Tội phạm mạng thay đổi "chiến thuật", mật khẩu truyền thống trở thành “tử huyệt”?

Thông tin đăng nhập trở thành “mỏ vàng” của hacker

Một phân tích mới về tình hình tội phạm mạng năm 2025 cho thấy số nạn nhân của mã độc tống tiền đã tăng 45% so với năm trước. Tuy nhiên, điều đáng lo ngại hơn cả không nằm ở con số này, mà là việc tội phạm mạng ngày càng phụ thuộc vào thông tin đăng nhập bị đánh cắp để xâm nhập hệ thống. Dù sử dụng nền tảng hay tài khoản nào, người dùng cũng không thể tiếp tục xem nhẹ vấn đề bảo mật mật khẩu.

Báo cáo “Tình hình tội phạm mạng năm 2026” của KELA cho biết đã ghi nhận ít nhất 2,86 tỷ thông tin đăng nhập bị lộ, bao gồm mật khẩu và cookie phiên có khả năng vượt qua xác thực hai lớp (2FA). Đáng chú ý, hơn 30% dữ liệu bị đánh cắp trong năm 2025 liên quan đến các dịch vụ đám mây và hệ thống xác thực doanh nghiệp.

Bên cạnh đó, phần mềm độc hại đánh cắp thông tin không còn phân biệt hệ điều hành mục tiêu. Theo KELA, số thiết bị macOS bị nhiễm mã độc đã tăng từ chưa đến 1.000 trường hợp trong năm 2024 lên hơn 70.000 trường hợp vào năm 2025, tương đương mức tăng 7.000%.

Trong nhiều năm qua, giới chuyên gia liên tục cảnh báo về mối nguy từ các phần mềm đánh cắp thông tin. Từ việc hàng triệu mật khẩu Gmail bị rò rỉ cho tới các chiến dịch của FBI nhằm triệt phá các băng nhóm tội phạm mạng đứng sau những cơ sở dữ liệu mật khẩu bị đánh cắp, vấn đề này chưa từng hạ nhiệt. Theo đánh giá của KELA, mối đe dọa không chỉ tiếp diễn mà còn gia tăng nhanh chóng qua từng năm.

Những thủ đoạn tinh vi khiến người dùng dễ sập bẫy

KELA cho biết các phần mềm đánh cắp thông tin được thiết kế nhằm lấy cắp dữ liệu nhạy cảm trên thiết bị bị xâm nhập, bao gồm thông tin đăng nhập, mã xác thực và nhiều dữ liệu tài khoản quan trọng khác. Sự phổ biến của mô hình “malware-as-a-service” (mã độc dưới dạng dịch vụ) trong giới tội phạm mạng cũng khiến rào cản gia nhập gần như bị xóa bỏ hoàn toàn.

Từ ngày 1/1 đến 31/12/2025, KELA ghi nhận khoảng 3,9 triệu máy tính trên toàn cầu bị nhiễm phần mềm đánh cắp thông tin, dẫn tới 347,5 triệu thông tin đăng nhập bị lộ. Tổng cộng, tổ chức này đã theo dõi được 2,86 tỷ thông tin đăng nhập bị đánh cắp từ nhiều nguồn khác nhau, bao gồm dữ liệu nhật ký của phần mềm đánh cắp thông tin và các cơ sở dữ liệu được rao bán trên chợ đen.

Theo báo cáo, các phương thức tấn công phổ biến nhất mà tội phạm mạng sử dụng trong năm qua gồm:

Email, ứng dụng nhắn tin và các chiêu trò lừa đảo cá nhân hóa bằng AI, thường vượt qua xác thực đa yếu tố (MFA) thông qua mô hình “phishing-as-a-service”.

- Dụ người dùng tự thực thi mã độc trên thiết bị, qua đó vượt qua các công cụ bảo mật truyền thống trong các cuộc tấn công được gọi là “tự hack mật khẩu”.

- Phát tán phần mềm chứa mã độc Trojan thông qua quảng cáo và kết quả tìm kiếm độc hại.

- Tấn công chuỗi cung ứng bằng các gói phần mềm độc hại hoặc giả mạo công cụ DevTools nhằm đánh cắp tài khoản có quyền truy cập cao.

- Lợi dụng các bản cập nhật tiện ích mở rộng trình duyệt bị xâm phạm để thu thập dữ liệu biểu mẫu và đánh cắp cookie.

- Phát tán ứng dụng lậu và các bản cập nhật phần mềm giả mạo.

Chuyên gia khuyến cáo bỏ dần mật khẩu truyền thống

Để hạn chế nguy cơ trở thành nạn nhân của tội phạm mạng, các chuyên gia khuyến nghị người dùng thường xuyên cập nhật hệ điều hành và phần mềm, chỉ tải ứng dụng từ nguồn chính thức và tuyệt đối không nhấp vào liên kết trong email hoặc tin nhắn lạ, dù chúng có vẻ đáng tin cậy.

Ngoài ra, việc sử dụng trình quản lý mật khẩu giúp tránh tình trạng dùng chung mật khẩu cho nhiều tài khoản, từ đó giảm thiểu thiệt hại nếu một tài khoản bị xâm phạm. Người dùng cũng nên kích hoạt xác thực hai lớp cho mọi tài khoản có hỗ trợ nhằm tăng thêm lớp bảo vệ trước nguy cơ đánh cắp mật khẩu.

Tuy nhiên, khi các phần mềm đánh cắp thông tin ngày càng lợi dụng cookie phiên để vượt qua 2FA, các chuyên gia cho rằng giải pháp an toàn hơn là chuyển sang sử dụng passkey thay cho mật khẩu truyền thống. Passkey có khả năng chống lừa đảo tốt hơn, được tạo ngẫu nhiên và không bao giờ chia sẻ trực tiếp trong quá trình đăng nhập. Quan trọng hơn, khóa riêng tư luôn được lưu trên thiết bị của người dùng, khiến chúng gần như không thể bị đánh cắp thông qua các hình thức chặn bắt dữ liệu hay phần mềm đánh cắp thông tin hiện nay.