Ambar Nigrum, 52 tuổi, làm kế toán cho một số tổ chức từ thiện tại Yogyakarta, Indonesia. Đầu năm ngoái, bà nhận được một tin nhắn từ một người tự xưng là nhân viên cơ quan thuế, yêu cầu bà cập nhật thông tin. Sau này bà mới biết đó là một cuộc tấn công bằng phần mềm gián điệp, một minh chứng cho bước tiến đáng lo ngại trong năng lực của tội phạm.
Người này gửi cho bà một tin nhắn với đầy đủ thông tin cá nhân và doanh nghiệp, yêu cầu xác nhận và cập nhật nếu có sai sót. Bà Nigrum không chắc nên làm gì, nên trả lời rằng sẽ kiểm tra với một người bạn xem thông tin có hợp lệ không. Một giờ sau, “nhân viên thuế” gọi điện, thúc giục bà xử lý nhanh hơn và gửi cho bà một đường link.
Sau khi nhấn vào link, bà tải về một ứng dụng giả mạo ứng dụng nộp thuế của chính phủ. Bà tạo tài khoản với hai mật khẩu, trong đó “nhân viên” khuyên bà dùng ngày sinh làm một mật khẩu, điều khiến bà thấy lạ. Quá trình cài đặt mất gần nửa giờ. Nhưng bà không biết rằng phần mềm này đã thu thập dữ liệu sinh trắc học của bà, đồng thời truy cập vào tài khoản ngân hàng, camera, ảnh, microphone, danh bạ và ghi chú.
Đột nhiên, bà nhớ ra mình có một người bạn làm trong cơ quan thuế và gửi link cho người này. Người bạn lập tức trả lời: “Đừng mở, đó là lừa đảo”.
Bà Nigrum hoảng loạn. Sau khi tìm kiếm trên Google, bà thấy cảnh báo của chính phủ về các chiêu lừa liên quan đến thuế. Kiểm tra tài khoản ngân hàng, bà phát hiện hai tài khoản đã bị rút sạch và tài khoản thứ ba đang tiếp tục bị rút tiền. Vì bà quản lý tài khoản cho tổ chức, điều khá phổ biến với các NGO ở Indonesia nên hơn 450 triệu rupiah (26.500 USD) đã bị đánh cắp, tương đương chi phí điện, internet và lương cho 10 nhân viên trong một năm.
“Tại sao một người như tôi, đã làm tài chính 30 năm, lại mắc phải chuyện này?”, bà tự hỏi. “Tôi thấy mình thật ngốc. Tôi rất giận bản thân”.
Trong nhiều năm, ngành lừa đảo trực tuyến chủ yếu dựa vào các phương thức chậm và tốn công như lừa đầu tư, lừa tình cảm hay các mô hình “vỗ béo rồi giết thịt” (pig-butchering), trong đó nạn nhân bị dẫn dắt trong nhiều tuần hoặc nhiều tháng trước khi bị lừa tiền.
Nhưng các hình thức lừa đảo mới, nhờ tiến bộ công nghệ đang thay đổi cách tiếp cận. Khi tội phạm truy cập được danh bạ trên điện thoại thông qua phần mềm gián điệp, chúng có thể nhắm tới toàn bộ mạng lưới của nạn nhân.
“Đây là kiểu tấn công nhanh hơn rất nhiều so với lừa đảo truyền thống”, chuyên gia Jeremy Douglas từ Văn phòng Liên Hợp Quốc về Ma túy và Tội phạm cho biết. “Khả năng hàng triệu thiết bị bị lây nhiễm là hoàn toàn có thể”.
Phần mềm gián điệp được dùng trong vụ của bà Nigrum là một phần của hệ sinh thái “malware-as-a-service” toàn cầu, hoạt động ít nhất từ năm 2023. Trong mô hình này, tội phạm không tự phát triển công nghệ mà mua trên các nền tảng nhắn tin như Telegram.
Tháng 3/2025, công ty bảo mật Infoblox phát hiện lưu lượng internet bất thường, từ đó phát hiện một cụm phần mềm bao gồm cả loại spyware đã tấn công bà Nigrum. Công ty này đã xác định hàng trăm tên miền nhắm vào người dùng tại hơn 20 quốc gia. Số lượng truy vấn độc hại nhắm vào khách hàng của Infoblox tăng từ 400.000 vào tháng 3 lên ít nhất 1,8 triệu chỉ sau một tháng.
Loại phần mềm này liên tục được cập nhật để hoạt động hiệu quả hơn và tránh bị phần mềm diệt virus phát hiện. Danh sách ngôn ngữ, quốc gia mục tiêu và tổ chức bị giả mạo cũng ngày càng mở rộng.
Các tổ chức này vận hành những “doanh nghiệp” trực tuyến quy mô lớn, thường đặt tại các khu công nghiệp được bảo vệ bằng tường cao, camera, dây thép gai và lính canh vũ trang. Ước tính, các hoạt động này tạo ra hơn 500 tỷ USD mỗi năm.
Các dạng spyware mới cho thấy “Scam Inc” còn có thể phát triển lớn hơn nữa. “Chúng có thể dễ dàng đánh cắp ảnh hoặc nội dung liên lạc để tống tiền”, Renée Burton từ Infoblox cho biết. Dữ liệu bị đánh cắp sau đó có thể được bán hoặc trao đổi trên dark web, dẫn đến các cuộc tấn công tiếp theo vào những người trong danh bạ của nạn nhân ban đầu.
Ngoài việc giả danh cơ quan thuế Indonesia, tội phạm còn giả làm nhân viên nhập cư tại Hàn Quốc, cảnh sát tại Nam Phi, hoặc nhân viên Tòa án Tối cao Ấn Độ. Thổ Nhĩ Kỳ và Thái Lan cũng là các điểm nóng.
Người Mỹ và các nước phương Tây, nhờ hệ thống bảo mật ngân hàng và nhà cung cấp internet tốt hơn, hiện vẫn tương đối an toàn. Nhưng điều này có thể thay đổi. Infoblox đã phát hiện dấu hiệu tích hợp chatbot AI, công nghệ giọng nói deepfake và các thử nghiệm nhằm vượt qua hệ thống nhận diện khuôn mặt cho thấy thế hệ spyware tiếp theo sẽ khó phát hiện hơn và thuyết phục hơn nhiều.
“Khi bọn tội phạm hoàn thiện được công nghệ này… chúng sẽ bắt đầu nhắm tới các thị trường phức tạp hơn”, Douglas nói. “Tôi gần như chắc chắn trong vòng một năm tới, chúng ta sẽ thấy nhiều quốc gia EU xuất hiện trên bản đồ tấn công”.
Theo: The Economist
