*Theo báo cáo Phishing Threat Trends 2025, phishing hiện đại không còn chỉ là những email giả mạo đơn lẻ mà đã phát triển thành các chiến dịch đa kênh với mức độ tinh vi cao. Chỉ trong 6 tháng, số lượng email phishing đã tăng 15.2%, trong khi 59.1% các cuộc tấn công đến từ tài khoản bị xâm nhập – tăng mạnh 34.9% so với năm 2024. Đáng chú ý, các cuộc tấn công sử dụng số điện thoại (vishing) đã tăng tới 449%. Điều này phản ánh một sự thay đổi mang tính chiến lược: mục tiêu của tin tặc không còn chỉ “đánh vào tường lửa”, mà “đánh vào hành vi”. Xu hướng lừa đảo con người đang trở thành một trong những mối đe dọa hàng đầu trong an ninh mạng hiện nay.
Phishing đa kênh: Email chỉ còn là điểm khởi đầu
Một trong những thay đổi lớn nhất của xu hướng lừa đảo con người là sự chuyển dịch từ tấn công đơn kênh sang đa kênh. Email giờ đây chỉ còn là điểm khởi đầu, sau đó nạn nhân sẽ bị dẫn dắt sang các kênh khác như điện thoại, tin nhắn hoặc nền tảng SaaS. Điều này giúp tin tặc vượt qua các lớp bảo mật truyền thống và tiếp cận người dùng trong những môi trường ít được kiểm soát hơn.
Vì sao đa kênh làm tăng hiệu quả tấn công? Khi một email được kết hợp với cuộc gọi hoặc tin nhắn, mức độ tin cậy của cuộc tấn công tăng lên đáng kể. Người dùng có xu hướng tin tưởng hơn khi thông tin được xác nhận qua nhiều kênh khác nhau. Đây chính là lý do khiến các cuộc tấn công hiện nay không còn dễ nhận diện như trước.
Vào tháng 4/2025, nhóm tội phạm Scattered Spider đã tấn công các tập đoàn bán lẻ lớn tại Anh như Marks and Spencer (M&S) và Co-Op. Scattered Spider tập trung sử dụng social engineering để đánh lừa nhân viên và các bên thứ ba cung cấp quyền truy cập vào hệ thống và mạng của doanh nghiệp. Các chiến dịch thường bắt đầu bằng email phishing và leo thang thành vishing, trong đó tin tặc thường giả mạo một nhân viên (đôi khi là cấp cao) đang trong trạng thái khẩn cấp, cần truy cập ngay vào tài khoản hoặc hệ thống.
Chiến thuật của cuộc tấn công phishing đa kênh nhắm vào ngành hàng bán lẻ
Vishing và AI: Khi giọng nói trở thành công cụ tấn công
Vishing đang trở thành một trong những xu hướng nổi bật. Thay vì yêu cầu người dùng click vào link, tin tặc khiến họ chủ động gọi điện. Theo báo cáo, tỷ lệ email phishing sử dụng số điện thoại đã tăng từ 0.9% trong năm 2024 lên 5.5% trong năm 2025, tương đương mức tăng 449%. Đáng chú ý, vào thời điểm cao nhất, con số này có thể đạt tới 10.2% tổng số payload, cho thấy sự thay đổi rõ rệt trong chiến lược tấn công.
Không dừng lại ở đó, công nghệ AI đang được sử dụng để tạo ra giọng nói ngày càng tự nhiên và khó phân biệt. Theo ghi nhận, 77.3% các cuộc tấn công vishing đã sử dụng giọng nói do AI tạo ra, giúp các cuộc gọi lừa đảo trở nên thuyết phục hơn bao giờ hết. Khi nghe một giọng nói mang tính chuyên nghiệp hoặc quen thuộc, người dùng thường mất cảnh giác và dễ dàng cung cấp thông tin nhạy cảm.
Tấn công thông qua các nền tảng uy tín
Một xu hướng nguy hiểm khác là việc tin tặc sử dụng các nền tảng hợp pháp như SharePoint, DocuSign hay PayPal để gửi email phishing. Chúng đăng ký tài khoản thật và tận dụng chính hệ thống này để phát tán nội dung lừa đảo. Theo báo cáo, xu hướng lừa đảo con người qua mạng này đang gia tăng nhanh chóng từ khoảng 6% trong năm 2024 lên gần 18% trong năm 2025, và đạt hơn 21% vào cuối năm.
Vì sao hình thức này khó phát hiện? 100% các cuộc tấn công này đều vượt qua kiểm tra DMARC (một giao thức sử dụng Sender Policy Framework (SPF) và DomainKeys Identified Mail (DKIM) để xác định tính xác thực của một email) và có đầy đủ yếu tố nhận diện thương hiệu. Khi người dùng nhận được email từ một nền tảng quen thuộc, họ có xu hướng tin tưởng hơn và ít kiểm tra kỹ nội dung bên trong.
