Hàng năm, mùa lễ hội vẫn thường ghi nhận sự gia tăng đột biến của các hoạt động tấn công trực tuyến có thể dự đoán trước. Nhưng vào năm 2025, khối lượng cơ sở hạ tầng độc hại mới được tạo ra, hoạt động xâm phạm tài khoản và khai thác có chủ đích các hệ thống thương mại điện tử đã cao hơn đáng kể. Những kẻ tấn công đã bắt đầu chuẩn bị từ nhiều tháng trước, tận dụng các công cụ và dịch vụ công nghiệp hóa cho phép chúng mở rộng quy mô tấn công trên nhiều nền tảng, khu vực địa lý và danh mục nhà cung cấp.
HƠN 19.000 TÊN MIỀN NHÁI CÁC THƯƠNG HIỆU BÁN LẺ LỚN
Theo Báo cáo FortiRecon về tổng quan bối cảnh các mối đe dọa an ninh mạng của mùa lễ hội 2025, được tổng hợp bởi FortiGuard Labs, một trong những dấu hiệu rõ ràng nhất về hoạt động của kẻ tấn công là việc đăng ký tên miền mới.
FortiGuard đã xác định được hơn 18.000 tên miền theo chủ đề lễ hội được đăng ký trong ba tháng qua có liên quan đến các thuật ngữ như “Christmas,” “Black Friday,” and “Flash Sale”. Ít nhất 750 trong số này được xác nhận là độc hại. Điều đó đó có thể hiểu, số tên miền còn lại vẫn có nhiều rủi ro tiềm ẩn.
Đồng thời, FortiGuard cũng ghi nhận sự gia tăng ở các tên miền nhái các thương hiệu bán lẻ lớn. Kẻ tấn công đã đăng ký hơn 19.000 tên miền theo chủ đề thương mại điện tử, trong đó có 2.900 tên miền là độc hại. Nhiều tên miền mới nhái lại tên miền quen thuộc, và thường chỉ là những thay đổi nhỏ dễ bị bỏ qua khi người mua sắm lướt mạng với tốc độ nhanh.
Những tên miền này hỗ trợ lừa đảo, gian lận, lừa đảo thẻ quà tặng và các chương trình thu thập thông tin thanh toán. Chúng cũng góp phần vào các chiến dịch đầu độc SEO, làm tăng giả tạo các URL độc hại trong kết quả tìm kiếm trong suốt thời gian diễn ra các sự kiện mua sắm cao điểm.
TÀI KHOẢN BỊ ĐÁNH CẮP TĂNG KỶ LỤC
Báo cáo cũng cho thấy sự gia tăng đáng kể về tính khả dụng và việc sử dụng nhật ký đánh cắp. Trong ba tháng qua, hơn 1,57 triệu tài khoản đăng nhập được liên kết với các trang web thương mại điện tử lớn có sẵn thông qua nhật ký đánh cắp đã được thu thập trên các thị trường ngầm.
Thông tin tài khoản đánh cắp chứa mật khẩu, cookie, mã thông báo phiên, dữ liệu tự động điền và dấu vân tay hệ thống được lưu trữ trên trình duyệt. Trong kỳ nghỉ lễ, người dùng đăng nhập vào nhiều tài khoản trên nhiều thiết bị, khiến những thông tin này đặc biệt có giá trị.
Báo cáo cũng ghi nhận các "đợt giảm giá ngày lễ" đang diễn ra trên các tập dữ liệu thẻ và CVV. Các tác nhân đe dọa sử dụng các chương trình khuyến mãi theo phong cách “Black Friday” để đẩy dữ liệu tài chính bị đánh cắp với giá chiết khấu, thúc đẩy sự gia tăng gian lận.
Báo cáo cũng cảnh báo các lỗ hổng nghiêm trọng trên nền tảng thương mại điện tử khi kẻ tấn công đang tích cực khai thác các lỗ hổng trên Adobe/Magento, Oracle E-Business Suite, WooCommerce, Bagisto và các nền tảng thương mại điện tử phổ biến khác. Ba lỗ hổng nổi bật phải kể đến là:
CVE-2025-54236 (Adobe/Magento): Các báo cáo công khai cho thấy lỗ hổng này đang bị khai thác để chiếm quyền điều khiển phiên và thực thi mã từ xa thông qua việc xác thực đầu vào không đúng cách. Hơn 250 cửa hàng Magento đã có dấu hiệu bị xâm phạm.
CVE-2025-61882 (Oracle EBS): Được các nhóm ransomware sử dụng để thực thi mã từ xa không xác thực, đánh cắp dữ liệu ERP và phá vỡ hệ thống đặt hàng và kiểm kê.
CVE-2025-47569 (Plugin thẻ quà tặng WooCommerce của WordPress): Gây ra rủi ro bảo mật đáng kể cho các cửa hàng trực tuyến WooCommerce, vì việc khai thác thành công có thể cho phép kẻ tấn công thao túng hoặc đánh cắp thông tin cơ sở dữ liệu nhạy cảm. Các tác nhân đe dọa trên darknet đang bán quyền truy cập vào cơ sở dữ liệu bằng cách khai thác lỗ hổng này.
