Lưu ý: Các quan điểm và ý kiến được trình bày ở đây hoàn toàn thuộc về tác giả và không đại diện cho quan điểm và ý kiến của ban biên tập crypto.news.
Trong năm qua, hầu hết các vụ tấn công lớn nhất trong lĩnh vực tiền điện tử đều có cùng một nguyên nhân gốc rễ: con người. Chỉ trong vài tháng gần đây, Ledger đã kêu gọi người dùng tạm dừng hoạt động on-chain sau khi những người duy trì npm bị lừa và các gói phần mềm độc hại phát tán; Workday đã tiết lộ một chiến dịch tấn công phi kỹ thuật nhằm truy cập dữ liệu trong hệ thống CRM của bên thứ ba; và các đối tượng có liên hệ với Triều Tiên tiếp tục các chiêu trò dụ dỗ bằng cách giả mạo việc làm đối với các nhóm phát triển tiền điện tử để phát tán phần mềm độc hại.
- Tiền điện tử không bị tấn công trực tiếp — mà bị dụ dỗ tự tiết lộ thông tin. Hầu hết các vụ xâm phạm hiện nay đến từ lừa đảo trực tuyến, cập nhật giả mạo và mạo danh, chứ không phải do lỗi mã nguồn, khiến "con người" trở thành mục tiêu tấn công chính.
- Tiền điện tử lập trình được biến những sai sót nhỏ thành những tổn thất thảm khốc. Chỉ cần một khóa bị rò rỉ hoặc một yêu cầu được phê duyệt cũng có thể rút sạch tiền ngay lập tức và không thể phục hồi, biến kỹ thuật tấn công phi kỹ thuật (social engineering) thành một rủi ro mang tính hệ thống, chứ không phải là lỗi người dùng.
- Chừng nào an ninh vận hành chưa được coi trọng như cơ sở hạ tầng cốt lõi, các cuộc tấn công khai thác lỗ hổng sẽ tiếp tục lan rộng. Kiểm toán và rà soát mã không thể ngăn chặn sự gian lận của con người — chỉ có việc thực thi các tiêu chuẩn về thiết bị, quyền truy cập và đào tạo mới có thể làm được điều đó.
Mặc dù đã chi hàng tỷ đô la cho an ninh mạng, các công ty vẫn liên tục bị đánh bại bởi các kỹ thuật tấn công phi kỹ thuật (social engineering) đơn giản. Các nhóm tập trung đầu tư tiền vào các biện pháp bảo vệ kỹ thuật, kiểm toán và đánh giá mã nguồn mà bỏ qua an ninh vận hành, vệ sinh thiết bị và các yếu tố cơ bản về con người. Khi ngày càng nhiều hoạt động tài chính chuyển sang xử lý on-chain, điểm mù này trở thành rủi ro hệ thống đối với cơ sở hạ tầng kỹ thuật số.
Cách duy nhất để làm chậm sự gia tăng của các cuộc tấn công kỹ thuật xã hội là đầu tư rộng rãi và bền vững vào an ninh vận hành, nhằm giảm thiểu lợi nhuận từ các chiến thuật này.
Tấn công phi kỹ thuật (social engineering) là điểm yếu chí mạng của an ninh mạng.
Báo cáo Điều tra Vi phạm Dữ liệu năm 2025 của Verizon cho thấy "yếu tố con người" trong an ninh mạng (lừa đảo trực tuyến, đánh cắp thông tin đăng nhập và những sai lầm thường ngày) chiếm khoảng 60% các vụ vi phạm dữ liệu.
Tấn công phi kỹ thuật (social engineering) hiệu quả vì nó nhắm vào con người chứ không phải mã nguồn, khai thác lòng tin, sự khẩn cấp, sự quen thuộc và thói quen. Loại tấn công này không thể loại bỏ bằng cách kiểm tra mã nguồn và rất khó phòng chống bằng các công cụ an ninh mạng tự động. Việc xem xét mã nguồn và các biện pháp an ninh mạng thông thường khác không thể ngăn chặn một nhân viên phê duyệt một yêu cầu gian lận trông giống như đến từ người quản lý, hoặc tải xuống bản cập nhật Zoom giả mạo trông có vẻ hợp pháp.
Ngay cả những nhóm chuyên gia kỹ thuật cao cũng có thể mắc sai lầm; điểm yếu của con người là phổ biến và khó khắc phục. Và kết quả là, tấn công phi kỹ thuật (social engineering) tiếp tục gây ra các vụ việc trong thực tế.
