Hơn 18.000 tên miền nhái đã được kẻ tấn công tung ra trong mùa lễ hội năm nay

Điều đáng chú ý là năm nay, khối lượng cơ sở hạ tầng độc hại mới được tạo ra, hoạt động xâm phạm tài khoản và khai thác có chủ đích các hệ thống thương mại điện tử đã cao hơn đáng kể. Những kẻ tấn công đã bắt đầu chuẩn bị từ nhiều tháng trước, tận dụng các công cụ và dịch vụ công nghiệp hóa cho phép chúng mở rộng quy mô tấn công trên nhiều nền tảng, khu vực địa lý và danh mục nhà cung cấp.

Đối với các nhà bán lẻ, tổ chức tài chính và bất kỳ doanh nghiệp nào vận hành cơ sở hạ tầng thương mại điện tử, các mối đe dọa hiện đang hoạt động mạnh mẽ hoặc gắn chặt với hành vi của người tiêu dùng hơn bao giờ hết. Sự gia tăng đột biến trong hoạt động mua sắm trực tuyến, thanh toán trên nền tảng số và các sự kiện khuyến mại trong năm nay tạo ra một môi trường khiến các tác nhân đe dọa đang khai thác một cách vô cùng tích cực.

Nghiên cứu về các mối đe dọa của FortiGuard đã phân tích dữ liệu từ ba tháng qua để xác định các mô hình quan trọng nhất định hình bề mặt tấn công trong dịp lễ hội cuối năm 2025. Những phát hiện của FortiGuard cho thấy một xu hướng rõ ràng: Kẻ tấn công đang di chuyển nhanh hơn, tự động hóa nhiều hơn và tận dụng tối đa sự gia tăng của hoạt động mùa vụ.

Cụ thể nội dung có trong Báo cáo FortiRecon về Tổng quan Bối cảnh các Mối đe dọa An ninh mạng của mùa lễ hội 2025, được tổng hợp bởi FortiGuard Labs, hi vọng sẽ cung cấp những hướng dẫn hữu ích cho các tổ chức đang chuẩn bị cho một mùa kinh doanh trực tuyến bận rộn nhất trong năm.

Hơn 19.000 tên miền nhái đã được kẻ tấn công tung ra trong mùa lễ hội năm nay

Sự gia tăng nhanh chóng của cơ sở hạ tầng độc hại với nội dung liên quan đến lễ hội

Một trong những dấu hiệu rõ ràng nhất về hoạt động của kẻ tấn công là việc đăng ký tên miền mới. FortiGuard đã xác định được hơn 18.000 tên miền theo chủ đề lễ hội được đăng ký trong ba tháng qua có liên quan đến các thuật ngữ như “Christmas,” “Black Friday,” and “Flash Sale”. Ít nhất 750 trong số này được xác nhận là độc hại. Điều này cho thấy nhiều tên miền vẫn được coi là không độc hại. Và đó có thể là rủi ro tiềm ẩn.

FortiGuard cũng ghi nhận sự gia tăng ở các tên miền nhái các thương hiệu bán lẻ lớn. Kẻ tấn công đã đăng ký hơn 19.000 tên miền theo chủ đề thương mại điện tử, trong đó có 2.900 tên miền là độc hại. Nhiều tên miền mới nhái lại tên miền quen thuộc, và thường chỉ là những thay đổi nhỏ dễ bị bỏ qua khi người mua sắm lướt mạng với tốc độ nhanh.

Những tên miền này hỗ trợ lừa đảo, gian lận, lừa đảo thẻ quà tặng và các chương trình thu thập thông tin thanh toán. Chúng cũng góp phần vào các chiến dịch đầu độc SEO, làm tăng giả tạo các URL độc hại trong kết quả tìm kiếm trong suốt thời gian diễn ra các sự kiện mua sắm cao điểm.

