VÒNG ĐỜI CỦA CUỘC TẤN CÔNG BEC: CÁCH NGĂN CHẶN NGAY TỪ GIAI ĐOẠN ĐẦU

TỔNG QUAN
Theo báo cáo của McKinsey, phishing, Business Email Compromise (BEC) và đánh cắp thông tin đăng nhập là ba nguyên nhân hàng đầu gây ra các sự cố an ninh mạng, khiến doanh nghiệp thiệt hại trung bình tới 5 triệu USD cho mỗi vụ việc thành công.
Sự gia tăng của các bộ công cụ BEC có sẵn khiến ngay cả những kẻ tấn công thiếu kinh nghiệm cũng có thể thực hiện các chiêu lừa đảo tinh vi. Cùng lúc đó, các “nhà môi giới truy cập ban đầu” triển khai hàng loạt chiến dịch phishing để đánh cắp và bán thông tin đăng nhập – thường được các nhóm ransomware mua lại.
Kết quả là mối đe dọa BEC đang gia tăng nhanh chóng và lan rộng trên nhiều lĩnh vực.

HIỂU VỀ BEC LÀ GÌ
Business Email Compromise (Giả mạo email doanh nghiệp) là một hình thức lừa đảo tinh vi nhắm vào tổ chức, thường dẫn đến việc chuyển tiền trái phép hoặc rò rỉ thông tin nhạy cảm.
Kẻ tấn công giả danh một cá nhân đáng tin cậy – như giám đốc, đối tác, hay nhà cung cấp – và dùng email để yêu cầu nhân viên thực hiện hành động có lợi cho chúng.
Điểm nguy hiểm là BEC không cần chứa liên kết độc hại hay tệp đính kèm, khiến hệ thống bảo mật truyền thống khó phát hiện.

CÁC GIAI ĐOẠN CỦA MỘT CUỘC TẤN CÔNG BEC VÀ CÁCH PHÒNG NGỪA
BEC tuân theo một chu trình nhiều giai đoạn, trong đó mỗi bước được thiết kế để thu thập thông tin, tạo niềm tin, và thực hiện hành vi gian lận.

GIAI ĐOẠN 1: THU THẬP THÔNG TIN (RECONNAISSANCE & TARGET MAPPING)

Kẻ tấn công sử dụng OSINT (nguồn thông tin công khai) như mạng xã hội, website công ty, các vụ rò rỉ dữ liệu để vẽ bản đồ tổ chức, xác định nhân sự chủ chốt và mô hình giao tiếp nội bộ.

Cách phòng ngừa:

Hạn chế chia sẻ thông tin cá nhân và cơ cấu tổ chức trên nền tảng công khai.
Thường xuyên rà soát mức độ lộ thông tin doanh nghiệp.
Sử dụng dịch vụ giám sát Dark Web để phát hiện khi dữ liệu hoặc tài khoản công ty bị rao bán.

GIAI ĐOẠN 2: XÂM NHẬP VÀ GIẢ MẠO (INITIAL ACCESS & IMPERSONATION)

Kẻ tấn công xâm nhập bằng cách đánh cắp tài khoản hợp pháp hoặc giả mạo email trông như từ lãnh đạo/đối tác thật.

Cách phòng ngừa:

Bắt buộc MFA chống phishing cho mọi tài khoản, đặc biệt là với nhân viên tài chính.
Thiết lập SPF, DKIM và DMARC với chính sách “reject” để chặn email giả mạo.
Sử dụng công nghệ AI phát hiện email lừa đảo tinh vi dựa trên mẫu hành vi.
Đào tạo nhân viên kiểm tra kỹ địa chỉ người gửi thật thay vì chỉ nhìn tên hiển thị.

GIAI ĐOẠN 3: QUAN SÁT VÀ CHUẨN BỊ (INTERNAL OBSERVATION / ATTACK PREP)

Khi đã chiếm được email, kẻ tấn công theo dõi hội thoại, bắt chước văn phong của người dùng, và có thể thiết lập quy tắc ẩn thư để che giấu hoạt động.

