của việc lây nhiễm trực tiếp trên thiết bị của người dùng.
Cốt lõi của vấn nạn này là infostealer malware. Chúng được thiết kế để trích xuất thông tin nhạy cảm như tên người dùng, mật khẩu, cookie trình duyệt, thông tin ví tiền mã hóa và cả các “session token” (mã phiên đăng nhập). Khác với các vụ tấn công dữ liệu quy mô lớn nhắm vào máy chủ công ty, infostealer hoạt động trên từng máy tính cá nhân. Chúng không đột nhập vào server của doanh nghiệp mà tấn công trực tiếp người dùng cuối, thường là nạn nhân còn không hề hay biết.
Những dữ liệu đánh cắp được sau đó sẽ được tổng hợp và bán bởi các “nhà môi giới truy cập ban đầu”. Những người này bán thông tin đăng nhập và mã truy cập đã bị xâm nhập cho các nhóm tội phạm mạng khác, bao gồm cả những kẻ chuyên tấn công ransomware. Thị trường này đã phát triển đến mức bạn có thể mua quyền truy cập vào VPN của công ty, bảng điều khiển quản trị, hoặc thậm chí là tài khoản ngân hàng cá nhân với số lượng lớn, có xác minh chức năng và giá cả theo từng khu vực.
Báo cáo Cảnh quan Đe dọa Toàn cầu 2025 của Fortinet chỉ ra mức tăng 500% trong các bản ghi thông tin đăng nhập từ các vụ lây nhiễm infostealer trong năm qua. Một số loại infostealer phổ biến và nguy hiểm nhất được nêu tên là RedLine, Vidar và Raccoon.
Infostealer thường lây lan qua email lừa đảo (phishing), tiện ích mở rộng trình duyệt độc hại, trình cài đặt phần mềm giả mạo hoặc các ứng dụng “crack”. Sau khi xâm nhập thiết bị, chúng quét cơ sở dữ liệu trình duyệt, mục tự động điền, mật khẩu đã lưu và các tệp cục bộ để tìm kiếm bất kỳ dữ liệu liên quan đến thông tin đăng nhập nào. Nhiều loại còn tìm kiếm ví kỹ thuật số, thông tin FTP và đăng nhập dịch vụ đám mây.
Điều đáng chú ý là nhiều infostealer còn đánh cắp cả session token và cookie xác thực. Điều này có nghĩa là ngay cả những người dùng đã bật xác thực hai yếu tố (2FA) cũng chưa hoàn toàn an toàn. Với session token bị đánh cắp, kẻ tấn công có thể vượt qua 2FA và kiểm soát phiên làm việc mà không cần phải đăng nhập thủ công.
Sau khi thu thập, dữ liệu được tải lên máy chủ điều khiển. Từ đó, chúng có thể được sử dụng trực tiếp bởi kẻ tấn công hoặc đóng gói thành các bản ghi và bán trên các diễn đàn ngầm. Những bản ghi này có thể chứa mọi thứ từ địa chỉ IP, vị trí địa lý của nạn nhân đến dấu vân tay trình duyệt và danh sách thông tin đăng nhập đầy đủ, cung cấp cho kẻ tấn công mọi thứ cần thiết để tiếp tục khai thác hoặc mạo danh.
Với mối đe dọa từ infostealer malware ngày càng lớn, việc bảo vệ dữ liệu của bạn đòi hỏi sự kết hợp giữa thói quen an ninh thông minh và các công cụ đáng tin cậy. Dưới đây là một số cách hiệu quả để giữ an toàn cho thông tin của bạn:
- **Sử dụng trình quản lý mật khẩu:** Nhiều infostealer nhắm vào mật khẩu được lưu trong trình duyệt web. Thay vì dựa vào trình duyệt, hãy dùng một trình quản lý mật khẩu chuyên dụng.
- **Bật xác thực hai yếu tố (2FA):** Ngay cả khi thông tin đăng nhập của bạn bị đánh cắp, 2FA thêm một lớp bảo mật bằng cách yêu cầu xác minh thứ hai (ví dụ: mã từ ứng dụng xác thực hoặc xác nhận sinh trắc học). Kẻ tấn công dựa vào tên người dùng và mật khẩu để đột nhập, nhưng với 2FA, chúng không thể truy cập nếu thiếu bước bảo mật bổ sung này. Hãy bật 2FA cho các tài khoản quan trọng như email, ngân hàng và công việc.
- **Dùng phần mềm diệt virus mạnh và cẩn thận khi tải xuống/nhấp link:** Infostealer malware thường lây lan qua các tệp tải xuống độc hại, email lừa đảo và trang web giả mạo. Tránh tải phần mềm hoặc tệp từ các nguồn không đáng tin cậy và luôn kiểm tra kỹ các liên kết trước khi nhấp. Kẻ tấn công thường ngụy trang mã độc dưới dạng phần mềm hợp pháp, mã gian lận game hoặc ứng dụng bẻ khóa, vì vậy tốt nhất là chỉ tải xuống từ các trang web và cửa hàng ứng dụng chính thức. Việc có phần mềm diệt virus mạnh trên tất cả thiết bị là cách tốt nhất để bảo vệ bạn khỏi các liên kết độc hại có thể cài đặt mã độc.
- **Luôn cập nhật phần mềm:** Tội phạm mạng khai thác các lỗ hổng trong phần mềm cũ để phát tán mã độc. Việc cập nhật hệ điều hành, trình duyệt và phần mềm bảo mật đảm bảo các lỗ hổng đã biết được vá. Hãy bật cập nhật tự động bất cứ khi nào có thể.
- **Cân nhắc dịch vụ gỡ bỏ dữ liệu cá nhân:** Các dịch vụ này giúp xóa thông tin cá nhân của bạn khỏi các trang web môi giới dữ liệu, giảm nguy cơ bị đánh cắp danh tính, thư rác và các vụ lừa đảo có mục tiêu. Mặc dù không có dịch vụ nào đảm bảo xóa sạch dữ liệu hoàn toàn khỏi internet, đây vẫn là một lựa chọn thông minh để bảo vệ quyền riêng tư của bạn.
Tóm lại, 1,7 tỷ mật khẩu bị rò rỉ trong năm 2024 không phải là tàn dư của các vụ tấn công cũ. Chúng là bằng chứng cho thấy nền kinh tế tội phạm mạng đang phát triển và công nghiệp hóa, được xây dựng dựa trên những người dùng không hề hay biết và các thiết bị bị lây nhiễm một cách âm thầm. Các công cụ thì rẻ, quy mô thì lớn, và tác động thì rất cá nhân. Nếu bạn đã từng lưu mật khẩu trong trình duyệt, tải xuống một ứng dụng không chính thức hoặc nhấp vào một liên kết đáng ngờ trong email, thông tin đăng nhập của bạn có thể đã nằm trong vòng luân chuyển rồi.
Theo Kurt Knutsson, chuyên gia từ CyberGuy Report của Fox News, việc bảo vệ dữ liệu cá nhân và tổ chức khỏi các mối đe dọa mạng là trách nhiệm chung, không chỉ của người dùng cá nhân mà còn cả các công ty, nhà cung cấp phần mềm và cơ quan chính phủ.
