Trường Sơn
Writer
Nhóm tội phạm mạng ShinyHunters đã nhận được sự chú ý trên toàn cầu sau khi Google kêu gọi 2,5 tỷ người dùng thắt chặt an ninh sau vụ vi phạm dữ liệu thông qua Salesforce, một nền tảng quản lý khách hàng.
Không giống như các vụ vi phạm dữ liệu mà tin tặc trực tiếp xâm nhập vào cơ sở dữ liệu chứa thông tin có giá trị, ShinyHunters và một số nhóm khác gần đây đã nhắm mục tiêu vào các công ty lớn thông qua social engineering dựa trên giọng nói (còn được gọi là "vishing", viết tắt của voice phishing).
Social engineering là khi một người bị lừa hoặc bị thao túng để cung cấp thông tin hoặc thực hiện những hành động mà họ thường không làm.
Trong trường hợp này, để truy cập vào các hệ thống được bảo vệ, tội phạm sẽ đóng giả làm nhân viên bộ phận hỗ trợ CNTT của công ty mục tiêu và thuyết phục nhân viên chia sẻ mật khẩu và/hoặc mã xác thực đa yếu tố. Mặc dù lừa đảo qua mạng (vishing) không phải là một chiến thuật mới, nhưng việc sử dụng deepfake và trí tuệ nhân tạo tạo giọng nói để sao chép giọng nói đang khiến loại hình tấn công kỹ thuật xã hội này khó bị phát hiện hơn.
Chỉ trong năm nay, các công ty như Qantas, Pandora, Adidas, Chanel, Tiffany & Co. và Cisco đều đã bị nhắm mục tiêu bằng các chiến thuật tương tự, khiến hàng triệu người dùng bị ảnh hưởng.
ShinyHunters là ai hoặc là cái gì?
ShinyHunters lần đầu xuất hiện vào năm 2020 và tuyên bố đã tấn công thành công 91 nạn nhân cho đến nay. Mục đích chính của nhóm này là tiền , nhưng cũng sẵn sàng gây tổn hại đến danh tiếng của nạn nhân. Năm 2021, ShinyHunters tuyên bố đang bán dữ liệu bị đánh cắp từ 73 triệu khách hàng của AT&T (mạng di động lớn của Mỹ).
ShinyHunters trước đây đã nhắm mục tiêu vào các công ty thông qua lỗ hổng trong các ứng dụng đám mây và cơ sở dữ liệu trang web. Bằng cách nhắm mục tiêu vào các nhà cung cấp dịch vụ quản lý khách hàng như Salesforce, tội phạm mạng có thể truy cập vào các tập dữ liệu phong phú từ nhiều khách hàng chỉ trong một cuộc tấn công.
Việc sử dụng các kỹ thuật tấn công mạng xã hội được coi là một chiến thuật tương đối mới đối với ShinyHunters. Sự thay đổi trong cách tiếp cận này được cho là do mối liên hệ của họ với các nhóm tương tự khác.
Vào giữa tháng 8/2025, ShinyHunters đã đăng trên Telegram rằng họ đã hợp tác với các tác nhân đe dọa nổi tiếng là Scattered Spider và Lapsus$ để nhắm mục tiêu vào các công ty như Salesforce và Allianz Life. Kênh này đã bị Telegram gỡ xuống chỉ vài ngày sau khi ra mắt. Nhóm này đã công khai phát tán dữ liệu Salesforce của Allianz Life, bao gồm 2,8 triệu hồ sơ dữ liệu liên quan đến khách hàng cá nhân và đối tác doanh nghiệp.
Scattered Lapsus$ Hunters, nhóm mới đổi tên, gần đây đã quảng cáo rằng họ đã bắt đầu cung cấp dịch vụ ransomware. Điều này có nghĩa là họ sẽ thực hiện các cuộc tấn công ransomware thay mặt cho các nhóm khác sẵn sàng trả tiền cho họ.
Chúng tuyên bố dịch vụ của chúng tốt hơn so với các nhóm tội phạm mạng khác như LockBit và Dragonforce. Thay vì đàm phán trực tiếp với nạn nhân, nhóm này thường công khai các tin nhắn tống tiền.
Ảnh chụp màn hình tin nhắn tống tiền công khai gửi đến CEO Salesforce Marc Benioff.
