Mùa mua sắm cao điểm: Những rủi ro an ninh mạng gia tăng doanh nghiệp cần cảnh giác gì?
Mùa mua sắm lễ hội luôn là giai đoạn bận rộn nhất trong năm đối với các nhà bán lẻ trực tuyến. Tuy nhiên, đi kèm với lượng đơn hàng tăng vọt là những rủi ro an ninh mạng ngày càng lớn.
Khi website phải xử lý lưu lượng truy cập cao và khách hàng liên tục đăng nhập, thanh toán, tội phạm mạng tận dụng chính sự “quá tải” này để ẩn mình. Các cuộc tấn công chiếm đoạt tài khoản thường tăng mạnh trong tháng 11 và 12, nhắm vào thông tin thanh toán đã lưu, điểm thưởng, danh sách yêu thích và dữ liệu cá nhân của người mua sắm.
Trong khi đó, phần lớn nhà bán lẻ lại tập trung vào việc giữ cho website chạy nhanh và các chiến dịch bán hàng diễn ra trơn tru. Áp lực vận hành mùa cao điểm vô tình tạo ra những “điểm mù” trong khâu xác thực, đăng nhập và bảo mật API. Kẻ tấn công hiểu rất rõ điều này và sử dụng bot cùng công cụ AI để xâm nhập tài khoản với mức độ tinh vi ngày càng cao.
Chỉ cần một cuộc tấn công đánh cắp thông tin đăng nhập không bị phát hiện, hoặc một loạt hành vi đăng nhập bất thường bị bỏ qua, thiệt hại tài chính và sự mất niềm tin của khách hàng có thể xảy ra rất nhanh. Với nhiều doanh nghiệp, mối nguy lớn nhất không phải là một vụ vi phạm ồn ào, mà là tình trạng tài khoản bị lạm dụng âm thầm, kéo dài và chỉ bị phát hiện khi hậu quả đã quá lớn.
Các cuộc tấn công chiếm đoạt tài khoản đang gia tăng nhanh chóng
Theo Báo cáo Imperva Bad Bot 2025, các cuộc tấn công chiếm đoạt tài khoản đã tăng 40% trong năm 2024 và hơn 50% so với năm 2022. Nguyên nhân đến từ hai yếu tố chính: bề mặt tấn công của doanh nghiệp số ngày càng mở rộng và số lượng thông tin đăng nhập bị đánh cắp ngày càng nhiều.
Ngày nay, tấn công ATO hiếm khi chỉ là “thử mật khẩu ngẫu nhiên” theo cách truyền thống. Thay vào đó, kẻ tấn công kết hợp tự động hóa và trí tuệ nhân tạo, bao gồm:
Credential stuffing: sử dụng các cặp tên đăng nhập – mật khẩu bị rò rỉ từ các vụ vi phạm trước đó để thử đăng nhập hàng loạt.
- Credential cracking: dùng AI và kỹ thuật đoán mật khẩu dựa trên từ điển, thói quen người dùng.
- Brute force: thử toàn bộ các tổ hợp có thể khi không có dữ liệu đăng nhập sẵn.
Các kỹ thuật này được hỗ trợ bởi mạng bot phân tán trên hàng nghìn địa chỉ IP, có khả năng mô phỏng lưu lượng truy cập hợp pháp để né tránh hệ thống phát hiện.
Khi một tài khoản bị chiếm quyền, kẻ tấn công có thể thay đổi thông tin thanh toán, sử dụng điểm thưởng, đánh cắp dữ liệu cá nhân hoặc mở rộng tấn công sang các hệ thống khác thông qua đăng nhập một lần (SSO). Thiệt hại vì thế không chỉ dừng lại ở một tài khoản đơn lẻ mà có thể lan rộng và rất khó khắc phục.
Hậu quả khi tài khoản bị xâm phạm
Chiếm đoạt tài khoản không đơn thuần là sự cố kỹ thuật, mà là một vấn đề nghiêm trọng về kinh doanh.
