Hoạt động trực tuyến luôn cao vào dịp lễ hội cuối năm. Nhưng năm nay, theo báo cáo tổng quan mối đe dọa an ninh mạng mùa lễ hội của FortiGuard Labs, tổ chức nghiên cứu thuộc công ty bảo mật Fortinet (Mỹ), khối lượng cơ sở hạ tầng độc hại mới được tạo ra, hoạt động xâm phạm tài khoản và tấn công hệ thống thương mại điện tử đang tăng đáng kể. Kẻ tấn công đã chuẩn bị từ nhiều tháng trước, tận dụng công cụ và dịch vụ chuyên dụng để mở rộng quy mô trên nhiều nền tảng, khu vực địa lý và ngành kinh doanh.
Báo cáo phân tích dữ liệu ba tháng qua, cung cấp thông tin cho các tổ chức và người tiêu dùng để chuẩn bị tốt hơn cho mùa kinh doanh và mua sắm trực tuyến sôi động cuối năm.
Minh họa tin tặc hoạt động trong dịp lễ hội cuối năm. Ảnh: Google Gemini
Tên miền lừa đảo
Một trong những dấu hiệu rõ nhất về hoạt động của tội phạm mạng trước kỳ nghỉ lễ là đăng ký tên miền. FortiGuard phát hiện hơn 18.000 tên miền theo chủ đề lễ hội được đăng ký trong ba tháng qua, gồm cụm từ như Christmas, Black Friday, Flash Sale, trong đó ít nhất 750 tên được xác nhận là độc hại. Điều này cho thấy nhiều tên miền vẫn được coi là không độc hại và trở thành rủi ro tiềm ẩn.
Số lượng tên miền giả mạo thương hiệu bán lẻ lớn cũng xuất hiện nhiều. Tin tặc đăng ký hơn 19.000 tên miền theo chủ đề thương mại điện tử, trong đó 2.900 tên miền độc hại. Nhiều tên miền bắt chước thương hiệu quen thuộc và chỉ thay đổi rất nhỏ, khó nhận ra khi người mua đang thao tác nhanh. Các tên miền này được sử dụng để hỗ trợ hành vi lừa đảo, tạo cửa hàng giả, lừa thẻ quà tặng, thu thập thông tin thanh toán, cũng như góp phần vào chiến dịch "đầu độc SEO" - làm tăng URL độc hại trong kết quả tìm kiếm.
Dữ liệu tài khoản đánh cắp
Báo cáo cũng cho thấy sự gia tăng đáng kể về số lượng tệp chứa dữ liệu đánh cắp (stealer log) và mức độ sử dụng chúng. Hơn 1,57 triệu tài khoản đăng nhập liên kết với những trang thương mại điện tử lớn, vốn xuất hiện trong tệp dữ liệu đánh cắp, đã được thu thập trên các chợ đen trong ba tháng qua.
Tệp dữ liệu đánh cắp chứa mật khẩu, cookie, mã phiên đăng nhập, dữ liệu điền tự động và dấu vân tay hệ thống lưu trong trình duyệt. Trong kỳ nghỉ lễ, người dùng đăng nhập vào nhiều tài khoản trên nhiều thiết bị, khiến những tệp này trở nên đặc biệt giá trị trên chợ đen.
Báo cáo cũng ghi nhận đợt "giảm giá dịp lễ" cho kho dữ liệu về mã CVV và thẻ thanh toán đánh cắp. Kẻ tấn công sử dụng các chương trình khuyến mãi kiểu Black Friday để bán dữ liệu tài chính bị đánh cắp với giá chiết khấu, làm gia tăng gian lận.
Lỗ hổng nghiêm trọng trên nền tảng thương mại điện tử
Tội phạm mạng đang tích cực khai thác các lỗ hổng trên Adobe/Magento, Oracle EBS, WooCommerce, Bagisto và nhiều nền tảng thương mại điện tử phổ biến khác. Ba lỗ hổng đáng chú ý gồm CVE-2025-54236 (chiếm quyền kiểm soát phiên đăng nhập và thực thi mã từ xa trên Adobe/Magento), CVE-2025-61882 (thực thi mã từ xa không xác thực, đánh cắp dữ liệu, làm gián đoạn hệ thống quản lý đơn hàng và kho hàng trên Oracle EBS), CVE-2025-47569 (gây rủi ro bảo mật nghiêm trọng cho các cửa hàng trực tuyến trên WooCommerce).
Trên nhiều nền tảng, các lỗ hổng trong plugin (tiện ích bổ trợ), mẫu giao diện và quy trình xác thực API (giao diện lập trình ứng dụng) đang cho phép kẻ tấn công đánh cắp thông tin thanh toán, chèn mã độc, nâng cấp đặc quyền và tải lên tệp trái phép. Hình thức tấn công chèn mã java script độc hại theo kiểu Magecart vẫn là một trong những mối đe dọa dai dẳng và gây thiệt hại lớn nhất, cho phép tin tặc đánh cắp thông tin thanh toán trực tiếp từ các trang thanh toán.
Công cụ và dịch vụ tấn công
Hoạt động tấn công mạng dịp lễ năm nay bùng nổ nhờ mức độ tự động hóa cao và hệ sinh thái dịch vụ hoàn thiện, giúp kẻ lừa đảo không cần tự xây dựng công cụ hay cơ sở hạ tầng. Ví dụ, công cụ dò mật khẩu tích hợp AI giúp xử lý lượng lớn yêu cầu đăng nhập với thời gian và hành vi giống con người, khiến các cuộc tấn công thông tin đăng nhập khó bị phát hiện hơn.
Ngoài ra, tội phạm mạng cũng có thể sử dụng dịch vụ proxy và VPN số lượng lớn - cung cấp địa chỉ IP xoay vòng và đa dạng về địa lý, dịch vụ sao chép trang web - tái tạo toàn bộ giao diện cửa hàng trực tuyến để phục vụ chiến dịch lừa đảo, các nền tảng tự động hỗ trợ lừa đảo qua điện thoại số lượng lớn với ID người gọi giả mạo. Những công cụ và dịch vụ trên, một số thậm chí tung ra "ưu đãi đặc biệt dịp lễ", giúp tin tặc chuẩn bị cho đợt tấn công quy mô lớn.
Giao dịch liên quan đến xâm phạm an ninh thương mại điện tử trên các chợ đen đang bùng nổ, cho thấy tội phạm mạng hoạt động ngày càng chuyên nghiệp. Chúng bán cơ sở dữ liệu khách hàng, hàng triệu hồ sơ WooCommerce, mã thanh toán, thông tin liên hệ và cookie trình duyệt cho phép vượt qua bước nhập mật khẩu và xác thực đa yếu tố. Một số còn rao bán quyền truy cập quản trị vào những trang bán lẻ doanh thu cao, tuyển đồng phạm rút tiền để rửa tiền nhanh hoặc kiếm lợi từ số dư tài khoản bị đánh cắp và giao dịch mua sắm gian lận. Do mùa lễ hội có khối lượng giao dịch lớn và hành vi mua sắm nhanh hơn, các tài khoản đánh cắp được mua bán rất nhanh trên chợ đen.
Fortinet nhận định, tội phạm mạng đang hoạt động với tốc độ, mức tự động hóa và tính tổ chức cao hơn. Đây không phải thách thức tạm thời chỉ diễn ra trong mùa lễ mà còn phản ánh xu hướng bao quát hơn về công cụ và phương thức kiếm tiền của chúng, dự kiến tiếp diễn trong năm 2026.
