Nhiều báo cáo gần đây cho thấy tội phạm mạng ngày càng chuyển hướng sang thế hệ trẻ – Gen Z – những người được sinh ra và lớn lên cùng công nghệ. Xu hướng này bắt nguồn từ sự tự tin về mặt công nghệ thường đi kèm với tâm lý chủ quan.

Gen Z – Thế hệ trẻ đang trở thành mục tiêu mới của tội phạm mạng

Gen Z – những người trong độ tuổi từ 18 đến 28 – hiện đang chiếm tỷ trọng ngày càng lớn trong lực lượng lao động toàn cầu. Đây là thế hệ đầu tiên trưởng thành với máy tính, mạng xã hội và các nền tảng số. Họ năng động, đa nhiệm và linh hoạt trong môi trường làm việc hiện đại. Theo thống kê của Kaspersky, gần một nửa Gen Z đang làm nhiều công việc cùng lúc – từ công việc chính thức đến freelancer và các hoạt động kinh tế số khác.

Xu hướng “polyworking” này khiến họ thường xuyên làm việc ở nhiều nền tảng, chuyển đổi thiết bị liên tục và duy trì đồng thời hàng chục tài khoản đăng nhập trên các ứng dụng khác nhau. Chính sự linh hoạt và khả năng số hóa tốt này lại tạo ra một “bề mặt tấn công” rộng chưa từng có, đặc biệt trong các doanh nghiệp đang áp dụng mô hình làm việc từ xa hoặc BYOD (Bring Your Own Device).

Điều đáng quan ngại là sự tự tin về mặt công nghệ thường đi kèm với tâm lý chủ quan. Gen Z hiểu biết về các công cụ số, nhưng điều đó không đồng nghĩa với kỹ năng phòng vệ trước các mối đe dọa an ninh. Họ có xu hướng click nhanh, ít kiểm tra liên kết, dùng lại mật khẩu ở nhiều tài khoản và sử dụng thiết bị cá nhân cho công việc.

Nhiều người quản lý email công việc trên điện thoại cá nhân, sử dụng ứng dụng trò chuyện không được kiểm soát như WhatsApp để trao đổi tài liệu khách hàng, hoặc thậm chí cài đặt phần mềm làm việc không qua kiểm duyệt của bộ phận CNTT.

Rủi ro không chỉ cá nhân mà còn ảnh hưởng đến doanh nghiệp

Các hình thức tấn công hướng vào Gen Z không khác biệt nhiều so với các chiến dịch truyền thống. Tuy nhiên, khả năng tiếp cận của tin tặc lại hiệu quả hơn nhờ việc khai thác các hành vi thường ngày của thế hệ này. Một xu hướng nổi bật là lừa đảo thông qua các cơ hội việc làm giả mạo. Lợi dụng lối sống đa nghề và tâm lý mong muốn có thêm thu nhập, nhiều chiến dịch tấn công đã tạo ra các trang tuyển dụng giả, thậm chí tổ chức cả “phỏng vấn ảo”.

Nạn nhân được yêu cầu đăng nhập vào website công ty bằng tài khoản cá nhân, tải tài liệu hoặc thậm chí đăng xuất khỏi tài khoản Apple để truy cập “hệ thống làm việc nội bộ”. Trong nhiều trường hợp, điện thoại của nạn nhân bị đưa vào chế độ Lost Mode và bị khóa, buộc họ phải trả phí chuộc để lấy lại quyền truy cập. Một khi đã xâm nhập được thiết bị, các thông tin như mật khẩu lưu trữ, dữ liệu ngân hàng và tài khoản công việc hoàn toàn có thể bị khai thác.

Chuyên gia bảo mật Anne Cutler từ Keeper Security cảnh báo rằng việc Gen Z vận hành hàng chục tài khoản mà không có công cụ quản lý mật khẩu phù hợp là một rủi ro nghiêm trọng. Chỉ cần một tài khoản bị xâm nhập cũng có thể gây ra hiệu ứng dây chuyền, khiến cả hệ thống cá nhân lẫn doanh nghiệp bị ảnh hưởng. Thực tế này càng cho thấy nhu cầu cấp thiết phải áp dụng các công cụ quản lý mật khẩu mạnh, bảo vệ thông tin định danh và duy trì tách biệt rõ ràng giữa tài khoản cá nhân và công việc.

