CIC bị tấn công mạng: Chuyên gia khuyến cáo tới người dùng cá nhân

ANTD.VN -  Theo thông tin từ databreaches.net, vụ việc Trung tâm Thông tin Tín dụng Quốc gia (CIC) bị tấn công mạng được cho là có thể liên quan đến ShinyHunters – nhóm tin tặc quốc tế nổi tiếng với hàng loạt vụ tấn công dữ liệu lớn trên thế giới.

• CIC bị hacker tấn công, VNCERT khuyến cáo khẩn

ShinyHunters hoạt động chuyên nghiệp và rất bài bản

ShinyHunters là ai?

Các diễn đàn an ninh mạng uy tín cho biết, ShinyHunters là một nhóm tội phạm mạng quốc tế xuất hiện từ năm 2020, nổi bật với các vụ chiếm đoạt dữ liệu cá nhân và tài chính từ nền tảng công nghệ, thương mại điện tử và dịch vụ trực tuyến. Nhóm này hoạt động có tổ chức, nhắm vào hệ thống quan trọng, lợi dụng lỗ hổng kỹ thuật và sơ hở nhân sự, đồng thời duy trì mức độ ẩn danh cao.

Một số thành viên từng bị bắt và xét xử ở nhiều quốc gia, nhưng nhóm vẫn tiếp tục hoạt động, chứng tỏ sự tinh vi và nguy hiểm của chúng. Để thương mại hóa dữ liệu, ShinyHunters tích cực sử dụng các diễn đàn dark web như RaidForums và BreachForums, bán dữ liệu đánh cắp và phát hành một phần miễn phí nhằm tăng uy tín.

Mỗi lần các diễn đàn bị tịch thu hoặc quản trị viên bị bắt, nhóm này nhanh chóng khởi động lại, duy trì quyền kiểm soát và tiếp tục các hoạt động bất chấp sự can thiệp của cơ quan thực thi pháp luật.

Ngoài ra, ShinyHunters còn thiết lập liên kết gián tiếp với các nhóm như Scattered Spider, hình thành một mạng lưới tội phạm mạng quốc tế. Sự hợp tác này giúp nhóm mở rộng phạm vi, phối hợp trong các chiến dịch lớn và khai thác dữ liệu chiến lược hiệu quả hơn, đồng thời cho thấy các tổ chức tội phạm mạng hiện nay hoạt động theo một hệ sinh thái phức tạp, khó kiểm soát.

Các vụ xâm nhập gây chấn động ShinyHunters​

ShinyHunters bắt đầu gây chú ý toàn cầu vào năm 2020, khi xâm nhập Tokopedia, sàn thương mại điện tử lớn của Indonesia, chiếm đoạt dữ liệu của 91 triệu người dùng, bao gồm thông tin cá nhân, email, mật khẩu và dữ liệu tài chính.

Đồng thời, Zynga tại Mỹ cũng trở thành nạn nhân với khoảng 218 triệu tài khoản bị đánh cắp, trong khi GiveMeSport tại Anh mất khoảng 1 triệu tài khoản. Minecraft Forums và Star Tribune cũng nằm trong danh sách các nạn nhân, với hàng triệu tài khoản bị lộ dữ liệu, cho thấy bọn chúng hoạt động liên tục và quy mô lớn.

Sang năm 2021, Microsoft trở thành mục tiêu khi bọn chúng xâm nhập Office 365 dành cho học sinh và giáo viên, chiếm khoảng 500.000 hồ sơ gồm email, tên và mật khẩu hash.

Tiếp theo năm 2022, bọn chúng tiếp tục mở rộng phạm vi tấn công với vụ việc tại Bonobos, một chuỗi cửa hàng thời trang nổi tiếng, dẫn đến rò rỉ khoảng 70GB dữ liệu nhạy cảm của khách hàng.

Không dừng lại, trong năm 2023, bọn ShinyHunters tiếp tục gây chú ý khi tiếp quản BreachForums, diễn đàn chuyên chia sẻ dữ liệu bị rò rỉ, sau khi người sáng lập trước đó bị bắt giữ, cho thấy bọn chúng không chỉ tấn công trực tiếp mà còn mở rộng tầm ảnh hưởng trên mạng.

Năm 2024, bọn chúng nhắm tới Ticketmaster, nền tảng bán vé lớn. Chúng đánh cắp hơn một terabyte dữ liệu khách hàng, bao gồm thông tin cá nhân, lịch sử mua vé và chi tiết thanh toán. Vụ việc này không chỉ gây thiệt hại về mặt uy tín cho Ticketmaster mà còn đặt ra cảnh báo về việc bảo vệ dữ liệu khách hàng trong các dịch vụ trực tuyến phổ biến.

