Đây là những thông tin được đưa ra trong báo cáo tổng quan được Fortinet công bố mới đây, cho thấy bức tranh về an ninh mạng mùa lễ hội cuối năm.

Theo đó, Báo cáo FortiRecon về Tổng quan Bối cảnh các Mối đe dọa An ninh mạng của mùa lễ hội 2025 được tổng hợp bởi FortiGuard Labs chỉ ra rằng: Sự tăng mạnh về số lượng các tên miền lừa đảo, tài khoản bị đánh cắp và các nền tảng thương mại điện tử (TMĐT) bị khai thác đang hình thành nên một trong những môi trường an ninh mạng đáng lo ngại nhất trong những năm gần đây.

Mùa lễ hội 2025: Tội phạm mạng đã có sự chuẩn bị kỹ càng

Trong một bài viết có tiêu đề "Các mối đe dọa an ninh mạng nổi bật trong mùa lễ hội 2025: Những điều các Giám đốc An ninh Thông tin cần lưu ý", các chuyên gia cấp cao đến từ Fortinet là Bhumit Mali và Aamir Lakhani cho biết, hàng năm, mùa lễ hội vẫn thường ghi nhận sự gia tăng đột biến của các hoạt động tấn công trực tuyến có thể dự đoán trước. Nhưng năm nay, khối lượng cơ sở hạ tầng độc hại mới được tạo ra, hoạt động xâm phạm tài khoản và khai thác có chủ đích các hệ thống TMĐT đã cao hơn đáng kể. Những kẻ tấn công đã bắt đầu chuẩn bị từ nhiều tháng trước, tận dụng các công cụ và dịch vụ công nghiệp hóa cho phép chúng mở rộng quy mô tấn công trên nhiều nền tảng, khu vực địa lý và danh mục nhà cung cấp.

Các chuyên gia này cảnh báo, đối với các nhà bán lẻ, tổ chức tài chính và bất kỳ doanh nghiệp nào vận hành cơ sở hạ tầng TMĐT, các mối đe dọa hiện đang hoạt động mạnh mẽ hoặc gắn chặt với hành vi của người tiêu dùng hơn bao giờ hết.

Nghiên cứu về các mối đe dọa của FortiGuard đã phân tích dữ liệu từ ba tháng qua để xác định các mô hình quan trọng nhất định hình bề mặt tấn công trong dịp lễ hội cuối năm 2025. Những phát hiện của FortiGuard cho thấy một xu hướng rõ ràng: Kẻ tấn công đang di chuyển nhanh hơn, tự động hóa nhiều hơn và tận dụng tối đa sự gia tăng của hoạt động mùa vụ.

Một trong những dấu hiệu rõ ràng nhất về hoạt động của kẻ tấn công là việc đăng ký tên miền mới. FortiGuard đã xác định được hơn 18.000 tên miền theo chủ đề lễ hội được đăng ký trong ba tháng qua có liên quan đến các thuật ngữ như “Christmas,” “Black Friday,” and “Flash Sale”. Ít nhất 750 trong số này được xác nhận là độc hại. Điều này cho thấy nhiều tên miền vẫn được coi là không độc hại và đó có thể là rủi ro tiềm ẩn.

Đồng thời, FortiGuard cũng ghi nhận sự gia tăng ở các tên miền nhái các thương hiệu bán lẻ lớn. Kẻ tấn công đã đăng ký hơn 19.000 tên miền theo chủ đề TMĐT, trong đó có 2.900 tên miền là độc hại.

Những tên miền này hỗ trợ lừa đảo, gian lận, lừa đảo thẻ quà tặng và các chương trình thu thập thông tin thanh toán. Chúng cũng góp phần vào các chiến dịch đầu độc SEO, làm tăng giả tạo các URL độc hại trong kết quả tìm kiếm trong suốt thời gian diễn ra các sự kiện mua sắm cao điểm.

Dữ liệu tài khoản bị đánh cắp tăng kỷ lục

Báo cáo cũng cho thấy sự gia tăng đáng kể về tính khả dụng và việc sử dụng nhật ký đánh cắp. Trong ba tháng qua, hơn 1,57 triệu tài khoản đăng nhập được liên kết với các trang web TMĐT lớn có sẵn thông qua nhật ký đánh cắp đã được thu thập trên các thị trường ngầm.

Thông tin tài khoản đánh cắp chứa mật khẩu, cookie, mã thông báo phiên, dữ liệu tự động điền và dấu vân tay hệ thống được lưu trữ trên trình duyệt. Trong kỳ nghỉ lễ, người dùng đăng nhập vào nhiều tài khoản trên nhiều thiết bị, khiến những thông tin này đặc biệt có giá trị.

