Ngày 5 tháng 2 năm 2026

Sự dân chủ hóa các cuộc tấn công mạng là một xu hướng đáng lo ngại. Công nghệ và phương pháp từng chỉ dành cho những kẻ tấn công có kỹ năng cao nay đã trở nên dễ tiếp cận với hầu hết mọi người chỉ cần có kiến ​​thức kỹ thuật tối thiểu và khả năng điều hướng các chợ đen trên web. Sự chuyển đổi này đặc biệt rõ rệt trong các cuộc tấn công xác minh danh tính , nơi sự xuất hiện của các dịch vụ này đã làm thay đổi căn bản bối cảnh mối đe dọa.

Bài viết này khám phá cách thức Tấn công dưới dạng dịch vụ (Attack-as-a-Service - AaaS) đã làm thay đổi hành vi gian lận danh tính, tiết lộ cơ chế hoạt động bên trong của hệ sinh thái tội phạm này và cung cấp những hiểu biết thiết yếu giúp các tổ chức tự bảo vệ mình trước mối đe dọa đang phát triển này.

Attack-as-a-Service là gì?

Dịch vụ tấn công (Attack-as-a-Service) đại diện cho việc thương mại hóa và dân chủ hóa khả năng tấn công mạng. Tương tự như các dịch vụ phần mềm dưới dạng dịch vụ (SaaS) hợp pháp, các nền tảng này cung cấp các công cụ, cơ sở hạ tầng và thậm chí cả hỗ trợ khách hàng sẵn có để thực hiện các kỹ thuật tấn công tinh vi, có thể mua hoặc thông qua đăng ký.

Trong bối cảnh các cuộc tấn công xác minh danh tính, Báo cáo Tình báo Mối đe dọa của chúng tôi tiết lộ một hệ sinh thái phát triển mạnh mẽ gồm các cộng đồng chuyên nhắm mục tiêu vào các hệ thống xác minh danh tính từ xa. Các nhóm này đã phát triển từ các diễn đàn riêng lẻ chia sẻ các kỹ thuật cơ bản thành các thị trường tinh vi cung cấp các giải pháp tấn công toàn diện.

Thay vì chỉ bán các công cụ phần mềm đơn giản, nhiều nhà cung cấp hiện nay cung cấp dịch vụ trọn gói, xử lý tất cả các khía cạnh kỹ thuật của việc tạo ra các phương pháp bỏ qua xác minh. Khách hàng có thể mua các dịch vụ này theo hai cách chính:

  • Dịch vụ dựa trên yêu cầu : Trả tiền cho các dịch vụ kỹ thuật cụ thể (chẳng hạn như xử lý ảnh để tạo ra những bức ảnh ghép khuôn mặt thuyết phục ).
  • Mua theo số lượng : Mua một số lượng nhất định các tài khoản hoặc danh tính đã được xác minh trước và sẵn sàng sử dụng.

Một người có thể trả tiền để tạo ra một deepfake cụ thể, trong khi người khác sẽ mua một vài tài khoản đã được đăng ký. Mô hình kinh doanh này mang lại những lợi thế đáng kể cho các đối tượng gây hại, bao gồm giảm thiểu nguy cơ bị giám sát an ninh, kiểm soát các kỹ thuật độc quyền và thiết lập các mối quan hệ giao dịch an toàn với những kẻ lừa đảo khác.

Hiểu rõ hơn về bối cảnh rộng lớn của dịch vụ tội phạm (crime-as-a-service).

Tấn công dưới dạng dịch vụ (Attack-as-a-Service) để vượt qua xác minh danh tính là một phân khúc chuyên biệt trong hệ sinh thái Tội phạm dưới dạng dịch vụ (Crime-as-a-Service - CaaS) rộng lớn hơn . Mặc dù các dịch vụ này tập trung vào việc vượt qua các hệ thống xác minh danh tính, nhưng phạm vi CaaS rộng hơn bao gồm nhiều hoạt động tội phạm, từ đánh cắp thông tin đăng nhập và rửa tiền đến làm giả tài liệu và các tội phạm mạng khác.

Sự kết nối này cho phép tội phạm kết hợp các dịch vụ để thực hiện các hoạt động lừa đảo nhiều giai đoạn. Đáng chú ý, Báo cáo Tình báo về Mối đe dọa của chúng tôi nêu bật một xu hướng đáng lo ngại: các nhóm khu vực trước đây hoạt động riêng lẻ nay đang hợp tác xuyên biên giới, phản ánh cấu trúc toàn cầu của các mạng lưới kinh doanh hợp pháp.

