Hãy tưởng tượng: Sarah từ phòng kế toán nhận được một email trông giống như yêu cầu đặt lại mật khẩu thông thường từ nhà cung cấp dịch vụ cloud của tổ chức bạn. Cô ấy nhấp vào liên kết, nhập thông tin đăng nhập của mình, và quay lại với bảng tính. Nhưng không hề hay biết, cô ấy vừa mắc một lỗi lớn. Sarah vừa vô tình giao thông tin đăng nhập của mình cho tội phạm mạng, những kẻ đang hả hê trên các chợ đen dark web, nơi chúng sẽ bán thông tin của cô với giá khoảng 15 USD. Đây không phải là một số tiền lớn nếu chỉ là một lần, nhưng lại là một hoạt động kiếm tiền nghiêm túc khi được nhân rộng.
Vòng đời của việc bị lộ thông tin đăng nhập
- Người dùng tạo thông tin đăng nhập: Với hàng tá ứng dụng kinh doanh độc lập (mỗi ứng dụng có một tài khoản đăng nhập riêng), nhân viên của bạn phải tạo ra vô số tài khoản. Nhưng việc theo dõi nhiều tên người dùng/mật khẩu độc đáo là một rắc rối, vì vậy họ thường dùng lại mật khẩu hoặc chỉ thay đổi một chút.
- Tin tặc chiếm đoạt thông tin đăng nhập: Kẻ tấn công lấy được các thông tin đăng nhập này thông qua các cuộc tấn công phishing, brute force attacks, các vụ rò rỉ dữ liệu từ bên thứ ba, hoặc các API keys bị lộ. Và nhiều khi, không ai nhận ra điều đó đã xảy ra.
- Tin tặc tổng hợp và kiếm tiền từ thông tin đăng nhập: Các mạng lưới tội phạm đổ thông tin đăng nhập bị đánh cắp vào các cơ sở dữ liệu khổng lồ, sau đó bán chúng trên các thị trường ngầm. Tin tặc bán thông tin đăng nhập của công ty bạn cho người trả giá cao nhất.
- Tin tặc phân phối và vũ khí hóa thông tin đăng nhập: Người mua phân tán các thông tin đăng nhập này khắp các mạng lưới tội phạm. Các Bots kiểm tra chúng với mọi ứng dụng kinh doanh mà chúng có thể tìm thấy, trong khi các đối tượng điều khiển là người sẽ chọn lọc các mục tiêu có giá trị nhất.
- Tin tặc tích cực khai thác thông tin đăng nhập: Các lần đăng nhập thành công cho phép kẻ tấn công xâm nhập sâu hơn, leo thang đặc quyền (escalate privileges), và bắt đầu công việc thực sự của chúng — đánh cắp dữ liệu, ransomware, hoặc bất cứ điều gì mang lại lợi nhuận cao nhất. Đến khi bạn nhận thấy các mẫu đăng nhập kỳ lạ hoặc hoạt động mạng bất thường, chúng có thể đã ở bên trong hệ thống trong nhiều ngày, nhiều tuần, hoặc thậm chí lâu hơn.
Các phương thức chiếm đoạt phổ biến
Tội phạm có rất nhiều cách để có được thông tin đăng nhập của người dùng công ty bạn:
- Các chiến dịch Phishing: Kẻ tấn công tạo ra các email giả mạo trông giống thật – hoàn chỉnh với logo công ty bị đánh cắp và nội dung thuyết phục. Ngay cả những nhân viên có ý thức bảo mật cao nhất của bạn cũng có thể bị lừa bởi những chiêu trò tinh vi này.
- Credential stuffing: Kẻ tấn công lấy mật khẩu từ các vụ rò rỉ dữ liệu cũ, sau đó thử chúng ở khắp mọi nơi. Tỷ lệ tấn công thành công 0,1% nghe có vẻ nhỏ, nhưng với việc tái sử dụng mật khẩu tràn lan và thực tế là tin tặc đang thử hàng triệu thông tin đăng nhập mỗi giờ, con số này nhanh chóng tăng lên.
- Rò rỉ dữ liệu từ bên thứ ba (Third-party breaches): Khi LinkedIn bị hack, kẻ tấn công không chỉ nhắm mục tiêu vào người dùng LinkedIn – chúng thử các thông tin đăng nhập đó với tất cả các loại ứng dụng kinh doanh khác. Công ty của bạn có thể có bảo mật mạnh mẽ nhất thế giới, nhưng bạn vẫn dễ bị tổn thương nếu người dùng tái sử dụng thông tin đăng nhập.
- API keys bị lộ: Các nhà phát triển vô tình công bố thông tin đăng nhập trong các GitHub repos, config files, và tài liệu. Các Bots tự động quét tìm những thông tin này 24/7, thu thập chúng chỉ trong vài phút.