Những tên tội phạm mạng này là ai? Có khả năng có sự trùng lặp đáng kể về thành viên giữa ShinyHunters, Scattered Spider và Lapsus$. Tất cả các nhóm này đều mang tính quốc tế, với các thành viên hoạt động trên dark web từ nhiều nơi trên thế giới.
Thêm vào đó, mỗi nhóm còn được gọi bằng nhiều tên khác nhau. Ví dụ, Scattered Spider từng được biết đến với các tên gọi UNC3944, Scatter Swine, Oktapus, Octo Tempest, Storm-0875 và Muddled Libra.
Làm thế nào chúng ta có thể bảo vệ mình khỏi bị lừa đảo?
Là người dùng và khách hàng thường xuyên của các công ty công nghệ lớn, chúng ta khó có thể làm gì trước các nhóm tội phạm mạng có tổ chức. Để giữ an toàn cho bản thân khỏi các vụ lừa đảo, chúng ta cần luôn cảnh giác.
Các chiến thuật kỹ thuật xã hội có thể rất hiệu quả vì chúng lợi dụng cảm xúc của con người và mong muốn tin tưởng và giúp đỡ.
Nhưng các công ty cũng có thể chủ động giảm thiểu nguy cơ trở thành mục tiêu của các chiến thuật lừa đảo qua mạng.
Các tổ chức có thể nâng cao nhận thức về các chiến thuật này và lồng ghép đào tạo dựa trên tình huống vào các chương trình đào tạo nhân viên. Họ cũng có thể sử dụng các phương pháp xác minh bổ sung, chẳng hạn như kiểm tra qua camera, trong đó nhân viên xuất trình thẻ nhân viên hoặc giấy tờ tùy thân do chính phủ cấp, hoặc bằng cách đặt ra những câu hỏi không dễ trả lời bằng thông tin tìm thấy trên mạng.
Cuối cùng, các tổ chức có thể tăng cường bảo mật bằng cách sử dụng các ứng dụng xác thực yêu cầu xác thực đa yếu tố chống lừa đảo như khớp số hoặc xác minh địa lý. Việc khớp số yêu cầu người dùng nhập số từ nền tảng nhận dạng vào ứng dụng xác thực để phê duyệt yêu cầu xác thực. Xác minh địa lý sử dụng vị trí thực tế của người dùng làm yếu tố xác thực bổ sung.
Nguồn: The Conversation
Không giống như các vụ vi phạm dữ liệu mà tin tặc trực tiếp xâm nhập vào cơ sở dữ liệu chứa thông tin có giá trị, ShinyHunters và một số nhóm khác gần đây đã nhắm mục tiêu vào các công ty lớn thông qua social engineering dựa trên giọng nói (còn được gọi là "vishing", viết tắt của voice phishing).
Social engineering là khi một người bị lừa hoặc bị thao túng để cung cấp thông tin hoặc thực hiện những hành động mà họ thường không làm.
Trong trường hợp này, để truy cập vào các hệ thống được bảo vệ, tội phạm sẽ đóng giả làm nhân viên bộ phận hỗ trợ CNTT của công ty mục tiêu và thuyết phục nhân viên chia sẻ mật khẩu và/hoặc mã xác thực đa yếu tố. Mặc dù lừa đảo qua mạng (vishing) không phải là một chiến thuật mới, nhưng việc sử dụng deepfake và trí tuệ nhân tạo tạo giọng nói để sao chép giọng nói đang khiến loại hình tấn công kỹ thuật xã hội này khó bị phát hiện hơn.
Chỉ trong năm nay, các công ty như Qantas, Pandora, Adidas, Chanel, Tiffany & Co. và Cisco đều đã bị nhắm mục tiêu bằng các chiến thuật tương tự, khiến hàng triệu người dùng bị ảnh hưởng.
ShinyHunters là ai hoặc là cái gì?
ShinyHunters lần đầu xuất hiện vào năm 2020 và tuyên bố đã tấn công thành công 91 nạn nhân cho đến nay. Mục đích chính của nhóm này là tiền , nhưng cũng sẵn sàng gây tổn hại đến danh tiếng của nạn nhân. Năm 2021, ShinyHunters tuyên bố đang bán dữ liệu bị đánh cắp từ 73 triệu khách hàng của AT&T (mạng di động lớn của Mỹ).
