Cyber Attack là gì? Các hình thức tấn công mạng phổ biến

Cyber Attack là gì?

Cyber Attack (tấn công mạng) là hành vi sử dụng công nghệ để xâm nhập, tấn công hoặc phá hoại hệ thống máy tính, mạng lưới và dữ liệu của cá nhân/tổ chức nhằm mục đích gây thiệt hại, đánh cắp thông tin, hoặc chiếm đoạt tài sản. 

Các cuộc tấn công mạng trong crypto thường nhắm vào hệ thống, blockchain, dApp, giao thức để chiếm đoạt hoặc phá hoại. Kẻ tấn công sử dụng các công cụ và kỹ thuật xâm nhập đòi hỏi kiến thức kỹ thuật cao.

Các hình thức tấn công mạng phổ biến trong Crypto

Tấn công Phishing 

Tấn công lừa đảo Phishing khá phổ biến trong thị trường crypto. Theo Cointelegraph, năm 2023, hơn 324,000 người dùng đã bị lừa trong các vụ phishing, gây thiệt hại khoảng 295 triệu USD.

Nền tảng phổ biến nhất để tấn công phishing trong thị trường crypto chính là trên các trang mạng xã hội: Telegram, X và Discord. Cần phải thật cẩn thận khi nhận được tin nhắn, cuộc gọi từ người lạ mời chào đầu tư hoặc tải các tệp để xem.

Phần mềm độc hại Malware

Kỹ thuật chung của kẻ tấn công khi sử dụng malware là lừa người dùng và vượt qua các biện pháp bảo mật. Sau đó chúng cài phần mềm độc hại vào hệ thống hoặc thiết bị một cách bí mật mà không cần sự cho phép của người dùng.

Trong thị trường crypto, cách mà kẻ tấn công thường muốn lừa nạn nhân nhất chính là thông qua các nền tảng mạng xã hội Telegram, X… Chúng sẽ dụ dỗ nạn nhân tải tệp về máy hoặc truy cập các đường link giả mạo để chiếm quyền kiểm soát thiết bị nạn nhân.

Một số loại phần mềm độc hại phổ biến bao gồm:

• Ransomware: Phần mềm tống tiền có thể khóa máy tính của bạn và yêu cầu tiền chuộc để mở khóa.
• Trojan: Một loại malware thường ẩn mình dưới dạng tệp đính kèm trong email hoặc tệp tải về miễn phí, sau đó lây nhiễm vào thiết bị của người dùng.
• Spyware: Phần mềm gián điệp cho phép kẻ tấn công thu thập thông tin về các hoạt động máy tính của người dùng bằng cách truyền dữ liệu từ ổ cứng của họ. Spyware cũng có thể hoạt động như một keylogger và chụp màn hình dữ liệu nhạy cảm.

Tấn công DDoS - Distributed Denial of Service

Tấn công từ chối dịch vụ phân tán (DDoS) xảy ra khi nhiều hệ thống máy tính bị xâm nhập tấn công một mục tiêu như máy chủ, trang web hoặc tài nguyên mạng khác, gây ra tình trạng từ chối dịch vụ cho người dùng hợp pháp.

Tấn công DDoS trong crypto xảy ra phổ biến nhất khi một dự án airdrop. Nhóm hacker sẽ tấn công vào trang chủ chính thức của dự án để trang web này bị sập. Sau đó chúng thiết lập trang web giả mạo dự án, người dùng khi truy cập vào trang web giả mạo sẽ bị đánh cắp dữ liệu hoặc bị chúng thực hiện các thủ thuật để tấn công vào tài sản.

Man-in-the-Middle (MITM)

Trong lĩnh vực crypto, các cuộc tấn công Man-in-the-Middle thường nhắm vào việc đánh cắp thông tin đăng nhập, private key, passphrase, hoặc dữ liệu giao dịch để chiếm đoạt tài sản tiền mã hóa. Kẻ tấn công bí mật chặn và có thể thay đổi thông tin liên lạc giữa hai bên mà không ai trong hai bên biết đến sự hiện diện của kẻ tấn công. 

Ở Việt Nam, khi các dịch vụ cung cấp Wifi công cộng khá phổ biến, người dùng thường chủ quan khi kết nối. Đây cũng là nguyên nhân khiến hacker có thể tấn công theo hình thức MITM.