Cách phòng ngừa:

Giới hạn đăng nhập từ khu vực hoặc thiết bị bất thường.
Cảnh báo khi có thay đổi bất thường trong cấu hình hộp thư.
Dùng UEBA (phân tích hành vi người dùng) để phát hiện hoạt động bất thường.

GIAI ĐOẠN 4: TRIỂN KHAI TẤN CÔNG (PAYLOAD EXECUTION / URGENT REQUEST)

Kẻ tấn công gửi email giả mạo, lợi dụng sự cấp bách và uy quyền để yêu cầu chuyển tiền hoặc chia sẻ dữ liệu nhạy cảm – thường kèm theo yêu cầu “bảo mật tuyệt đối”.

Cách phòng ngừa:

Áp dụng xác minh ngoài kênh (out-of-band) cho mọi giao dịch tài chính.
Thiết lập phê duyệt kép cho các khoản chi lớn.
Đào tạo nhân viên nhận biết dấu hiệu tâm lý như khẩn cấp, bí mật, giả mạo cấp trên.
Quy định thời gian chờ (cool-down) trước khi xử lý các khoản chuyển lần đầu hoặc thay đổi thông tin thanh toán.

GIAI ĐOẠN 5: SAU TẤN CÔNG VÀ DUY TRÌ TRUY CẬP (POST-EXECUTION / PERSISTENCE)

Sau khi nạn nhân làm theo, tiền sẽ được chuyển nhanh qua nhiều tài khoản trung gian, làm mờ dấu vết. Kẻ tấn công có thể tiếp tục duy trì quyền truy cập để mở rộng mục tiêu.

Cách xử lý:

Kích hoạt kế hoạch ứng phó sự cố (IRP) ngay lập tức.
Liên hệ ngân hàng và cơ quan chức năng (như FBI’s IC3) để thu hồi tiền.
Đổi mật khẩu, thu hồi token, lưu giữ bằng chứng phục vụ điều tra.
Thông báo kịp thời cho tất cả đối tác, khách hàng bị ảnh hưởng.

GEN AI VÀ SỰ BIẾN ĐỔI CỦA MỐI ĐE DỌA BEC
Công nghệ AI tạo sinh (Generative AI) và deepfake đang khiến các cuộc tấn công BEC trở nên thực tế và nguy hiểm hơn bao giờ hết.
Kẻ xấu có thể tạo email mô phỏng chính xác văn phong nhân viên, thậm chí giả giọng hoặc video deepfake để lừa đảo đa kênh.

Điều này khiến việc phát hiện gian lận trở nên gần như bất khả thi, gia tăng đáng kể số lượng và mức độ tinh vi của các vụ BEC.

DẤU HIỆU CẢNH BÁO SỚM & BIỆN PHÁP GIẢM THIỂU

Theo dõi thay đổi bất thường trong ngữ điệu, cấu trúc hoặc độ khẩn cấp của email.
Triển khai AI phát hiện bất thường và công cụ NLP học máy để phân tích mẫu giao tiếp.
Luôn xác minh qua điện thoại hoặc nền tảng độc lập trước mọi yêu cầu tài chính.

BEC đang tiến hóa thành “BEC-as-a-Service” – mô hình tấn công công nghiệp hóa, sử dụng AI để lừa đảo bằng email, âm thanh và video.

HỢP TÁC ĐỂ PHÒNG VỆ CHỦ ĐỘNG
Để ngăn chặn BEC hiệu quả, doanh nghiệp cần kết hợp công nghệ + con người:

Áp dụng xác thực email nghiêm ngặt
MFA chống phishing cho toàn bộ hệ thống
Xác minh bắt buộc ngoài kênh cho các yêu cầu tài chính

KELA’s Cybercrime Threat Intelligence cung cấp giải pháp toàn diện giúp phát hiện sớm, giám sát các mối đe dọa, và bảo vệ thương hiệu doanh nghiệp khỏi việc bị giả mạo trên không gian ngầm – góp phần duy trì uy tín, bảo vệ dữ liệu và niềm tin khách hàng.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.

TIN TỨC TRƯỚC TỔ CHỨC TÀI CHÍNH GIẢM RỦI RO GIAN LẬN NHỜ ỨNG DỤNG AI TRÊN NỀN TẢNG AISTOR DATA LAKEHOUSE