Hầu hết dịch vụ liên quan tới việc tấn công các trang web, mua bán cơ sở dữ liệu khách hàng hoặc xâm nhập trái phép vào các tài nguyên web của một số công ty. Các thành viên của những diễn đàn này là người muốn mua, nhưng cũng có một số ít bán. Cả tội phạm mạng mới vào nghề lẫn có kinh nghiệm đều sẵn sàng quảng cáo những dịch vụ gì họ có thể cung cấp, tiết lộ kiến thức chuyên môn và đảm bảo hành vi vi phạm pháp luật sẽ không bị phát hiện.
Các chuyên gia tại công ty bảo mật Positive Technologies (Mỹ) đã giám sát 10 diễn đàn khét tiếng nhất trên dark web và cho biết, trong năm qua, số lượng các bài đăng thuộc chủ đề tìm/thuê hacker hay các dịch vụ tương tự đã tăng chóng mặt. Hơn tám triệu người dùng đã đăng ký trên các diễn đàn này và đã đăng tổng cộng hơn 80 triệu bài viết.
Vadim Solovyev, nhà phân tích cao cấp về bảo mật thông tin, đã theo sát hoạt động của các diễn đàn hacker trong một thời gian và nhận thấy sự quan tâm gia tăng đáng kể đối với các dịch vụ hack website. “Hành động này có thể đặt ra mối đe dọa nghiêm trọng đối với an ninh của các trang web hoặc ứng dụng web của các công ty”, ông nói.
Roman Sannikov, CEO công ty an ninh mạng Recorded Future, cũng cho biết dữ liệu thu thập được của hãng chỉ ra sự gia tăng của các hoạt động mua, bán, xâm nhập dữ liệu trên dark web. Tình trạng này đã bắt đầu phổ biến trước khi đại dịch xảy ra, nhưng tiếp tục gia tăng khi nhiều nhân viên chuyển sang làm việc từ xa.
Báo cáo của Positive Technologies cho biết dịch vụ xâm nhập một trang web thông thường có giá khoảng 10.000 USD, trong khi cơ sở dữ liệu khách hàng sẽ được bán từ 100 đến 20.000 USD, hoặc từ 5 đến 50 USD cho mỗi 1.000 đầu mục.
Một số tin tặc thậm chí nhấn mạnh về “đạo đức” làm việc khi quảng cáo kỹ năng của mình. “Tôi cung cấp dịch vụ tấn công nhắm mục tiêu các tài nguyên mà bạn quan tâm trên mạng. Không cần thanh toán trước, chỉ nhận tiền sau khi đã cung cấp bằng chứng”, một quảng cáo viết.
Các dịch vụ trên dark web
90% bài đăng đến từ những người quan tâm về việc mua dịch vụ hack, trong khi 7% được đăng bởi các hacker nhằm quảng cáo những gì họ có thể làm. Phần còn lại là bán công cụ hoặc phần mềm hack (2%) và tìm đồng đội cùng chí hướng (1%).
Tuy nhiên, Solovyev cho rằng không nên đánh giá thấp 7% số bài đăng cung cấp dịch vụ hack, vì rất khó để biết họ thu hút được bao nhiêu khách hàng. Ông nói, thông thường, dịch vụ được cung cấp trên các diễn đàn này có tính chuyên môn hóa rất cao và thực tế có rất ít người biết nhiều kỹ năng khác nhau. “Nếu chúng ta đang nói về việc hack các trang web, một số tin tặc chỉ giỏi trong việc hack và xâm nhập các trang web, trong khi những người khác biết rất rõ có thể làm gì với những dữ liệu truy cập được”, Solovyev nói.
Sannikov của Recorded Future có cùng quan điểm và cho biết: “Một khi các hacker độc lập có quyền truy cập trái phép, họ thường không tự làm bất cứ điều gì với dữ liệu thu được, điều này nằm ngoài lĩnh vực chuyên môn của họ. Thay vào đó, các hacker sẽ bán quyền truy cập cho những người khác. Những người này sau đó trích xuất thông tin nhạy cảm, thả mã độc, tạo mạng botnet hoặc khóa hệ thống”.
Theo kết quả phân tích các nội dung do người mua dịch vụ đăng, Positive Technology nhận thấy có 69% bài đăng liên quan đến việc hack trang web, trong khi 21% nhằm lấy cơ sở dữ liệu người dùng, thông tin mật hoặc tài sản trí tuệ của các công ty. Khoảng 4% số người dùng muốn cài mã độc vào các trang web và một nhóm nhỏ hơn (3%) tìm kiếm hacker sẵn sàng xóa một dữ liệu cụ thể trên website, chẳng hạn như đánh giá tiêu cực về mặt hàng nào đó.
