Vishing – Mối đe dọa đang leo thang trong chuỗi tấn công hiện đại 

vishing

Vishing – hay còn gọi là voice phishing – đang nổi lên như một trong những chiến thuật xâm nhập hiệu quả nhất mà các nhóm tội phạm mạng (eCrime) sử dụng trong năm 2024. Không còn là chiêu trò đơn lẻ, vishing đã phát triển thành các chiến dịch có tổ chức, với kịch bản tinh vi, nhắm trực tiếp vào điểm yếu lớn nhất của mọi hệ thống bảo mật: con người. 

Khi một cuộc gọi trở thành điểm bắt đầu của xâm nhập mạng 

CrowdStrike ghi nhận tốc độ tăng trưởng 40% mỗi tháng của các chiến dịch vishing trong năm qua. Riêng nửa cuối 2024, các hệ thống phát hiện của họ bắt đầu ghi nhận nhiều vụ tấn công mỗi ngày, trong đó phần lớn dẫn tới việc triển khai ransomware – điển hình là Black Basta – hoặc xâm nhập sâu vào hệ thống mạng doanh nghiệp. 

vishing

Các cuộc tấn công vishing (lừa đảo qua giọng nói) tăng vọt 442% chỉ trong nửa cuối năm 2024 (Theo Crowd Strike – “Global threat report 2025) 

Không giống như các hình thức phishing truyền thống qua email, vishing không thể bị chặn bởi những lớp bảo vệ như bộ lọc spam, sandbox hay EDR. Nó tận dụng yếu tố con người – sự tin tưởng, thói quen vận hành thiếu xác minh – để vượt qua mọi cơ chế kỹ thuật. 

Những kẻ tấn công không đơn giản gọi điện và hy vọng người dùng tin tưởng. Chúng dựng nên kịch bản rõ ràng, có sẵn pretext (tình huống giả định): nhân viên hỗ trợ kỹ thuật từ Microsoft hoặc bộ phận IT, gọi để “hỗ trợ xử lý lỗi kết nối”, hoặc “giải quyết sự cố bảo mật”. Nếu người dùng tin, chúng sẽ hướng dẫn cài phần mềm điều khiển từ xa như Quick Assist, Supremo hoặc RustDesk – từ đó truy cập sâu vào thiết bị và hệ thống mạng nội bộ. 

Rất nhiều chiến dịch vishing được tổ chức dưới hình thức kết hợp. Một kỹ thuật phổ biến là “email bombing”: hacker gửi hàng nghìn email rác đến hòm thư nạn nhân, khiến họ không thể sử dụng email bình thường. Sau đó, một cuộc gọi “hỗ trợ kỹ thuật” sẽ đến. Trong trạng thái căng thẳng, người dùng thường dễ chấp nhận sự trợ giúp mà không kiểm tra kỹ nguồn gốc. 

Một số chiến dịch khác bắt đầu từ quảng cáo độc hại (malvertising). Khi người dùng click vào, họ được chuyển tới trang cảnh báo giả – mô phỏng hệ thống Microsoft – thông báo máy bị nhiễm mã độc và đưa ra số điện thoại hỗ trợ. Cuộc gọi từ đó trở thành cánh cổng để kẻ tấn công thâm nhập hệ thống. 

Sự trỗi dậy của deepfake giọng nói trong các cuộc gọi lừa đảo 

Các chuyên gia VSEC nhận định, trí tuệ nhân tạo (AI) đang đóng vai trò ngày càng quan trọng trong lĩnh vực an ninh mạng, không chỉ hỗ trợ các hệ thống phòng thủ mà còn mở ra nguy cơ bị tin tặc lợi dụng để thực hiện các cuộc tấn công tinh vi.  

AI không chỉ là một công cụ hỗ trợ, mà còn là một vũ khí mới trong cuộc chiến không gian mạng. Khi AI được trang bị cho các cuộc tấn công, chúng ta đang bước vào một kỷ nguyên mới của tội phạm mạng, nơi mà tốc độ, sự tinh vi và khả năng tự động hóa đạt đến mức độ chưa từng có. 

