Sự gia tăng nhanh chóng của cơ sở hạ tầng độc hại với nội dung liên quan đến lễ hội

Một trong những dấu hiệu rõ ràng nhất về hoạt động của kẻ tấn công là việc đăng ký tên miền mới. FortiGuard Labs đã xác định được hơn 18.000 tên miền theo chủ đề lễ hội được đăng ký trong ba tháng qua có liên quan đến các thuật ngữ như “Christmas,” “Black Friday” và “Flash Sale”. Ít nhất 750 trong số này được xác nhận là độc hại. Điều này cho thấy nhiều tên miền vẫn được coi là không độc hại và đó có thể là rủi ro tiềm ẩn.

FortiGuard Labs đã xác định được khoảng 18.000 tên miền theo chủ đề lễ hội được đăng ký mới

Đồng thời, FortiGuard Labs cũng ghi nhận sự gia tăng ở các tên miền nhái các thương hiệu bán lẻ lớn. Kẻ tấn công đã đăng ký hơn 19.000 tên miền theo chủ đề thương mại điện tử, trong đó có 2.900 tên miền là độc hại. Nhiều tên miền mới mạo danh tên miền quen thuộc và thường chỉ có những thay đổi nhỏ nên dễ bị bỏ qua khi người mua sắm không để ý.

Những tên miền này hỗ trợ các hoạt động gian lận, lừa đảo thẻ quà tặng và các chương trình thu thập thông tin thanh toán. Chúng cũng góp phần vào các chiến dịch SEO, làm tăng việc giả mạo các URL độc hại trong kết quả tìm kiếm trong suốt thời gian diễn ra các sự kiện mua sắm cao điểm.

Dữ liệu tài khoản bị đánh cắp tăng kỷ lục làm gia tăng tình trạng lạm dụng thông tin xác thực

Báo cáo cũng cho thấy sự gia tăng đáng kể về tính khả dụng và việc sử dụng nhật ký đánh cắp. Trong ba tháng qua, hơn 1.57 triệu tài khoản đăng nhập được liên kết với các trang web thương mại điện tử lớn có sẵn thông qua nhật ký đánh cắp đã được thu thập trên các thị trường ngầm.

Thông tin tài khoản đánh cắp chứa mật khẩu, cookie, mã thông báo phiên, dữ liệu tự động điền và dấu vân tay hệ thống được lưu trữ trên trình duyệt. Trong kỳ nghỉ lễ, người dùng đăng nhập vào nhiều tài khoản trên nhiều thiết bị, khiến những thông tin này đặc biệt có giá trị.

Làn sóng chào bán các dữ liệu thẻ thanh toán trên web đen

Các thị trường tội phạm hiện lập chỉ mục các nhật ký này bằng bộ lọc tìm kiếm, điểm uy tín và hệ thống phân phối tự động. Điều này làm giảm đáng kể rào cản kỹ năng, cho phép “nhồi nhét’ thông tin xác thực nhanh chóng, chiếm đoạt tài khoản và mua hàng trái phép.

Báo cáo cũng ghi nhận các “đợt giảm giá ngày lễ” đang diễn ra trên các tập dữ liệu thẻ và CVV. Các tác nhân đe dọa sử dụng các chương trình khuyến mãi theo phong cách “Black Friday” để đẩy dữ liệu tài chính bị đánh cắp, thúc đẩy sự gia tăng gian lận.

Các lỗ hổng nghiêm trọng trên nền tảng thương mại điện tử

Kẻ tấn công đang tích cực khai thác các lỗ hổng trên Adobe/Magento, Oracle E-Business Suite, WooCommerce, Bagisto và các nền tảng thương mại điện tử phổ biến khác. Ba lỗ hổng nổi bật phải kể đến là: CVE-2025-54236 (Adobe/Magento), CVE-2025-61882 (Oracle EBS), CVE-2025-47569 (Plugin Thẻ Quà tặng WooCommerce của WordPress).

Trên nhiều nền tảng, lỗ hổng trong plugin, mẫu và xác thực API đang cho phép tin tặc đánh cắp thông tin thanh toán, khai thác XSS, leo thang đặc quyền và tải tệp trái phép. Tấn công chèn JavaScript kiểu Magecart vẫn là một trong những mối đe dọa dai dẳng và gây thiệt hại lớn nhất, cho phép kẻ tấn công đánh cắp thông tin thanh toán trực tiếp từ các trang thanh toán.