Đọc thêm: Man-in-the-Middle - Cuộc tấn công mạng dành cho "kẻ thứ ba".

Tấn công khai thác Exploit Attack trong DeFi

Tấn công khai thác lợi dụng các lỗ hổng trong mã nguồn, giao thức, hoặc hợp đồng thông minh của các giao thức DeFi để chiếm đoạt tài sản của người dùng. Hình thức phổ biến là thông qua các giao thức AMM để tấn công front runing bot, tấn công MEV bot, tấn công oracle nhằm thao túng giá…

Zero-Day Exploit

Kẻ tấn công khai thác lổ hổng bảo mật chưa được phát hiện hoặc chưa được vá lỗi trong phần mềm, phần cứng hoặc hệ thống. Cụm từ "zero-day" ám chỉ rằng nhà phát triển phần mềm hoặc quản trị viên hệ thống chưa có thời gian để phát hiện và vá lỗ hổng trước khi nó bị kẻ tấn công lợi dụng.

Vì không có biện pháp phòng chống tức thời, các cuộc tấn công zero-day có thể gây ra thiệt hại lớn trước khi lỗ hổng được phát hiện và vá lỗi.

Đọc thêm: Cách hoạt động của tấn công Zero Day.

Cyber Attack Lifecycle - Vòng đời của các cuộc tấn công mạng

Các cuộc tấn công mạng lớn được thường được thực hiện bởi Trung Quốc, Nga, Triều Tiên, Hoa Kỳ… Chúng đã trở thành mối đe dọa cho nhiều quốc gia và tổ chức trên toàn thế giới.

Việc hiểu về quy trình chung của một cuộc tấn công mạng là rất hữu ích cho cả người dùng và các tổ chức. Các giai đoạn thường bao gồm:

Bước 1: Reconnaissance (Thăm dò)

Kẻ tấn công thường bắt đầu bằng việc thu thập thông tin về mục tiêu, sử dụng các kỹ thuật như quét mạng và thu thập thông tin từ các nguồn công khai và mạng xã hội. 

Nhóm APT10 đến từ Trung Quốc nổi tiếng với việc thực hiện các cuộc thăm dò kỹ lưỡng để tìm ra các lỗ hổng trong hệ thống của mục tiêu.

Bước 2: Weaponization (Vũ khí hóa)

Sau khi thu thập đủ thông tin, kẻ tấn công tạo ra các công cụ tấn công như malware hoặc các đoạn mã khai thác để tấn công các lỗ hổng đã phát hiện. Chúng có thể tạo ra malware tinh vi như trojan hoặc ransomware để sử dụng trong giai đoạn sau.

Năm 2017, Triều Tiên bị cáo buộc đứng sau cuộc tấn công WannaCry bằng ransomware, mã hóa dữ liệu của hàng trăm ngàn máy tính trên toàn thế giới và yêu cầu tiền chuộc bằng Bitcoin.

Bước 3: Delivery (Phát tán)

Công cụ tấn công được triển khai tới mục tiêu thông qua các phương pháp như email phishing, website giả mạo, hoặc tấn công trực tiếp vào hệ thống mạng. Các cuộc tấn công phishing là phương pháp phổ biến để phát tán malware vào hệ thống của nạn nhân.

Bước 4: Exploitation (Khai thác)

Khi công cụ tấn công đã được triển khai, kẻ tấn công khai thác lỗ hổng trong hệ thống mục tiêu để chiếm quyền điều khiển hoặc cài đặt malware. 

Năm 2017, Trung Quốc bị cáo buộc thực hiện cuộc tấn công vào Equifax Breach, đánh cắp thông tin cá nhân của khoảng 147 triệu người Mỹ, bao gồm tên, địa chỉ, số an sinh xã hội và thông tin tài chính​.

Bước 5: Installation (Cài đặt)

Mã độc được cài đặt vào hệ thống mục tiêu, tạo điều kiện cho kẻ tấn công duy trì quyền truy cập lâu dài. Các malware như trojan hoặc rootkit thường được sử dụng để tạo ra cửa sau (backdoor) trong hệ thống của nạn nhân.

Bước 6: Command and Control (C2)

Kẻ tấn công thiết lập kênh liên lạc giữa hệ thống bị nhiễm và máy chủ điều khiển để gửi lệnh và nhận dữ liệu. Điều này cho phép kẻ tấn công điều khiển từ xa các hoạt động trên hệ thống bị nhiễm.