Website là mục tiêu phổ biến của kẻ tấn công thuê
Solovyev không ngạc nhiên khi người dùng trên các diễn đàn hack muốn nhắm mục tiêu vào các trang web. Ông nói: “Khi các công ty phát hành ra trang web của mình, họ thường ít quan tâm đến bảo mật. Chúng tôi muốn các doanh nghiệp hiểu rằng bảo mật trang web và dữ liệu người dùng cần được chú trọng nghiêm túc bởi danh tiếng của công ty, sự ổn định trong kinh doanh và sự hài lòng của khách hàng phụ thuộc vào nó”.
Theo các quảng cáo mà nhóm của Solovyev tìm thấy, việc hack một trang web có thể tốn 10.000 USD. Tuy nhiên, một số người vẫn sẵn sàng làm việc này chỉ với vài trăm USD. Thị trường rất đa dạng và bất cứ thứ gì có thể mua được đều sẽ có thể mặc cả.
Nhiều người mua muốn hacker phải sử dụng kỹ thuật Webshell, một số lại muốn quyền truy cập vào giao diện quản trị của các trang web hoặc lỗ hổng khai thác sẵn nhằm tấn công chèn mã SQL. Mức giá tùy thuộc vào độ tinh vi của kỹ thuật áp dụng. Ví dụ: Web shell (một phần mềm độc hại cho phép kẻ tấn công có thể thực thi các lệnh hệ thống thông qua giao diện web), có thể có giá từ vài cent đến 1.000 USD, phụ thuộc vào mức độ kiểm soát website.
Thị trường buôn bán dữ liệu cá nhân phát triển mạnh
Một trong những quảng cáo phổ biến nhất xuất hiện trên xác diễn đàn hacker là những nội dung nhắm mục tiêu đến các cửa hàng trực tuyến. Việc hack các nền tảng này thường có giá từ 50 đến 2.000 USD. Những kẻ tấn công có xu hướng muốn đưa mã JavaScript độc hại vào các trang web để thu thập dữ liệu do người mua hàng nhập vào. “Khách hàng thường đăng ký trên các trang web bằng cách để lại dữ liệu cá nhân của mình. Họ cũng mua hàng bằng cách nhập thông tin thẻ tín dụng và sử dụng các dịch vụ đám mây để lưu trữ thông tin”, Solovyev nói.
Nhóm của ông nhận thấy rằng các dữ liệu cá nhân có thể được định giá cao tới 20.000 USD hoặc lên đến 50 USD cho mỗi 1.000 mục nhập. Các mục nhập chứa các thông tin như tên người dùng, địa chỉ email, họ và tên, số điện thoại, địa chỉ nhà, ngày sinh và đôi khi, thậm chí cả số an sinh xã hội. Stefano DiBlasi, nhà nghiên cứu tại Digital Shadows cho biết: “Việc buôn bán cơ sở dữ liệu bị đánh cắp hoặc bị rò rỉ vẫn còn phổ biến do các tội phạm nhìn thấy cơ hội tiềm ẩn từ chúng. Ví dụ, những kẻ tấn công có thể khai thác chi tiết thẻ tín dụng của người dùng để thực hiện hành vi rửa tiền. Ngoài ra, thông tin nhận dạng cá nhân có thể bị tội phạm mạng lợi dụng cho nhiều mục đích khác nhau, bao gồm gian lận về trợ cấp thất nghiệp và giảm thuế, cũng như đánh cắp danh tính và chiếm đoạt tài khoản”.
Cách giảm rủi ro
Solovyev nói: “Để giảm thiểu các cuộc tấn công vào tài nguyên web, các tổ chức nên sử dụng một cách tiếp cận toàn diện để bảo mật ứng dụng web bao gồm phân tích và kiểm tra chi tiết, cũng như triển khai các công nghệ như tường lửa ứng dụng web hoặc bảo vệ chủ động chống lại các cuộc tấn công. Khi xây dựng một hệ thống bảo mật, ông khuyến nghị tuân theo các nguyên tắc của phương pháp tiếp cận rủi ro, tức là tính đến mức độ của các hậu quả tiêu cực mà công ty có thể chịu đựng được”.
DiBlasi cho biết thêm các hacker mũ đen thường sẽ nhắm mục tiêu ít phòng bị trước. Ông chia sẻ: “Cách hiệu quả nhất để ngăn chặn các cuộc tấn công này là đảm bảo rằng công ty của bạn phải trở thành một mục tiêu khó nhằn bằng cách cập nhật các bản vá bảo mật và thực hiện kiểm tra tình trạng mạng thường xuyên. Ngoài ra, việc có một đội ngũ tình báo chuyên về mối đe dọa mạng có thể hỗ trợ đắc lực cho các nhóm bảo mật nhằm ưu tiên các biện pháp an ninh và giảm thiểu các mối đe dọa tiềm ẩn”.
Đăng Thiên (theo CSOonline)