Ngoài ra, báo cáo cũng chỉ ra thực trạng thông tin chi tiết của người dùng bị rò rỉ. Các tác nhân đe dọa đang bán toàn bộ cơ sở dữ liệu khách hàng được lấy từ các cửa hàng trực tuyến bị xâm nhập, cùng với hàng triệu hồ sơ WooCommerce bị rò rỉ chứa thông tin chi tiết về người mua và người bán…
KHUYẾN NGHỊ CHO DOANH NGHIỆP
Trước tình trạng gia tăng các mối đe dọa an ninh mạng, ông Bhumit Mali và Aamir Lakhani - Chuyên gia cấp cao, công ty Fortinet khuyến nghị, các doanh nghiệp cần cập nhật đầy đủ tất cả các nền tảng công nghệ trên các thương mại điện tử, plugin, chủ đề và tích hợp của bên thứ ba; đồng thời xóa bất kỳ nội dung nào không được sử dụng.
Doanh nghiệp cũng cần áp dụng mã hoá HTTPS ở mọi nơi và bảo mật cookie phiên, trang quản trị và luồng thanh toán. Đồng thời yêu cầu xác thực đa yếu tố (MFA) trên các tài khoản quản trị và tài khoản rủi ro cao cũng như áp dụng chính sách mật khẩu mạnh.
Bên cạnh đó, cần sử dụng các công cụ quản lý bot, giới hạn tốc độ và phát hiện bất thường để giảm thiểu việc lạm dụng thông tin đăng nhập; Giám sát các tên miền lừa đảo hoặc tương tự mạo danh thương hiệu của bạn và nhanh chóng xử lý các trường hợp bị gỡ bỏ; Quét các thay đổi tập lệnh trái phép và triển khai các biện pháp kiểm soát để phát hiện hành vi giả mạo hoặc skimmer trên trang thanh toán.
Ngoài ra, doanh nghiệp cũng nên tập trung kiểm soát nhật ký để giám sát các hành động quản trị đáng ngờ, chiếm quyền điều khiển phiên hoặc truy cập cơ sở dữ liệu bất thường…
Ngoài khuyến nghị cho doanh nghiệp, các chuyên gia an ninh mạng của Fortinet cũng đưa ra lời khuyên dành cho người dùng như: Kiểm tra kỹ địa chỉ trang web trước khi nhập thông tin đăng nhập hoặc thanh toán; Sử dụng thẻ tín dụng hoặc bộ xử lý thanh toán đáng tin cậy có khả năng bảo vệ chống gian lận; Bật xác thực đa yếu tố (MFA) trên tài khoản mua sắm, email và ngân hàng; Tránh sử dụng Wi-Fi công cộng hoặc sử dụng VPN khi mua hàng hoặc quản lý tài khoản tài chính; Thận trọng với các tin nhắn không mong muốn và các chương trình khuyến mãi không thực tế, đặc biệt là những tin nhắn liên quan đến giao hàng hoặc giảm giá; Thường xuyên kiểm tra sao kê ngân hàng và thẻ để nhanh chóng phát hiện các khoản phát sinh đáng ngờ.
Để hạn chế tình trạng trên, doanh nghiệp và người dùng cũng có thể sử dụng các giải pháp bảo vệ nhiều lớp của Fortinet. FortiGate, FortiMail, FortiClient và FortiEDR đều hỗ trợ dịch vụ chống Virus FortiGuard. Các giải pháp này giúp phát hiện và chặn các tệp độc hại, payload và các nhóm phần mềm độc hại đánh cắp nhật ký được sử dụng trong nhiều chiến dịch mùa lễ. Khách hàng sử dụng các phiên bản bảo vệ FortiGuard cập nhật sẽ được bảo vệ trên toàn bộ mạng, thiết bị đầu cuối và email.
Theo đó, FortiMail đóng vai trò trung tâm trong việc ngăn chặn các nỗ lực lừa đảo liên quan đến các chương trình khuyến mãi giả mạo, các cửa hàng gian lận và lừa đảo giao hàng. FortiMail xác định và cách ly các URL độc hại, tên miền người gửi giả mạo và các biểu mẫu thu thập thông tin đăng nhập thường được sử dụng để nhắm vào người mua sắm và nhân viên bán lẻ trong dịp lễ. Tính năng phát hiện chống lừa đảo theo thời gian thực được cung cấp bởi FortiSandbox, được tích hợp trong FortiMail, FortiGate và FortiClient, bổ sung thêm một lớp bảo vệ bằng cách xác định cả các nỗ lực lừa đảo đã biết và chưa biết, bao gồm cả các mồi nhử đa hình hoặc do AI tạo ra.
Dịch vụ đào tạo và nâng cao nhận thức bảo mật của Fortinet, cùng với nền tảng mô phỏng lừa đảo FortiPhish, giúp các tổ chức tăng cường lớp phòng thủ, làm giảm khả năng kẻ tấn công lợi dụng sự vội vã, mất tập trung hoặc tính cấp bách thường có ở các hoạt động mua sắm trực tuyến trong kỳ nghỉ lễ.
Với dịch vụ lọc web và xác nhận uy tín IP của FortiGuard sẽ giúp chặn quyền truy cập vào các tên miền độc hại, chợ nhật ký đánh cắp, các trang thương mại điện tử lừa đảo và cơ sở hạ tầng của kẻ tấn công được nêu bật trong báo cáo này. Dịch vụ chống Botnet và C2 giúp ngăn chặn giao tiếp chỉ huy và kiểm soát từ các thiết bị bị nhiễm trên mạng. Dịch vụ giải trừ và tái thiết nội dung sẽ vô hiệu hóa các tập lệnh độc hại và các mối đe dọa nhúng trước khi chúng tiếp cận người dùng…