Các công cụ và dịch vụ tấn công dựng sẵn đang thúc đẩy quy mô các cuộc tấn công

Hoạt động đe dọa năm nay được thúc đẩy bởi mức độ tự động hóa cao, hỗ trợ bởi một hệ sinh thái dịch vụ hoàn thiện, giúp kẻ tấn công không cần phải tự xây dựng công cụ hoặc cơ sở hạ tầng. Các framework tấn công brute-force được hỗ trợ bởi AI hiện có thể xử lý khối lượng lớn các lần đăng nhập với thời gian và hành vi giống con người, khiến các cuộc tấn công thông tin đăng nhập trở nên khó phát hiện hơn. Các công cụ xác thực thông tin đăng nhập được thiết kế riêng cho WooCommerce, WordPress, FTP, SMTP và các bảng quản trị phổ biến cho phép kẻ tấn công nhanh chóng kiểm tra và xác nhận tên người dùng và mật khẩu bị đánh cắp trên toàn bộ nhóm trang web. Các dịch vụ proxy và VPN hàng loạt cung cấp địa chỉ IP luân phiên và mang tính đa dạng về mặt địa lý, giúp ngăn chặn hoạt động tự động kích hoạt giới hạn tốc độ hoặc kiểm soát hàng rào địa lý.

Dịch vụ lưu trữ thiết lập tức thời cho các trang lừa đảo hoặc phân phối phần mềm độc hại đã trở thành dịch vụ chủ lực, cung cấp cho kẻ tấn công các máy chủ sẵn sàng chỉ yêu cầu cấu hình tối thiểu. Các dịch vụ mạo danh trang web mới có thể sao chép toàn bộ “mặt tiền cửa hàng” để sử dụng trong các chiến dịch lừa đảo, trong khi các nền tảng SIP tự động hỗ trợ các nỗ lực lừa đảo trực tuyến với số lượng lớn bằng ID người gọi giả mạo. Các bảng spam SMS mở rộng khả năng này thành các chiến dịch smishing, cho phép kẻ tấn công nhắm mục tiêu vào người mua sắm bằng thông báo giao hàng giả mạo hoặc ưu đãi giảm giá.

Một thông báo hướng dẫn chi tiết về cách chuyển đổi số dư ví điện tử bị đánh cắp và tín dụng thẻ quà tặng thành tiền mặt hoặc tài sản có thể bán lại

Các gói thao túng SEO cũng đang được tiếp thị để đẩy các URL độc hại lên cao hơn trong kết quả tìm kiếm, làm tăng khả năng khiến người mua sắm khi có tâm lý vội vàng sẽ nhấp chuột vào chúng. Song song đó, các dịch vụ chuyên biệt cài đặt skimmer thanh toán hoặc backdoor trên các nền tảng dựa trên CMS, cho phép đánh cắp dữ liệu lâu dài. Thậm chí đã có cả các hướng dẫn chi tiết về cách chuyển đổi số dư ví điện tử bị đánh cắp và tín dụng thẻ quà tặng thành tiền mặt hoặc tài sản có thể bán lại.

Tất cả kết hợp tạo nên một thị trường tích hợp chặt chẽ, nơi kẻ tấn công có thể chuẩn bị một quy mô lớn cho các đợt tấn công tăng đột biến dịp lễ hội. Nhiều công cụ và dịch vụ thậm chí còn xuất hiện dưới cụm từ quảng cáo "khuyến mãi mùa lễ", khiến nó tăng phần tương đồng với các chương trình khuyến mãi theo mùa hợp pháp.

Tội phạm mạng biến thỏa hiệp thành lợi nhuận

Các thị trường ngầm đang cho thấy sự gia tăng rõ rệt về số lượng danh sách liên quan đến thỏa hiệp thương mại điện tử và quy mô phản ánh mức độ tổ chức của các hoạt động này. Các tác nhân đe dọa đang bán toàn bộ cơ sở dữ liệu khách hàng được lấy từ các cửa hàng trực tuyến bị xâm nhập, cùng với hàng triệu hồ sơ WooCommerce bị rò rỉ chứa thông tin chi tiết về người mua và người bán.

Mã thông báo thanh toán và thông tin liên hệ của khách hàng xuất hiện thường xuyên, cũng như cookie trình duyệt cho phép người mua bỏ qua hoàn toàn mật khẩu và xác thực đa yếu tố (MFA). Một số danh sách thậm chí còn cung cấp tài khoản có quyền truy cập quản trị hoặc FTP vào các trang web bán lẻ có doanh thu cao, cho phép kẻ tấn công kiểm soát trực tiếp các hệ thống phụ trợ. Những danh sách khác đang tuyển dụng đồng phạm cho các hoạt động rút tiền, cho phép rửa tiền nhanh chóng hoặc kiếm tiền từ số dư bị đánh cắp và các giao dịch mua hàng gian lận.