Social Engineering: Con người trở thành mục tiêu trung tâm
Các chiến dịch tấn công ngày càng tinh vi. Các nhóm tấn công như Scattered Spider cho thấy rõ cách tin tặc khai thác yếu tố con người. Những cuộc tấn công thường bắt đầu bằng email phishing, sau đó leo thang thành các cuộc gọi giả mạo (vishing) nhằm tạo áp lực và yêu cầu cung cấp thông tin truy cập.
Không chỉ dừng lại ở kỹ thuật, tin tặc còn tối ưu nội dung để tăng tỷ lệ thành công. Báo cáo cho thấy 33% email phishing liên quan đến các chủ đề nhân sự như lương thưởng, phúc lợi, trong khi 22.9% liên quan đến thuế, đều là những nội dung quen thuộc và dễ khiến người dùng mất cảnh giác.
Tin tặc thường tạo cảm giác khẩn cấp, lo lắng hoặc lợi ích cá nhân để thúc đẩy hành động nhanh chóng. Khi bị đặt trong trạng thái áp lực, người dùng dễ bỏ qua các bước kiểm tra và trở thành mắt xích yếu nhất trong hệ thống bảo mật. Điều này lý giải vì sao 59.1% các cuộc tấn công hiện nay xuất phát từ tài khoản hợp pháp bị xâm nhập, thay vì tấn công trực tiếp vào hệ thống.
Nội dung và thời điểm tấn công được “cá nhân hóa”
Nội dung phishing bám sát thực tế
Các email phishing hiện nay thường xoay quanh những chủ đề quen thuộc như lương thưởng, thông báo hệ thống, thuế hoặc sự kiện. Điều này khiến nội dung trở nên tự nhiên và khó bị nghi ngờ, đặc biệt khi được gửi dưới danh nghĩa các bộ phận nội bộ hoặc đối tác quen thuộc.
Thời điểm gửi cũng chính là chiến lược
Dữ liệu tại khu vực APAC cho thấy các cuộc tấn công phishing được phân bổ rất sát với thói quen làm việc của người dùng. Cụ thể, tấn công tập trung mạnh nhất vào buổi sáng và đầu giờ chiều trong các ngày làm việc, với đỉnh điểm rơi vào khoảng 7h – 11h sáng.
Heatmap cho thấy mật độ tấn công bắt đầu tăng nhanh từ khoảng 6h sáng, đạt mức cao trong khung giờ 8h – 11h. Đây là thời điểm người dùng vừa bắt đầu ngày làm việc, xử lý email tồn đọng và dễ mất cảnh giác khi tiếp nhận thông tin.
Theo văn hoá Việt Nam, phishing vào buổi sáng là thời điểm “vàng” để tin tặc khai thác
Doanh nghiệp cần thay đổi cách tiếp cận bảo mật trước xu hướng lừa đảo con người qua mạng
Bảo mật không còn là bài toán công nghệ
Các giải pháp bảo mật truyền thống như firewall hay email gateway vẫn đóng vai trò quan trọng, nhưng không còn đủ để đối phó với các mối đe dọa hiện đại. Khi tin tặc tập trung vào con người, doanh nghiệp cũng cần đặt con người vào trung tâm của chiến lược bảo mật.
Human Risk Management – hướng đi tất yếu trước xu hướng lừa đảo con người hiện nay
Human Risk Management là cách tiếp cận giúp doanh nghiệp quản lý rủi ro từ yếu tố con người thông qua đào tạo, mô phỏng tấn công và phân tích hành vi. Khi nhân viên được trang bị kiến thức và kỹ năng cần thiết, họ sẽ trở thành tuyến phòng thủ hiệu quả thay vì điểm yếu.
Trong bối cảnh xu hướng lừa đảo con người ngày càng gia tăng và phức tạp, doanh nghiệp cần một giải pháp toàn diện để kiểm soát rủi ro. Mi2 là nhà phân phối chính thức của KnowBe4 tại Việt Nam, mang đến giải pháp HRM+ giúp doanh nghiệp quản lý rủi ro bảo mật liên quan đến yếu tố con người, giảm thiểu rủi ro từ phishing và xây dựng một hệ thống phòng thủ bền vững.
Xu hướng lừa đảo con người qua mạng đang định hình lại cách doanh nghiệp nhìn nhận về an ninh mạng. Khi các cuộc tấn công không còn nhắm vào hệ thống mà nhắm vào con người, việc đầu tư vào nhận thức và hành vi người dùng trở nên quan trọng hơn bao giờ hết. Trong kỷ nguyên dữ liệu và AI, kiểm soát rủi ro từ con người chính là chìa khóa để xây dựng một chiến lược bảo mật hiệu quả và lâu dài.
*Tải báo cáo Phishing Threat Trends 2025 từ KnowBe4: tại đây