Bước 7: Actions on Objectives (Tấn công mục tiêu)

Cuối cùng, kẻ tấn công thực hiện các hành động để đạt được mục tiêu của họ, chẳng hạn như đánh cắp dữ liệu, phá hoại hệ thống, hoặc đòi tiền chuộc. 

Top 3 vụ tấn công mạng lớn nhất trong lịch sử Crypto

Mt. Gox Hack (2014)

Mt. Gox, một trong những sàn giao dịch Bitcoin lớn nhất thế giới thời điểm 2014, bị tấn công và mất khoảng 850,000 Bitcoin (trị giá khoảng 450 triệu USD vào thời điểm đó, nhưng lên đến hàng chục tỷ USD theo giá hiện tại).

Vụ tấn công đã dẫn đến sự phá sản của Mt. Gox và làm mất lòng tin của người dùng vào các sàn giao dịch tiền mã hóa. Nó cũng gây ra sự suy giảm lớn trong giá trị của Bitcoin.

Xem thêm: Hiểu về “crypto hack” qua vụ hack sàn Mt.Gox chấn động thế giới crypto.

Coincheck Hack (2018)

Coincheck, một sàn giao dịch tiền mã hóa lớn tại Nhật Bản, bị tấn công và mất khoảng 523 triệu NEM token (trị giá khoảng 534 triệu USD vào thời điểm đó). Vụ tấn công này là một trong những vụ trộm lớn nhất trong lịch sử tiền mã hóa.

Coincheck đã phải đền bù cho các nạn nhân và tăng cường các biện pháp bảo mật. Sự kiện này cũng dẫn đến việc Nhật Bản tăng cường quy định và giám sát các sàn giao dịch tiền mã hóa.

Poly Network Hack (2021)

Poly Network bị tấn công và mất khoảng 610 triệu USD trong một cuộc tấn công khai thác lỗ hổng hợp đồng thông minh. Đây là vụ hack lớn nhất trong lịch sử DeFi.

Kẻ tấn công đã trả lại phần lớn số tiền sau khi vụ việc trở nên công khai, nhưng vụ tấn công này đã làm nổi bật những rủi ro bảo mật lớn trong lĩnh vực DeFi và thúc đẩy các dự án DeFi tăng cường các biện pháp bảo mật.

Biện pháp bảo vệ khỏi các cuộc tấn công mạng

Đối với người dùng phổ thông, việc thực hiện các biện pháp tự bảo vệ là rất cần thiết để tránh bị tổn thất từ các cuộc tấn công mạng. Một số biện pháp có thể kể đến như:

• Cập nhật phần mềm thường xuyên: Đảm bảo hệ điều hành và các ứng dụng luôn được cập nhật với các bản vá bảo mật mới nhất.
• Sử dụng phần mềm bảo mật: Cài đặt và cập nhật thường xuyên các phần mềm diệt virus và tường lửa.
• Xác thực hai yếu tố (2FA): Sử dụng xác thực hai yếu tố để tăng cường bảo mật cho tài khoản trực tuyến.
• Sao lưu dữ liệu định kỳ: Thực hiện sao lưu dữ liệu thường xuyên để đảm bảo khả năng khôi phục sau các cuộc tấn công.

Đối với các tổ chức lớn, họ có thể thực hiện các cuộc mô phỏng tấn công mạng - Cyber Attack Simulation trong môi trường kiểm soát để kiểm tra, đánh giá và cải thiện khả năng bảo mật của một tổ chức.

Các cuộc mô phỏng này nhằm giúp các tổ chức hiểu rõ các điểm yếu trong hệ thống bảo mật của họ và chuẩn bị sẵn sàng để phản ứng hiệu quả trước các mối đe dọa thực tế.

Các hình thức Cyber Attack Simulation phổ biến: Penetration Testing (Pen Testing), Red Team/Blue Team Exercise, Tabletop Exercise, Phishing Simulation…

Cyber Attack Simulation là một phần quan trọng trong chiến lược bảo mật tổng thể, giúp các tổ chức chuẩn bị tốt hơn cho các cuộc tấn công mạng và giảm thiểu thiệt hại khi chúng xảy ra.

Tìm hiểu thêm: Tips lưu trữ, bảo vệ crypto khỏi các loại tấn công.