Ngành tài chính toàn cầu đang phải đối mặt với làn sóng tấn công từ chối dịch vụ phân tán ( Tấn công DDoS) ngày càng tinh vi, kéo dài và có chủ đích. Các cuộc tấn công DDoS gần đây đã không còn là những hành động gây rối đơn thuần, mà đã trở thành mối đe dọa chiến lược nghiêm trọng, đủ sức làm tê liệt hạ tầng số của các tổ chức tài chính trong nhiều ngày liên tiếp. 

Sự leo thang về quy mô và độ chính xác

Khác với các hình thức tấn công DDoS kiểu cũ (chủ yếu là tấn công băng thông với lưu lượng lớn), các chiến dịch hiện nay sử dụng kỹ thuật đa tầng (multi-dimensional attacks), lợi dụng lỗ hổng trong API và giả lập hành vi truy cập hợp lệ, khiến hệ thống phòng thủ truyền thống khó phát hiện.

Theo báo cáo từ FS-ISAC và Akamai, trong năm 2024, đã ghi nhận nhiều chiến dịch tấn công DDoS có phối hợp nhắm vào các ngân hàng khác nhau, gây ra sự cố kéo dài nhiều ngày. Điều này cho thấy một bước ngoặt mới so với các sự cố DDoS trước đây vốn chỉ gián đoạn trong thời gian ngắn.

Một trong những điểm đáng chú ý nhất là mức độ tê liệt mà các chiến dịch tấn công DDoS mới có thể gây ra. Năm 2024 đã ghi nhận nhiều đợt tấn công đồng thời vào các tổ chức tài chính lớn, dẫn đến gián đoạn dịch vụ kéo dài từ 3 đến 5 ngày – điều hiếm thấy trong các cuộc tấn công trước đây. Không chỉ khiến hệ thống giao dịch tạm ngưng, hậu quả còn kéo dài tới việc gián đoạn vận hành, mất lòng tin của khách hàng và tiềm ẩn các rủi ro pháp lý nghiêm trọng.

Trong một số trường hợp được nêu, các nhóm tấn công thực hiện hoạt động trinh sát kéo dài trước khi ra tay, bao gồm việc thu thập dữ liệu về mô hình kinh doanh, thời gian cao điểm, kiến trúc hạ tầng và các điểm yếu trong giao diện lập trình ứng dụng (API). Khi đã có đủ thông tin, kẻ tấn công thực hiện các chiến dịch nhắm mục tiêu chính xác, tận dụng các khung giờ dễ tổn thương để tối đa hóa tác động.

Các API – vốn là nền tảng không thể thiếu trong hệ sinh thái ngân hàng số – đang trở thành “điểm yếu chiến lược” trong phòng thủ mạng. Chỉ trong vòng một năm, từ 2023 đến 2024, tỷ lệ các cuộc tấn công DDoS nhắm vào API tài chính đã tăng tới 58%. Việc gia tăng phụ thuộc vào kết nối số và hạ tầng điện toán đám mây không chỉ mở rộng bề mặt tấn công, mà còn làm tăng tính tổn thương của toàn bộ chuỗi vận hành.

Không giống như những năm trước, các hệ thống tấn công DDoS hiện đại có khả năng giả lập truy cập hợp lệ từ người dùng thực, vượt qua các công cụ lọc thông thường và đòi hỏi sự hiện diện của các công nghệ phân tích hành vi nâng cao để phát hiện và phản ứng kịp thời.

Thay đổi tư duy phòng thủ trước các cuộc tấn công DDoS

Sự tiến hóa của các chiến dịch tấn công DDoS không còn nằm đơn thuần ở khối lượng lưu lượng hay kỹ thuật tấn công, mà đặc biệt thể hiện rõ ở giai đoạn chuẩn bị. Các nhóm tấn công hiện nay tiến hành thu thập thông tin tình báo có chủ đích trước khi hành động – từ phân tích mô hình vận hành của tổ chức, khung giờ cao điểm giao dịch, cấu trúc hệ thống CNTT, cho đến các phương án sao lưu, chuyển tuyến, hoặc khôi phục sau tấn công.

Với sự am hiểu sâu sắc về quy trình vận hành của mục tiêu, kẻ tấn công có thể lên kế hoạch và điều phối tấn công một cách chính xác theo thời gian thực, nhắm đúng vào những điểm yếu có tính sống còn – đặc biệt trong các khung giờ nhạy cảm về giao dịch tài chính hoặc xử lý dữ liệu lớn.

Một xu hướng đáng lo ngại hơn chính là việc tấn công DDoS ngày càng khó nhận diện, khi lưu lượng sử dụng được thiết kế để mô phỏng hành vi truy cập của người dùng thực. Các mẫu truy cập này dễ dàng vượt qua các hệ thống phòng thủ dựa trên quy tắc (rule-based) truyền thống, buộc tổ chức phải nâng cấp sang các công cụ phân tích hành vi (behavioral analytics) thế hệ mới để phát hiện những bất thường tinh vi nhất.

Với đặc thù phụ thuộc vào API, các nền tảng thanh toán thời gian thực và hạ tầng web phức hợp, các tổ chức tài chính hiện đang là đích ngắm hàng đầu của những chiến dịch DDoS phối hợp nhiều vector. Điều này đặt ra yêu cầu cấp thiết phải đánh giá lại toàn diện năng lực phòng thủ, đặc biệt ở những “điểm yếu chiến lược” trong chuyển đổi số mà trước đây chưa được xem là ưu tiên an ninh.

Chuyên gia VSEC nhận định: “Các chiến dịch DDoS hiện nay không còn dừng lại ở mức gây gián đoạn tạm thời. Chúng đã trở thành mối đe dọa chiến lược, trực tiếp ảnh hưởng đến tính liên tục vận hành, niềm tin khách hàng và danh tiếng của các tổ chức, đặc biệt là các tổ chức tài chính. Trước bối cảnh đó, việc phòng thủ trước các chiến dịch tấn công quy mô lớn này cần được nhìn nhận như một ưu tiên chiến lược – đòi hỏi sự đầu tư nghiêm túc, bài bản, chủ động và dài hạn.”

Trong bối cảnh tấn công DDoS ngày càng mang tính chiến lược và có chủ đích, các tổ chức – đặc biệt là trong lĩnh vực tài chính, việc đầu tư vào các hệ thống giám sát thông minh, nền tảng phân tích hành vi nâng cao, cũng như xây dựng các kịch bản phản ứng sự cố theo thời gian thực, không còn là lựa chọn – mà là yêu cầu bắt buộc. Chủ động phát hiện – phản ứng nhanh – phục hồi thông minh sẽ là ba trụ cột quyết định khả năng sống còn trước các chiến dịch tấn công ngày một tinh vi hơn trong tương lai gần.