ShinyHunters trước đây đã nhắm mục tiêu vào các công ty thông qua lỗ hổng trong các ứng dụng đám mây và cơ sở dữ liệu trang web. Bằng cách nhắm mục tiêu vào các nhà cung cấp dịch vụ quản lý khách hàng như Salesforce, tội phạm mạng có thể truy cập vào các tập dữ liệu phong phú từ nhiều khách hàng chỉ trong một cuộc tấn công.
Việc sử dụng các kỹ thuật tấn công mạng xã hội được coi là một chiến thuật tương đối mới đối với ShinyHunters. Sự thay đổi trong cách tiếp cận này được cho là do mối liên hệ của họ với các nhóm tương tự khác.
Vào giữa tháng 8/2025, ShinyHunters đã đăng trên Telegram rằng họ đã hợp tác với các tác nhân đe dọa nổi tiếng là Scattered Spider và Lapsus$ để nhắm mục tiêu vào các công ty như Salesforce và Allianz Life. Kênh này đã bị Telegram gỡ xuống chỉ vài ngày sau khi ra mắt. Nhóm này đã công khai phát tán dữ liệu Salesforce của Allianz Life, bao gồm 2,8 triệu hồ sơ dữ liệu liên quan đến khách hàng cá nhân và đối tác doanh nghiệp.
Scattered Lapsus$ Hunters, nhóm mới đổi tên, gần đây đã quảng cáo rằng họ đã bắt đầu cung cấp dịch vụ ransomware. Điều này có nghĩa là họ sẽ thực hiện các cuộc tấn công ransomware thay mặt cho các nhóm khác sẵn sàng trả tiền cho họ.
Chúng tuyên bố dịch vụ của chúng tốt hơn so với các nhóm tội phạm mạng khác như LockBit và Dragonforce. Thay vì đàm phán trực tiếp với nạn nhân, nhóm này thường công khai các tin nhắn tống tiền.
Ảnh chụp màn hình tin nhắn tống tiền công khai gửi đến CEO Salesforce Marc Benioff.
Những tên tội phạm mạng này là ai? Có khả năng có sự trùng lặp đáng kể về thành viên giữa ShinyHunters, Scattered Spider và Lapsus$. Tất cả các nhóm này đều mang tính quốc tế, với các thành viên hoạt động trên dark web từ nhiều nơi trên thế giới.
Thêm vào đó, mỗi nhóm còn được gọi bằng nhiều tên khác nhau. Ví dụ, Scattered Spider từng được biết đến với các tên gọi UNC3944, Scatter Swine, Oktapus, Octo Tempest, Storm-0875 và Muddled Libra.
Làm thế nào chúng ta có thể bảo vệ mình khỏi bị lừa đảo?
Là người dùng và khách hàng thường xuyên của các công ty công nghệ lớn, chúng ta khó có thể làm gì trước các nhóm tội phạm mạng có tổ chức. Để giữ an toàn cho bản thân khỏi các vụ lừa đảo, chúng ta cần luôn cảnh giác.
Các chiến thuật kỹ thuật xã hội có thể rất hiệu quả vì chúng lợi dụng cảm xúc của con người và mong muốn tin tưởng và giúp đỡ.
Nhưng các công ty cũng có thể chủ động giảm thiểu nguy cơ trở thành mục tiêu của các chiến thuật lừa đảo qua mạng.
Các tổ chức có thể nâng cao nhận thức về các chiến thuật này và lồng ghép đào tạo dựa trên tình huống vào các chương trình đào tạo nhân viên. Họ cũng có thể sử dụng các phương pháp xác minh bổ sung, chẳng hạn như kiểm tra qua camera, trong đó nhân viên xuất trình thẻ nhân viên hoặc giấy tờ tùy thân do chính phủ cấp, hoặc bằng cách đặt ra những câu hỏi không dễ trả lời bằng thông tin tìm thấy trên mạng.
Cuối cùng, các tổ chức có thể tăng cường bảo mật bằng cách sử dụng các ứng dụng xác thực yêu cầu xác thực đa yếu tố chống lừa đảo như khớp số hoặc xác minh địa lý. Việc khớp số yêu cầu người dùng nhập số từ nền tảng nhận dạng vào ứng dụng xác thực để phê duyệt yêu cầu xác thực. Xác minh địa lý sử dụng vị trí thực tế của người dùng làm yếu tố xác thực bổ sung.
Nguồn: The Conversation