Các thị trường tội phạm hiện lập chỉ mục các nhật ký này bằng bộ lọc tìm kiếm, điểm uy tín và hệ thống phân phối tự động. Điều này làm giảm đáng kể rào cản kỹ năng, cho phép “nhồi nhét’ thông tin xác thực nhanh chóng, chiếm đoạt tài khoản và mua hàng trái phép.

Báo cáo cũng ghi nhận các "đợt giảm giá ngày lễ" đang diễn ra trên các tập dữ liệu thẻ và CVV. Các tác nhân đe dọa sử dụng các chương trình khuyến mãi theo phong cách “Black Friday” để đẩy dữ liệu tài chính bị đánh cắp với giá chiết khấu, thúc đẩy sự gia tăng gian lận.

Hoạt động đe dọa năm nay được thúc đẩy bởi mức độ tự động hóa cao, được hỗ trợ bởi một hệ sinh thái dịch vụ hoàn thiện, giúp kẻ tấn công không cần phải tự xây dựng công cụ hoặc cơ sở hạ tầng. Các khuôn khổ tấn công brute-force được hỗ trợ bởi AI hiện có thể xử lý khối lượng lớn các lần đăng nhập với thời gian và hành vi giống con người, khiến các cuộc tấn công thông tin đăng nhập trở nên khó phát hiện hơn. Các công cụ xác thực thông tin đăng nhập được thiết kế riêng cho WooCommerce, WordPress, FTP, SMTP và các bảng quản trị phổ biến cho phép kẻ tấn công nhanh chóng kiểm tra và xác nhận tên người dùng và mật khẩu bị đánh cắp trên toàn bộ nhóm trang web. Các dịch vụ proxy và VPN hàng loạt cung cấp địa chỉ IP luân phiên và mang tính đa dạng về mặt địa lý, giúp ngăn chặn hoạt động tự động kích hoạt giới hạn tốc độ hoặc kiểm soát hàng rào địa lý.

Trong số này, dịch vụ lưu trữ thiết lập tức thời cho các trang lừa đảo hoặc phân phối phần mềm độc hại đã trở thành dịch vụ chủ lực, cung cấp cho kẻ tấn công các máy chủ sẵn sàng chỉ yêu cầu cấu hình tối thiểu. Các dịch vụ sao chép trang web mới có thể sao chép toàn bộ “mặt tiền cửa hàng” để sử dụng trong các chiến dịch lừa đảo, trong khi các nền tảng SIP tự động hỗ trợ các nỗ lực lừa đảo trực tuyến với số lượng lớn bằng ID người gọi giả mạo. Các bảng spam SMS mở rộng khả năng này thành các chiến dịch smishing, cho phép kẻ tấn công nhắm mục tiêu vào người mua sắm bằng thông báo giao hàng giả mạo hoặc ưu đãi giảm giá.

Các gói thao túng SEO cũng đang được tiếp thị để đẩy các URL độc hại lên cao hơn trong kết quả tìm kiếm, làm tăng khả năng người mua sắm vội vàng sẽ nhấp chuột vào chúng. Song song đó, các dịch vụ chuyên biệt cài đặt skimmer thanh toán hoặc backdoor trên các nền tảng dựa trên CMS, cho phép đánh cắp dữ liệu lâu dài. Thậm chí đã có cả các hướng dẫn chi tiết về cách chuyển đổi số dư ví điện tử bị đánh cắp và tín dụng thẻ quà tặng thành tiền mặt hoặc tài sản có thể bán lại... Tất cả kết hợp tạo nên một thị trường tích hợp chặt chẽ, nơi kẻ tấn công có thể chuẩn bị một quy mô lớn cho các đợt tấn công tăng đột biến dịp lễ hội.

Các phát hiện cho thấy một mô hình rõ ràng: Kẻ tấn công đang hoạt động với tốc độ, tính tự động hóa và tính tổ chức thương mại cao hơn. Sự gia tăng hoạt động mạng thường thấy trong dịp lễ hội hiện nay kết hợp với các hệ sinh thái nhật ký đánh cắp dữ liệu lớn, công cụ AI phổ biến và các lỗ hổng lan rộng trong cơ sở hạ tầng TMĐT.

Đối với các Giám đốc an ninh thông tin (CISO), các nhóm chống gian lận và các nhà lãnh đạo của tổ chức kinh doanh TMĐT, đây không phải là một thách thức tạm thời chỉ giới hạn trong khung thời gian lễ hội. Nó phản ánh các xu hướng rộng hơn về công cụ tấn công và kiếm tiền sẽ tiếp tục trong năm 2026.