Vào tháng 5/2025, một chiến dịch tấn công tinh vi nhắm vào nhân viên công ty thông qua thiết bị di động bị phát hiện. Tin tặc sử dụng thủ thuật gọi là SEO poisoning – tạo các trang web giả mạo và đẩy chúng lên đầu kết quả tìm kiếm Google – để đánh cắp thông tin đăng nhập cổng thanh toán lương, sau đó chuyển tiền lương về tài khoản của chúng.
Cổng payroll – hay còn gọi là hệ thống quản lý lương trực tuyến – là nền tảng giúp nhân viên và bộ phận nhân sự theo dõi, xử lý các thông tin liên quan đến tiền lương, thuế, phúc lợi và các khoản khấu trừ khác. Trên thế giới, nhiều doanh nghiệp sử dụng các nền tảng như Workday, ADP, BambooHR hay Paycom để quản lý hoạt động này. Tại Việt Nam, các doanh nghiệp lớn thường xây dựng hệ thống nội bộ có tích hợp tính năng quản lý lương với chức năng tương tự.
Gần đây, một chiến dịch tấn công tinh vi nhắm vào nhân viên công ty thông qua thiết bị di động bị phát hiện. Tin tặc sử dụng thủ thuật gọi là SEO poisoning – tạo các trang web giả mạo và đẩy chúng lên đầu kết quả tìm kiếm Google – để đánh cắp thông tin đăng nhập cổng thanh toán lương, sau đó chuyển tiền lương về tài khoản của chúng.
Cách thức tấn công bắt đầu từ một hành vi rất quen thuộc: nhân viên gõ tên công ty trên Google để truy cập vào hệ thống trả lương. Tuy nhiên, thay vì nhấp vào trang chính thức, họ có thể vô tình nhấp vào các đường link giả mạo nằm đầu trang – thường là quảng cáo. Các trang này được dựng bằng WordPress và thiết kế trông giống hệt giao diện đăng nhập của Microsoft. Đặc biệt, nếu truy cập bằng điện thoại, người dùng sẽ bị chuyển hướng thẳng tới trang lừa đảo.
Khi người dùng nhập tên và mật khẩu, thông tin sẽ ngay lập tức bị gửi về máy chủ của tin tặc. Không chỉ vậy, một kết nối trực tiếp được thiết lập để cảnh báo hacker ngay lập tức mỗi khi có ai “dính bẫy”, nhờ các dịch vụ thông báo như Pusher. Điều này giúp kẻ xấu nhanh chóng sử dụng tài khoản đánh cắp trước khi bị phát hiện và khóa lại.
Tin tặc tập trung vào điện thoại vì đây là thiết bị ít được bảo vệ hơn máy tính công ty – thường không có phần mềm bảo mật, thiếu giám sát, và kết nối từ mạng riêng ở nhà nên khó bị phát hiện. Ngoài ra, chúng còn khai thác các router gia đình dễ bị xâm nhập (như router ASUS, Pakedge), thường do lỗi cấu hình hoặc dùng mật khẩu mặc định.
Sau khi chiếm quyền kiểm soát router, hacker cài mã độc để biến thiết bị thành một phần của mạng lưới proxy ẩn danh (botnet). Mục đích là ngụy trang địa chỉ IP để trông giống như truy cập bình thường từ nơi làm việc của nạn nhân. Vì các IP này là IP dân dụng, không nằm trong danh sách đen như IP của VPN, nên hệ thống bảo mật khó phát hiện hoạt động bất thường.
Với thiệt hại do tấn công mạng được ước tính vượt mốc 10 nghìn tỷ USD vào năm 2025, các chuyên gia cảnh báo rằng các tổ chức không thể tiếp tục duy trì biện pháp phòng thủ bị động, bất kỳ sự lơ là nào cũng có thể trả giá bằng hậu quả chi phí to lớn của doanh nghiệp.
