Các nhóm tội phạm mạng đang thay đổi cách thức tấn công, chuyển từ việc khai thác lỗ hổng kỹ thuật hay lừa đảo xã hội sang mua chuộc chính người bên trong tổ chức. Thay vì tìm cách “phá cửa”, chúng sẵn sàng trả tiền để có được quyền truy cập hợp pháp vào hệ thống, dữ liệu hoặc hạ tầng công nghệ của doanh nghiệp.
Những phát hiện gần đây cho thấy nhân viên trong các ngân hàng, công ty viễn thông và doanh nghiệp công nghệ đang bị tiếp cận trực tiếp thông qua các diễn đàn darknet. Mục tiêu của các lời mời này là mua bán quyền truy cập vào mạng nội bộ, thiết bị người dùng, hệ thống cloud hoặc dữ liệu nhạy cảm. Mức chi trả dao động từ 3.000 đến 15.000 USD, tùy theo loại quyền truy cập hoặc giá trị thông tin được cung cấp.
Xu hướng này tạo ra thách thức an ninh đặc biệt nghiêm trọng, bởi khi mối đe dọa xuất phát từ bên trong, các cơ chế phòng thủ truyền thống gần như bị vô hiệu hóa. Nhân sự nội bộ có thể chủ động tắt các lớp bảo vệ, làm lộ thông tin xác thực, hoặc cung cấp dữ liệu quan trọng, khiến việc phát hiện và ngăn chặn tấn công trở nên khó khăn hơn rất nhiều.
Các chiến dịch tuyển dụng nội gián thường nhắm vào những ngành sở hữu dữ liệu có giá trị cao. Trong đó, các sàn giao dịch tiền mã hóa như Coinbase, Binance, Kraken hay Gemini là mục tiêu thường xuyên, bên cạnh các ngân hàng lớn và các tập đoàn công nghệ như Apple, Samsung hay Xiaomi.
Lĩnh vực tài chính tiếp tục là “điểm nóng” do khả năng tiếp cận trực tiếp tới tiền và dữ liệu khách hàng. Có trường hợp, kẻ tấn công tìm mua toàn bộ lịch sử giao dịch của một ngân hàng lớn tại châu Âu, cho thấy mức độ chi tiết và tham vọng của các kịch bản tấn công. Một số mô hình còn hướng tới hợp tác dài hạn, với đề nghị trả 1.000 USD mỗi tuần cho nội gián làm việc trong các cơ quan thuế tại Nga.
Trong khi đó, nhân viên ngành viễn thông cũng trở thành mục tiêu đặc biệt do khả năng hỗ trợ các cuộc tấn công hoán đổi SIM (SIM swapping). Bằng cách này, tội phạm có thể chặn tin nhắn SMS, vượt qua các lớp xác thực hai yếu tố và chiếm quyền kiểm soát tài khoản của nạn nhân. Các chuyên gia ghi nhận mức “thù lao” cho sự hợp tác trong lĩnh vực viễn thông đã lên tới 10.000–15.000 USD.
Để thu hút người tham gia, các bài đăng tuyển dụng trên darknet thường đánh mạnh vào tâm lý và cảm xúc. Một số quảng cáo kêu gọi nhân viên “thoát khỏi vòng lặp công việc mệt mỏi”, hứa hẹn thu nhập lớn, thậm chí ở mức năm đến sáu chữ số. Những thông điệp này đặc biệt nhắm vào các nhân sự lâu năm, có quyền truy cập ổn định và hiểu rõ hệ thống nội bộ, coi sự hợp tác với tội phạm là con đường “tự do tài chính” nhanh chóng.
Về mặt vận hành, các hoạt động tuyển dụng nội gián được tổ chức bài bản và có cấu trúc rõ ràng. Kẻ tấn công đăng thông tin chi tiết về yêu cầu công việc, loại quyền truy cập cần có, tổ chức mục tiêu và điều khoản thanh toán. Phần lớn các bài đăng xuất hiện trên các diễn đàn darknet sử dụng tiếng Nga, song nhiều nhóm ransomware còn tận dụng Telegram với hàng trăm thành viên để quảng bá “cơ hội hợp tác”.
Các hình thức thanh toán gần như chỉ sử dụng tiền mã hóa nhằm đảm bảo ẩn danh, trong đó Bitcoin và Monero là hai lựa chọn phổ biến nhất. Những yêu cầu từ phía tội phạm rất cụ thể, từ vô hiệu hóa phần mềm bảo vệ thiết bị, cung cấp thông tin VPN, cài đặt công cụ truy cập từ xa cho tới đánh cắp và trích xuất các cơ sở dữ liệu chứa thông tin khách hàng.