Hệ sinh thái tội phạm
Giống như một băng nhóm trộm xe có nhiều thành phần khác nhau – từ những kẻ trộm xe cấp đường phố đến những người điều hành cửa hàng tháo dỡ phụ tùng và các nhà xuất khẩu ở nước ngoài – hệ sinh thái đánh cắp thông tin đăng nhập cũng có những kẻ xấu muốn những thứ khác nhau từ thông tin đăng nhập bị đánh cắp của bạn. Nhưng việc hiểu rõ trò chơi của chúng có thể giúp bạn bảo vệ tổ chức của mình tốt hơn.
Những kẻ lừa đảo cơ hội muốn tiền mặt nhanh chóng. Chúng sẽ rút cạn tài khoản ngân hàng, thực hiện các giao dịch mua hàng gian lận hoặc đánh cắp tiền mã hóa (crypto). Chúng không kén chọn – nếu thông tin đăng nhập doanh nghiệp của bạn hoạt động trên các trang web tiêu dùng, chúng sẽ sử dụng chúng.
Các botnets tự động là những cỗ máy kiểm tra thông tin đăng nhập không ngừng nghỉ. Chúng thử hàng triệu kết hợp tên người dùng/mật khẩu trên hàng nghìn trang web, tìm kiếm bất cứ thứ gì có thể hoạt động. Mục tiêu của chúng là số lượng, không phải sự chính xác.
Sau đó, các chợ đen tội phạm hoạt động như những người trung gian mua thông tin đăng nhập bị đánh cắp với số lượng lớn và bán lại cho người dùng cuối. Hãy nghĩ về chúng như eBay của tội phạm mạng, với các chức năng tìm kiếm cho phép người mua dễ dàng săn lùng dữ liệu của tổ chức bạn.
Các nhóm tội phạm có tổ chức coi thông tin đăng nhập của bạn như vũ khí chiến lược. Chúng sẽ giữ quyền truy cập trong nhiều tháng, lập bản đồ mạng của bạn và lên kế hoạch cho các cuộc tấn công lớn như ransomware hoặc đánh cắp tài sản trí tuệ (IP theft). Đây là những loại chuyên gia biến các vụ lộ thông tin đăng nhập đơn lẻ thành những thảm họa trị giá hàng triệu đô la.
Tác động thực tế
- Chiếm đoạt tài khoản (Account takeover): Tin tặc dễ dàng vượt qua các kiểm soát bảo mật của bạn bằng quyền truy cập hợp pháp. Chúng đọc email, lấy dữ liệu khách hàng và gửi tin nhắn trông như thể đến từ nhân viên của bạn.
- Di chuyển ngang (Lateral movement): Một tài khoản bị xâm nhập nhanh chóng trở thành mười, sau đó là năm mươi. Kẻ tấn công nhảy qua mạng của bạn, leo thang đặc quyền (escalating privileges) và lập bản đồ các hệ thống giá trị nhất của bạn.
- Đánh cắp dữ liệu (Data theft): Kẻ tấn công tập trung vào việc xác định các "viên ngọc quý" của bạn — cơ sở dữ liệu khách hàng, hồ sơ tài chính, bí mật thương mại — và rút chúng đi qua các kênh có vẻ bình thường đối với các công cụ giám sát của bạn.
- Lạm dụng tài nguyên (Resource abuse): Hóa đơn cloud của bạn tăng vọt khi kẻ tấn công khởi động các hoạt động khai thác tiền mã hóa (crypto mining), gửi spam qua hệ thống email của bạn hoặc sử dụng hết hạn mức API cho các dự án của riêng chúng.
- Triển khai Ransomware: Nếu tin tặc đang tìm kiếm một khoản tiền chuộc lớn, chúng thường chuyển sang ransomware. Chúng mã hóa mọi thứ quan trọng và đòi tiền chuộc, biết rằng bạn có thể sẽ trả tiền vì việc khôi phục từ bản sao lưu mất rất nhiều thời gian — và không hề rẻ.
Nhưng đó mới chỉ là khởi đầu. Bạn cũng có thể phải đối mặt với các khoản phạt theo quy định, các vụ kiện, chi phí khắc phục khổng lồ và một danh tiếng mất nhiều năm để xây dựng lại. Trên thực tế, nhiều tổ chức không bao giờ phục hồi hoàn toàn sau một sự cố lộ thông tin đăng nhập nghiêm trọng.
Hãy hành động ngay bây giờ
Thực tế là một số thông tin đăng nhập của người dùng công ty bạn có thể đã bị lộ. Và thông tin đăng nhập bị lộ càng nằm ngoài mà không bị phát hiện lâu hơn, thì mục tiêu trên lưng bạn càng lớn.
Hãy ưu tiên tìm kiếm các thông tin đăng nhập bị lộ của bạn trước khi tội phạm sử dụng chúng. Ví dụ, Outpost24’s Credential Checker là một công cụ miễn phí cho biết tần suất tên miền email của công ty bạn xuất hiện trong các leak repositories, các kênh được quan sát hoặc các chợ đen ngầm. Kiểm tra miễn phí, không cần đăng ký này không hiển thị hoặc lưu thông tin đăng nhập bị lộ cá nhân; nó chỉ giúp bạn nhận biết mức độ rủi ro của mình. Hãy kiểm tra tên miền của bạn để tìm thông tin đăng nhập bị lộ ngay bây giờ.