Do mùa lễ hội phát sinh khối lượng giao dịch cao hơn và hành vi mua sắm thường diễn ra nhanh hơn, các tài khoản bị xâm phạm di chuyển nhanh chóng qua các thị trường này. Các phiên bị đánh cắp với lịch sử mua sắm đang hoạt động đặc biệt có giá trị, vì chúng rất giống với hoạt động của người dùng hợp pháp và khó bị phát hiện theo thời gian thực.

Điều này có ý nghĩa gì đối với các nhà lãnh đạo doanh nghiệp?

Các phát hiện cho thấy một mô hình rõ ràng: Kẻ tấn công đang hoạt động với tốc độ, tính tự động hóa và tính tổ chức thương mại cao hơn. Sự gia tăng hoạt động mạng thường thấy trong dịp lễ hội hiện nay kết hợp với các hệ sinh thái nhật ký đánh cắp dữ liệu lớn, công cụ AI phổ biến và các lỗ hổng lan rộng trong cơ sở hạ tầng thương mại điện tử.

Đối với các Giám đốc an ninh thông tin (CISO), các nhóm chống gian lận và các nhà lãnh đạo của tổ chức kinh doanh thương mại điện tử, đây không phải là một thách thức tạm thời chỉ giới hạn trong khoảng thời gian diễn ra nhiều lễ hội va sự kiện cuối năm mà còn phản ánh các xu hướng rộng hơn về công cụ tấn công và kiếm tiền sẽ tiếp tục trong năm 2026.

Lời khuyên dành cho các tổ chức và người tiêu dùng

Một vài bước thiết thực được thực hiện sớm có thể giảm đáng kể nguy cơ gian lận, chiếm đoạt tài khoản hoặc xâm nhập dữ liệu. Những tư vấn sau đây sẽ giúp các tổ chức và người tiêu dùng có thể làm để tránh các mối đe dọa phổ biến nhất trong mùa mua sắm năm 2025.

Lời khuyên dành cho tổ chức

- Cập nhật đầy đủ tất cả các nền tảng công nghệ trên các thương mại điện tử, plugin,chủ đề và tích hợp của bên thứ ba; đồng thời xóa bất kỳ nội dung nào không được sử dụng.

- Áp dụng mã hoá HTTPS ở mọi nơi và bảo mật cookie phiên, trang quản trị và luồng thanh toán.

- Yêu cầu xác thực MFA trên các tài khoản quản trị và tài khoản rủi ro cao, đồng thời áp dụng chính sách mật khẩu mạnh.

- Sử dụng các công cụ quản lý bot, giới hạn tốc độ và phát hiện bất thường để giảm thiểu việc lạm dụng thông tin đăng nhập.

- Giám sát các tên miền lừa đảo hoặc tương tự mạo danh thương hiệu của bạn và nhanh chóng xử lý các trường hợp bị gỡ bỏ.

- Quét các thay đổi tập lệnh trái phép và triển khai các biện pháp kiểm soát để phát hiện hành vi giả mạo hoặc skimmer trên trang thanh toán.

- Tập trung kiểm soát nhật ký để giám sát các hành động quản trị đáng ngờ, chiếm quyền điều khiển phiên hoặc truy cập cơ sở dữ liệu bất thường.

- Đảm bảo rằng các nhóm chống gian lận, bảo mật và hỗ trợ khách hàng của bạn tuân theo một lộ trình chống leo thang sự cố an ninh mạng chung trong suốt kỳ nghỉ lễ.

Lời khuyên dành cho người dùng

- Kiểm tra kỹ địa chỉ trang web trước khi nhập thông tin đăng nhập hoặc thanh toán.

- Sử dụng thẻ tín dụng hoặc bộ xử lý thanh toán đáng tin cậy có khả năng bảo vệ chống gian lận.

- Bật xác thực MFA trên tài khoản mua sắm, email và ngân hàng.

- Tránh sử dụng Wi-Fi công cộng hoặc sử dụng VPN khi mua hàng hoặc quản lý tài khoản tài chính.

- Thận trọng với các tin nhắn không mong muốn và các chương trình khuyến mãi không thực tế, đặc biệt là những tin nhắn liên quan đến giao hàng hoặc giảm giá.

- Thường xuyên kiểm tra sao kê ngân hàng và thẻ để nhanh chóng phát hiện các khoản phát sinh đáng ngờ.