Tiền điện tử làm tăng thêm rủi ro.
Tiền điện tử lập trình được tập trung rủi ro. Trong web3, việc lộ Seed Phrase hoặc Token API có thể tương đương với việc đột nhập vào két sắt ngân hàng. Bản chất không thể đảo ngược của các giao dịch tiền điện tử khuếch đại các sai sót: một khi tiền đã được chuyển, thường không có cách nào để đảo ngược giao dịch. Một sơ suất nhỏ trong bảo mật thiết bị hoặc xử lý khóa có thể xóa sạch tài sản. Thiết kế phi tập trung của web3 có nghĩa là thường không có bộ phận hỗ trợ nào để liên hệ, khiến người dùng phải tự xoay xở.
Các hacker, bao gồm cả lính đánh thuê được nhà nước hậu thuẫn, đã nhận thấy hiệu quả của các cuộc tấn công kỹ thuật xã hội và đã thích nghi cho phù hợp. Các hoạt động được cho là của Nhóm Lazarus thuộc Triều Tiên dựa rất nhiều vào kỹ thuật xã hội: các lời mời làm việc giả mạo, các tập tin PDF độc hại, các gói phần mềm độc hại và các cuộc tấn công lừa đảo được thiết kế riêng nhằm khai thác điểm yếu của con người.
Những hình thức tấn công này hiệu quả đến kinh ngạc và rất dễ thực hiện, và các công ty công nghệ dường như không thể chống lại chúng. Không giống như các lỗ hổng bảo mật zero-day, vốn nhanh chóng được vá lỗi (buộc tin tặc phải tìm ra các chiến lược tấn công mới), tin tặc có thể tận dụng cùng một chiến thuật kỹ thuật xã hội nhiều lần, một cách tự động, dành nhiều thời gian hơn cho việc tấn công và ít thời gian hơn cho nghiên cứu và phát triển.
Các công ty cần đầu tư vào bảo mật hoạt động.
Quá nhiều tổ chức vẫn coi bảo mật như một thủ tục tuân thủ – một thái độ được củng cố bởi các tiêu chuẩn quy định lỏng lẻo. Các công ty thường xuyên vượt qua các cuộc kiểm toán và công bố các báo cáo hoàn hảo ngay cả khi tiềm ẩn những rủi ro vận hành nghiêm trọng: khóa quản trị được lưu trữ trên máy tính xách tay cá nhân, thông tin đăng nhập được chia sẻ qua trò chuyện và email, quyền truy cập lỗi thời không bao giờ được thay đổi và máy tính xách tay dùng khi đi công tác được sử dụng lại làm máy tính phát triển phần mềm.
Khắc phục sự thiếu kỷ luật này đòi hỏi phải có các biện pháp bảo mật vận hành rõ ràng và được thực thi nghiêm ngặt. Các nhóm nên sử dụng thiết bị được quản lý, bảo vệ điểm cuối mạnh mẽ và mã hóa toàn bộ ổ đĩa; việc đăng nhập vào công ty nên sử dụng trình quản lý mật khẩu và xác thực đa yếu tố (MFA) chống lừa đảo; và người quản lý hệ thống nên quản lý cẩn thận các đặc quyền và quyền truy cập. Những biện pháp kiểm soát này không phải là giải pháp toàn diện, nhưng chúng góp phần làm cho các cuộc tấn công kỹ thuật xã hội trở nên khó khăn hơn và giúp giảm thiểu tác động của các lỗ hổng tiềm tàng.
Quan trọng nhất, các nhóm cần đầu tư vào đào tạo an ninh vận hành; nhân viên (chứ không phải đội ngũ an ninh mạng) là tuyến phòng thủ đầu tiên chống lại các cuộc tấn công kỹ thuật xã hội. Các công ty nên dành thời gian đào tạo đội ngũ của mình để nhận biết các cuộc tấn công lừa đảo tiềm tàng, thực hành vệ sinh dữ liệu an toàn và hiểu các thực tiễn an ninh vận hành.