Đến năm 2025, bọn chúng tiếp tục mở rộng phạm vi khi tấn công Salesforce và một số khách hàng doanh nghiệp quan trọng như Google, Qantas và Allianz Life. Chúng khai thác sơ hở trong bảo mật và lừa nhân viên tiết lộ thông tin, từ đó thu thập dữ liệu nhạy cảm của nhiều doanh nghiệp lớn.

Chiến dịch này cho thấy bọn chúng không chỉ nhắm vào các công ty thương mại mà còn hướng tới các tổ chức có dữ liệu chiến lược, minh chứng cho sự tinh vi và nguy hiểm ngày càng gia tăng.

Các vụ tấn công của bọn ShinyHunters cho thấy chúng vận hành theo một chiến lược bài bản và đa tầng. Chúng nhắm tới những hệ thống chứa dữ liệu giá trị cao, từ nền tảng thương mại điện tử, dịch vụ giáo dục trực tuyến đến các tập đoàn quốc tế. Mục tiêu không chỉ là dữ liệu cá nhân mà còn là các thông tin chiến lược có thể được tổng hợp, thương mại hóa hoặc dùng cho các cuộc tấn công tiếp theo.

Theo các chuyên gia, ShinyHunters không chỉ dựa vào may rủi mà vận hành theo kế hoạch chi tiết, tận dụng kết hợp nhiều kỹ thuật để khai thác tối đa giá trị dữ liệu.

Nên làm gì để giảm thiệt hại?

Nói về vụ tấn công, chuyên gia an ninh mạng cho rằng, sự cố an ninh quy mô lớn hiếm khi là hệ quả của một “lỗi đơn độc”. Thay vào đó, nó thường là biểu hiện của một chuỗi đứt gãy: công nghệ cũ, quy trình quản lý lỏng lẻo và lỗ hổng ở yếu tố con người.

WhiteHat khuyến cáo người dùng cá nhân​ kiểm tra sao kê và cảnh báo giao dịch thường xuyên; bật cảnh báo tự động của ngân hàng; Dùng mật khẩu mạnh và khác nhau cho từng dịch vụ; bật xác thực đa yếu tố (ví dụ: mã gửi tới điện thoại) cho email và tài khoản ngân hàng; Không cung cấp mã OTP, mật khẩu qua điện thoại, email hoặc đường link nghi ngờ; Theo dõi báo cáo tín dụng; nếu có dịch vụ khóa hoặc cảnh báo hồ sơ tín dụng, hãy cân nhắc kích hoạt.

Đối với tổ chức tài chính và chủ hệ thống dữ liệu​, cần tắt hoặc hạn chế các dịch vụ công khai không cần thiết; tránh để dịch vụ lõi truy cập trực tiếp từ Internet.

Với phần mềm đã hết hạn hỗ trợ, nếu không thể vá ngay, phải áp dụng biện pháp bù đắp như tường lửa cho ứng dụng web, phân đoạn mạng và điểm quản trị trung gian; bắt buộc xác thực đa yếu tố cho tài khoản quản trị.

Rà soát quyền truy cập: cấp quyền theo nguyên tắc “tối thiểu cần thiết”, thay đổi mật khẩu và khóa định kỳ, kiểm tra các tài khoản dịch vụ và khóa API; Tăng cường giám sát: lưu nhật ký chi tiết, dùng hệ thống phát hiện xâm nhập và quản lý cảnh báo để phát hiện hành vi bất thường như truy vấn dữ liệu lớn hay tiến trình lạ; Chuẩn bị kịch bản ứng phó sự cố: thành lập đội ứng cứu, soạn sẵn kịch bản truyền thông và kênh liên lạc thẳng với khách hàng để giảm hoang mang khi có sự cố.

Các nhà quản lý / cơ quan điều phối​ cần thiết lập khung chỉ đạo khẩn cấp để điều phối điều tra, hỗ trợ nạn nhân và công bố thông tin minh bạch; Yêu cầu kiểm toán độc lập, bắt buộc loại bỏ hoặc nâng cấp hệ thống EOL trong hạ tầng trọng yếu; Bắt buộc hoặc khuyến khích chia sẻ IoC và threat intelligence giữa các tổ chức và cân nhắc hỗ trợ dịch vụ bảo vệ tín dụng tạm thời cho người dân (cảnh báo, khóa hồ sơ) nếu cần thiết.

Không có hệ thống nào hoàn toàn “tuyệt đối” nhưng chúng ta có thể thiết kế để rủi ro giảm xuống mức rất thấp bằng cách kết hợp nhiều lớp biện pháp và quy trình chặt chẽ.