Điều đáng lo ngại hơn là các chiến dịch vishing hiện đã tích hợp trí tuệ nhân tạo. Hacker có thể tạo giọng nói gần như giống hệt CFO, IT Admin hoặc các nhân vật có quyền quyết định trong doanh nghiệp. Những đoạn hội thoại được thiết kế để tạo áp lực thời gian, giả lập các yêu cầu chuyển tiền, cung cấp mật khẩu, hoặc truy cập hệ thống khẩn cấp. 

Các nhóm APT như Storm-1811 đã sử dụng phương pháp này trong nhiều chiến dịch suốt năm 2024. Một số vụ việc ghi nhận tổn thất lên tới hàng triệu USD, chưa kể hệ quả dài hạn như đánh cắp dữ liệu, tống tiền, hoặc làm gián đoạn hoạt động kinh doanh. 

Liệu doanh nghiệp đã sẵn sàng để phòng thủ trước vishing?

Phần lớn doanh nghiệp hiện nay vẫn chưa có hệ thống theo dõi hoặc cảnh báo trên các kênh liên lạc thoại. Khi hạ tầng bảo mật còn tập trung vào email, endpoint hay firewall, thì điện thoại – bao gồm cả các nền tảng như Microsoft Teams – lại bị bỏ ngỏ, trở thành điểm mù trong chiến lược phòng thủ tổng thể. 

Đây chính là lý do vishing ngày càng hiệu quả. Thay vì vượt qua tường lửa hay khai thác lỗ hổng hệ điều hành, kẻ tấn công chỉ cần một cuộc gọi được chuẩn bị kỹ càng – giả danh bộ phận IT, lợi dụng sự tin tưởng và thiếu quy trình xác minh của người dùng – là có thể dẫn đến hành vi truy cập từ xa, cài đặt công cụ điều khiển, chiếm quyền hệ thống. 

Theo báo cáo của Ontinue, chỉ riêng quý IV/2024, các cuộc tấn công dạng vishing đã tăng tới 1.633%. Các nhóm tội phạm mạng đã tinh vi hơn: tạo email giả, dựng kịch bản hợp lý, tận dụng công cụ như Microsoft Quick Assist để thao túng nạn nhân từ xa. Và đáng lo ngại hơn, những cuộc gọi ấy thường không để lại dấu hiệu bất thường rõ ràng trong hệ thống – cho đến khi mã độc được kích hoạt, hoặc ransomware được triển khai. 

Tội phạm mạng giờ đây không còn chỉ tấn công vào lỗ hổng phần mềm. Chúng nhắm vào quy trình vận hành, văn hóa nội bộ, và cả những phút giây lơ là của con người. Trong bối cảnh đó, các doanh nghiệp không thể chỉ đặt niềm tin vào firewall hay phần mềm diệt virus. Cần có một bước kiểm tra toàn diện, độc lập – để xác định liệu hệ thống hiện tại có đang bị xâm nhập âm thầm hay không. 

Dịch vụ VSEC MDR với khả năng phát hiện tấn công mạnh mẽ kết hợp với công nghệ trí tuệ nhân tạo (AI), học máy (Machine Learning) và Threat Intelligence giúp phát hiện các mối đe dọa tinh vi mà các giải pháp truyền thống khó nhận diện.  

MDR không chỉ dựa vào các mẫu (signature) mà còn đánh giá hành vi và phân tích theo ngữ cảnh để nhận diện các dấu hiệu bất thường. Ngoài ra MDR cung cấp sự phản hồi nhanh chóng để phản ứng với các nguy cơ, sự cố nhằm hạn chế tối đa ảnh hưởng từ các mối đe dọa 

Với đội ngũ nhân sự giàu kinh nghiệm có khả năng phát hiện những nguy cơ tiềm ẩn và lọc bỏ những cảnh báo không cần thiết, tập trung vào các mối đe dọa thật sự, đưa ra những giải pháp phù hợp giúp hạn chế ảnh hưởng có thể xảy ra. 

Phát hiện sớm, ngay cả khi chưa có cảnh báo. Bảo vệ hệ thống, ngay cả khi không thấy sự cố. Đó là cách doanh nghiệp có thể đi trước một bước – trước khi một cuộc gọi bất kỳ trở thành điểm bắt đầu cho một cuộc khủng hoảng an ninh mạng thực sự.