Hệ sinh thái đang phát triển: Những con số thống kê

Trung tâm điều hành an ninh iProov (iSOC) đã xác định được 31 nhóm tội phạm mạng mới chỉ riêng trong năm 2024, nâng tổng số cộng đồng được theo dõi lên mức đáng báo động.

Quy mô của hệ sinh thái này thật đáng kinh ngạc:

  • 45% trong số các nhóm này tự phát triển và bán các công cụ tấn công của riêng họ.
  • 55% tập trung vào việc bán lại hoặc cung cấp các dịch vụ liên quan.
  • Hệ sinh thái này bao gồm tổng cộng 34.965 người dùng.
  • Những người bán công cụ thu hút phần lớn ( 68% ) người dùng, phục vụ 23.698 cá nhân.
  • Chín nhóm có hơn 1.500 người dùng , trong đó nhóm lớn nhất đạt 6.400 thành viên.

Các cộng đồng này không chỉ phát triển về quy mô mà còn ngày càng trở nên tinh vi và chuyên biệt hơn. Các cuộc thảo luận thường tập trung vào các kỹ thuật như phương pháp vượt qua xác minh danh tính (KYC) , sử dụng công nghệ deepfake để tạo danh tính giả mạo và các công cụ dành riêng cho từng nền tảng.

Menu Dịch vụ Chống Gian lận: Những dịch vụ được cung cấp

Các dịch vụ có sẵn thông qua các nền tảng này đã phát triển vượt xa những công cụ đơn giản. Hiện nay, các dịch vụ được iProov theo dõi bao gồm:

1. Công cụ và cơ sở hạ tầng kỹ thuật

  • Ứng dụng hoán đổi khuôn mặt: Hơn 130 ứng dụng được iProov theo dõi và con số này đang tiếp tục tăng lên.
  • Phần mềm camera ảo: Hơn 90 công cụ
  • Trình giả lập di động : Bao gồm khả năng giả mạo vị trí.
  • Công cụ thao tác siêu dữ liệu

2. Dịch vụ vận hành

3. Các phương pháp tấn công nâng cao

  • Các kỹ thuật vượt qua xác minh KYC: Khai thác các lỗ hổng trong quá trình kiểm tra danh tính (đọc thêm về xác minh danh tính)
  • Dịch vụ tạo deepfake: Làm giảm đáng kể rào cản gia nhập đối với các deepfake tinh vi, thường được sử dụng để nhắm mục tiêu vào các kiểm tra tính xác thực tĩnh (nhưng không hiệu quả đối với các giải pháp tiên tiến như kiểm tra tính xác thực động).
  • Chuyển đổi hình ảnh thành video: Để tạo ra danh tính giả.
  • Chuỗi tấn công kết hợp: Được thiết kế dành riêng cho các tổ chức tài chính cụ thể.

4. Chia sẻ thông tin tình báo

  • Thông tin về lỗ hổng bảo mật: Hiểu rõ hơn về các hệ thống dễ bị tổn thương
  • Các phương pháp tấn công thành công: Được ghi chép và chia sẻ trong cộng đồng.
  • Danh sách mục tiêu: Làm nổi bật các hệ thống có cơ chế xác thực yếu.
  • Cập nhật theo thời gian thực: Cảnh báo về những thay đổi trong các biện pháp an ninh.

Điều gì thúc đẩy nền kinh tế ngầm kỹ thuật số?

Điều khiến những cộng đồng này đặc biệt nguy hiểm là mô hình kinh doanh hiệu quả, giống như doanh nghiệp của chúng. Chúng duy trì danh tiếng, cung cấp hỗ trợ khách hàng và liên tục cải tiến dịch vụ dựa trên phản hồi của người dùng.

Với nạn gian lận liên quan đến danh tính gây thiệt hại hàng tỷ đô la mỗi năm (ước tính 8,8 tỷ đô la vào năm 2023 theo dữ liệu của FTC ), ngay cả một phần nhỏ trong số tiền thu được cũng tạo ra một thị trường béo bở cho các nhà phát triển công cụ tấn công. Động lực tài chính này thúc đẩy sự đổi mới liên tục, chuyên môn hóa và hợp tác trong hệ sinh thái.

Các mô hình nhắm mục tiêu hiện tại

Việc nhắm mục tiêu mang tính chiến lược và dựa trên thông tin tình báo. Các nhà điều hành tấn công chủ động lập hồ sơ các hệ thống xác thực và chia sẻ thông tin chi tiết về những hệ thống nào dễ bị tổn thương nhất.