Doanh nghiệp có thể phải đối mặt với:
- Thiệt hại tài chính do gian lận, hoàn tiền và tài sản bị đánh cắp
- Gián đoạn vận hành khi đội ngũ bảo mật và chăm sóc khách hàng phải xử lý sự cố
- Rủi ro pháp lý liên quan đến các quy định như GDPR, CCPA, PCI DSS
- Chi phí pháp lý và bồi thường cho khách hàng hoặc đối tác
- Tổn hại uy tín, làm giảm niềm tin và tỷ lệ quay lại của khách hàng
Ngày càng nhiều cơ quan quản lý coi việc bảo vệ thông tin đăng nhập người dùng là trách nhiệm bắt buộc, đặc biệt trong các lĩnh vực như bán lẻ, tài chính và viễn thông – nơi danh tính số là nền tảng của mọi giao dịch.
Trí tuệ nhân tạo đang giúp kẻ tấn công “lợi hại” hơn
AI đang làm thay đổi hoàn toàn cách thức các cuộc tấn công ATO diễn ra. Thay vì chỉ dựa vào số lượng, bot hiện đại có khả năng học hỏi và bắt chước hành vi con người.
Bot có thể giả lập thao tác chuột, tốc độ gõ phím, tạo độ trễ tự nhiên giữa các hành động để vượt qua hệ thống phát hiện hành vi và giới hạn tốc độ. Các mô hình học máy được huấn luyện từ dữ liệu rò rỉ còn có thể dự đoán mật khẩu dựa trên ngôn ngữ, thói quen và lịch sử đặt lại mật khẩu của người dùng.
Điều này khiến các biện pháp phòng thủ truyền thống trở nên kém hiệu quả hơn, buộc doanh nghiệp phải áp dụng các giải pháp bảo mật thông minh và theo ngữ cảnh.
API - bề mặt tấn công ngày càng bị khai thác
Trong quá trình hiện đại hóa hệ thống, API trở thành xương sống kết nối website, ứng dụng di động và các dịch vụ bên thứ ba. Đồng thời, chúng cũng trở thành mục tiêu hấp dẫn cho kẻ tấn công.
Theo Imperva, khoảng 12% các cuộc tấn công API trong năm 2024 liên quan đến chiếm đoạt tài khoản. Nhiều cuộc tấn công diễn ra âm thầm, thu thập dữ liệu nhạy cảm từng phần nhỏ như mã người dùng, điểm thưởng, thông tin thanh toán để sử dụng cho các hành vi gian lận sau này.
Trong mùa mua sắm cao điểm, bot được thiết kế để “hòa mình” vào lưu lượng truy cập lớn, sử dụng trình duyệt hợp lệ, header chân thực và các API call được định dạng đúng chuẩn. Chúng âm thầm kiểm tra thông tin đăng nhập, dò luồng xác thực và khai thác điểm yếu trong quản lý phiên, khiến việc phát hiện trở nên khó khăn hơn rất nhiều.
Sau khi xâm nhập, các script tự động có thể thay đổi địa chỉ giao hàng, chỉnh sửa phương thức thanh toán, trích xuất điểm thưởng hoặc mở rộng tấn công sang các dịch vụ liên kết. Đây hiện là một trong những nguồn rủi ro tăng nhanh nhất đối với các nhà bán lẻ trong tháng 11 và 12.
Bizfly Cloud đưa ra khuyến nghị cho mùa mua sắm cao điểm
1. Tăng khả năng giám sát lưu lượng đăng nhập
Theo dõi sát các hành vi đăng nhập bất thường, đăng nhập thất bại liên tiếp, thay đổi thiết bị hoặc vị trí để phát hiện sớm rủi ro.
2. Tăng cường xác thực nhưng không làm gián đoạn trải nghiệm
Áp dụng xác thực thông minh dựa trên rủi ro (risk-based authentication), chỉ yêu cầu bước xác minh bổ sung khi phát hiện dấu hiệu bất thường.
3. Bảo vệ chặt chẽ trang đăng nhập và thanh toán
Đây là hai điểm bị tấn công nhiều nhất. Việc giám sát và bảo vệ mạnh mẽ giúp ngăn chặn tấn công ngay từ giai đoạn đầu.
4. Bảo mật toàn bộ API liên quan đến tài khoản và đơn hàng
Đảm bảo các API đăng nhập, thanh toán, quản lý tài khoản, chương trình khách hàng thân thiết đều được kiểm soát và giám sát chặt chẽ.
5. Triển khai giải pháp bảo vệ bot nâng cao
Hệ thống chống bot hiện đại có thể phát hiện và chặn các hành vi tự động nguy hiểm trong thời gian thực mà không ảnh hưởng đến khách hàng thật.