Điều quan trọng là chúng ta không thể kỳ vọng các tổ chức tự nguyện áp dụng các biện pháp an ninh mạng nghiêm ngặt; các cơ quan quản lý phải can thiệp và thiết lập các tiêu chuẩn hoạt động bắt buộc để đảm bảo an ninh thực sự là điều không thể thiếu. Khung pháp lý tuân thủ cần vượt ra ngoài phạm vi tài liệu và yêu cầu bằng chứng cụ thể về các biện pháp bảo mật: quản lý khóa được xác minh, đánh giá quyền truy cập định kỳ, tăng cường bảo mật điểm cuối và chuẩn bị sẵn sàng cho các cuộc tấn công giả lập lừa đảo. Nếu không có sự can thiệp mạnh mẽ từ phía cơ quan quản lý, động lực sẽ luôn ưu tiên hình thức hơn là kết quả thực tế.
Kỹ thuật thao túng tâm lý ngày càng trở nên tồi tệ hơn.
Đầu tư vào an ninh vận hành ngay bây giờ là vô cùng quan trọng vì tỷ lệ các cuộc tấn công đang gia tăng theo cấp số nhân.
Trí tuệ nhân tạo tạo sinh (Generative AI) đã thay đổi nền kinh tế của các hành vi lừa đảo. Giờ đây, kẻ tấn công có thể cá nhân hóa, bản địa hóa và tự động hóa các cuộc tấn công lừa đảo ở quy mô công nghiệp. Các chiến dịch trước đây chỉ tập trung vào một người dùng hoặc doanh nghiệp giờ đây có thể được sử dụng để nhắm mục tiêu vào hàng nghìn doanh nghiệp với chi phí bổ sung rất nhỏ. Các cuộc tấn công lừa đảo có thể được cá nhân hóa chỉ với vài cú nhấp chuột, kết hợp các chi tiết riêng tư để làm cho email giả mạo trông có vẻ hợp pháp.
Trí tuệ nhân tạo (AI) cũng giúp tăng tốc quá trình trinh sát. Dấu vết công khai, thông tin đăng nhập bị rò rỉ và thông tin tình báo nguồn mở có thể được khai thác và tổng hợp thành các "bản tóm tắt" về từng nạn nhân, giúp tin tặc phát triển các cuộc tấn công vô cùng thuyết phục.
Làm chậm tốc độ tấn công
Tấn công phi kỹ thuật (social engineering) phát triển mạnh ở những nơi mà lòng tin ngầm và sự tiện lợi lấn át sự xác minh và thận trọng. Các tổ chức cần phải thích ứng với tư thế phòng thủ hơn và (một cách chính xác) giả định rằng họ luôn phải đối mặt với mối đe dọa từ các cuộc tấn công phi kỹ thuật.
Các nhóm nên áp dụng nguyên tắc không tin tưởng tuyệt đối (zero-trust) trong hoạt động hàng ngày và tích hợp các nguyên tắc an ninh vận hành vào toàn bộ công ty. Họ nên đào tạo nhân viên về an ninh vận hành để ngăn chặn các cuộc tấn công từ sớm và cập nhật cho nhóm của mình những chiến thuật tấn công phi kỹ thuật mới nhất.
Quan trọng nhất, các công ty cần tìm ra những điểm mà niềm tin vẫn còn tồn tại trong hoạt động của họ (bất cứ nơi nào kẻ tấn công có thể mạo danh nhân viên, phần mềm hoặc khách hàng) và bổ sung thêm các biện pháp bảo vệ.
Tấn công phi kỹ thuật (social engineering) sẽ không biến mất hoàn toàn, nhưng chúng ta có thể làm cho nó kém hiệu quả hơn và ít gây hậu quả nghiêm trọng hơn khi các cuộc tấn công xảy ra. Khi ngành công nghiệp tăng cường khả năng chống lại các cuộc tấn công này, tấn công phi kỹ thuật sẽ trở nên ít hấp dẫn hơn đối với tin tặc, và tỷ lệ tấn công sẽ giảm xuống, cuối cùng chấm dứt chu kỳ tấn công không ngừng nghỉ này.
Tiến sĩ Jan Philipp Fritsche là giám đốc điều hành của Oak Security, một công ty an ninh mạng chuyên về kiểm toán web3. Trước khi đảm nhiệm vai trò tại Oak Security, Tiến sĩ Fritsche đã tích lũy được nhiều kinh nghiệm trong lĩnh vực kinh tế lượng và mô hình rủi ro, từng giữ các vị trí tại các tổ chức như Ngân hàng Trung ương Châu Âu và DIW Berlin. Ông có bằng Tiến sĩ Kinh tế học từ Đại học Humboldt Berlin.