Một rủi ro khác không kém phần nghiêm trọng là hành vi tự ý cài đặt phần mềm, tiện ích hoặc nền tảng mới để xử lý công việc mà không thông báo cho bộ phận IT. Đây là điều rất thường thấy ở Gen Z, khi họ có xu hướng “tự giải quyết vấn đề” thông qua các ứng dụng miễn phí hoặc nền tảng không chính thức.

Tuy nhiên, mỗi phần mềm cài đặt không qua kiểm duyệt lại mở ra một cánh cửa cho tin tặc. Theo CISO Chad Cragle của Deepwatch, những “khoảng trống kỹ thuật” này khi tích tụ theo thời gian sẽ rất khó kiểm soát và gần như không thể vá lỗi triệt để.

Doanh nghiệp hiện đại cần nhìn nhận lại cách tiếp cận với Gen Z trong chiến lược an toàn thông tin. Đây không chỉ là một nhóm nhân sự trẻ tuổi và thành thạo công nghệ, mà còn là một “bề mặt tấn công riêng biệt” trong tổ chức.

Các tổ chức cần xây dựng các chương trình truyền thông nội bộ sát với hành vi số thực tế của Gen Z, ví dụ như mô phỏng tấn công phishing qua nền tảng họ thường dùng, áp dụng cảnh báo thời gian thực trên thiết bị di động, hoặc sử dụng AI để tự động phát hiện hành vi bất thường trên các tài khoản liên kết với thiết bị cá nhân.

Về mặt chiến lược, doanh nghiệp cũng cần tích hợp các công cụ phòng thủ linh hoạt hơn – từ việc yêu cầu xác thực đa yếu tố (MFA) cho tất cả tài khoản truy cập, triển khai các giải pháp quản lý thiết bị đầu cuối (EDR), cho đến việc sử dụng AI để phát hiện hành vi đăng nhập bất thường. Trong bối cảnh nhiều nhân sự Gen Z làm việc từ xa, việc kiểm soát thiết bị, tài khoản và hành vi số cần được triển khai song song và liên tục, thay vì dựa vào quy định tĩnh.

Chuyên gia VSEC nhận định: Gen Z không thiếu kiến thức công nghệ, nhưng chính sự thành thạo đó lại khiến họ dễ bỏ qua các cảnh báo cơ bản về bảo mật. Nhiều sự cố được ghi nhận xuất phát từ việc nhân sự trẻ sử dụng thiết bị cá nhân để xử lý dữ liệu nội bộ, truy cập tài nguyên doanh nghiệp từ các mạng công cộng hoặc không sử dụng VPN. Những hành vi này khi kết hợp với tấn công xã hội tinh vi khiến hệ thống bị xâm nhập từ bên trong mà không có cảnh báo rõ ràng

Tội phạm mạng đang ngày càng tinh vi hơn, không chỉ về kỹ thuật mà còn về khả năng khai thác tâm lý. Trong khi thế hệ trước có thể thiếu kỹ năng số nhưng thường thận trọng, thì Gen Z lại chính là nhóm “tự tin nguy hiểm”. Doanh nghiệp không thể chỉ dựa vào hệ thống mà phải xem xét lại yếu tố con người – nơi luôn là mắt xích yếu nhất trong mọi chuỗi tấn công.

Sự phát triển của Gen Z như một phần tất yếu của lực lượng lao động hiện đại là điều không thể đảo ngược. Nhưng nếu không có chiến lược bảo vệ phù hợp, chính nhóm nhân sự đầy tiềm năng này sẽ trở thành “cửa hậu” dẫn đến hàng loạt cuộc tấn công không thể lường trước. Bảo vệ Gen Z, vì thế, không chỉ là bảo vệ một thế hệ, mà là bảo vệ chính tương lai số của doanh nghiệp.