Các hệ thống có khả năng đẩy lùi các cuộc tấn công hiệu quả thường nhanh chóng nổi tiếng là mục tiêu khó tấn công, khiến các tác nhân đe dọa phải chuyển hướng mục tiêu sang nơi khác. "Nghịch lý tỷ lệ tấn công thấp" này có nghĩa là các hệ thống bảo mật nhất thường nhận được ít cuộc tấn công nhất.

Hiệu ứng dân chủ hóa

Có lẽ khía cạnh đáng lo ngại nhất của hiện tượng này là vai trò của nó trong việc làm giảm rào cản kỹ thuật gia nhập, điều mà chúng tôi đã cảnh báo trong các báo cáo tình báo về mối đe dọa trước đây. Những cá nhân có kiến ​​thức kỹ thuật tối thiểu giờ đây có thể thực hiện các cuộc tấn công tinh vi mà trước đây đòi hỏi chuyên môn sâu rộng. Điều này dẫn đến một số hệ lụy:

  • Khối lượng tấn công gia tăng: Số lượng kẻ tấn công tiềm năng càng lớn thì tần suất các cuộc tấn công càng nhiều.
  • Phạm vi mục tiêu mở rộng: Các tổ chức trước đây được coi là ít rủi ro nay phải đối mặt với các mối đe dọa tinh vi hơn.
  • Khai thác nhanh hơn: Các lỗ hổng bảo mật mới nhanh chóng trở nên phổ biến và bị khai thác.
  • Các kiểu hành vi khó lường: Người vận hành ít kinh nghiệm có thể vô tình sử dụng các công cụ theo những cách mới, bỏ qua các phương pháp phát hiện truyền thống.

Phòng vệ trước những mối đe dọa này

Đối phó với mối đe dọa mới nổi này đòi hỏi một sự thay đổi căn bản trong chiến lược an ninh. Các biện pháp phòng thủ tĩnh truyền thống và cập nhật định kỳ không còn đủ nữa. Các tổ chức phải áp dụng:

  • Giám sát liên tục: Triển khai khả năng phát hiện và phản hồi theo thời gian thực như một phần của chiến lược an ninh tổng thể. Để tìm hiểu sâu hơn về bảo mật sinh trắc học liên tục và thích ứng, hãy xem tại đây.
  • Các biện pháp an ninh thích ứng: Phát triển các hệ thống phòng thủ có thể thích ứng với các mối đe dọa mới nổi.
  • Tích hợp thông tin tình báo về mối đe dọa: Chủ động theo dõi các xu hướng và cộng đồng tác nhân gây ra mối đe dọa, như đã nêu chi tiết trong Báo cáo thông tin tình báo về mối đe dọa của chúng tôi.
  • Xác minh đa lớp: Triển khai các hệ thống xác thực tính năng hoạt động động, chứ không chỉ là bằng chứng hoạt động tĩnh (tìm hiểu thêm về công nghệ xác thực tính năng hoạt động động của chúng tôi ).

Lời kết về hệ sinh thái dịch vụ tấn công (Attack-as-a-Service)

Hệ sinh thái hỗ trợ các dịch vụ tấn công này không có dấu hiệu chậm lại. Khi các công nghệ AI hợp pháp phát triển, độ tinh vi của các khả năng tấn công cũng sẽ tăng lên.

Việc thương mại hóa nhanh chóng các công nghệ này đồng nghĩa với việc các đổi mới công nghệ được đóng gói và triển khai nhanh chóng. Do đó, các tổ chức không chỉ phải chuẩn bị cho sự không thể tránh khỏi của các cuộc tấn công như vậy mà còn phải chuẩn bị cho sự linh hoạt và tốc độ phát triển ngày càng nhanh của chúng.

Thành công sẽ phụ thuộc vào việc giám sát liên tục, phản ứng kịp thời và các biện pháp an ninh phát triển nhanh chóng theo kịp bối cảnh các mối đe dọa.

  • Tải xuống Báo cáo Tình báo Mối đe dọa năm 2025 đầy đủ của iProov để có được phân tích toàn diện về hệ sinh thái này và các khuyến nghị chi tiết nhằm bảo vệ tổ chức của bạn.
  • Hãy đặt lịch dùng thử với iProov ngay hôm nay để xem công nghệ xác thực trạng thái hoạt động linh hoạt của chúng tôi có thể giúp bảo vệ tổ chức của bạn như thế nào trước làn sóng các mối đe dọa tiên tiến đang gia tăng.
Hình ảnh trải nghiệm tình báo mối đe dọa tương tác v4
Mục lục

Tiếp tục đọc