Dữ liệu tài khoản bị đánh cắp tăng kỷ lục

Báo cáo cũng cho thấy sự gia tăng đáng kể về tính khả dụng và việc sử dụng nhật ký đánh cắp. Chỉ ba tháng qua, hơn 1,57 triệu tài khoản đăng nhập được liên kết với các trang web thương mại điện tử lớn có sẵn thông qua nhật ký đánh cắp đã được thu thập trên các thị trường ngầm.

Thông tin tài khoản đánh cắp chứa mật khẩu, cookie, mã thông báo phiên, dữ liệu tự động điền và dấu vân tay hệ thống được lưu trữ trên trình duyệt. Trong kỳ nghỉ lễ, người dùng đăng nhập vào nhiều tài khoản trên nhiều thiết bị, khiến những thông tin này đặc biệt có giá trị.

Các thị trường tội phạm hiện lập chỉ mục các nhật ký này bằng bộ lọc tìm kiếm, điểm uy tín và hệ thống phân phối tự động. Điều này làm giảm đáng kể rào cản kỹ năng, cho phép “nhồi nhét’ thông tin xác thực nhanh chóng, chiếm đoạt tài khoản và mua hàng trái phép.

Báo cáo cũng ghi nhận các "đợt giảm giá ngày lễ" đang diễn ra trên các tập dữ liệu thẻ và CVV. Các tác nhân đe dọa sử dụng các chương trình khuyến mãi theo phong cách “Black Friday” để đẩy dữ liệu tài chính bị đánh cắp với giá chiết khấu, thúc đẩy sự gia tăng gian lận.

Nhiều lỗ hổng nghiêm trọng trên nền tảng thương mại điện tử

Kẻ tấn công đang tích cực khai thác các lỗ hổng trên Adobe/Magento, Oracle E-Business Suite, WooCommerce, Bagisto và các nền tảng thương mại điện tử phổ biến khác. Trong đó, 3 lỗ hổng nổi bật phải kể đến là:

CVE-2025-54236 (Adobe/Magento): Các báo cáo công khai cho thấy lỗ hổng này đang bị khai thác để chiếm quyền điều khiển phiên và thực thi mã từ xa thông qua việc xác thực đầu vào không đúng cách. Hơn 250 cửa hàng Magento đã có dấu hiệu bị xâm phạm.

CVE-2025-61882 (Oracle EBS): Được các nhóm ransomware sử dụng để thực thi mã từ xa không xác thực, đánh cắp dữ liệu ERP và phá vỡ hệ thống đặt hàng và kiểm kê.

CVE-2025-47569 (Plugin Thẻ Quà tặng WooCommerce của WordPress): Gây ra rủi ro bảo mật đáng kể cho các cửa hàng trực tuyến WooCommerce, vì việc khai thác thành công có thể cho phép kẻ tấn công thao túng hoặc đánh cắp thông tin cơ sở dữ liệu nhạy cảm. Các tác nhân đe dọa trên darknet đang bán quyền truy cập vào cơ sở dữ liệu bằng cách khai thác lỗ hổng này.

FortiGuard đã xác định được hơn 18.000 tên miền theo chủ đề lễ hội được đăng ký trong ba tháng qua có liên quan đến các thuật ngữ như “Christmas,” “Black Friday,” and “Flash Sale”

Trên nhiều nền tảng, lỗ hổng trong plugin, mẫu và xác thực API đang cho phép hacker đánh cắp thông tin thanh toán, khai thác XSS, leo thang đặc quyền và tải tệp trái phép.

Tấn công chèn JavaScript kiểu Magecart vẫn là một trong những mối đe dọa dai dẳng và gây thiệt hại lớn nhất, cho phép kẻ tấn công đánh cắp thông tin thanh toán trực tiếp từ các trang thanh toán.

Hoạt động đe dọa năm nay được thúc đẩy bởi mức độ tự động hóa cao, được hỗ trợ bởi một hệ sinh thái dịch vụ hoàn thiện, giúp kẻ tấn công không cần phải tự xây dựng công cụ hoặc cơ sở hạ tầng. Các khuôn khổ tấn công brute-force được hỗ trợ bởi AI hiện có thể xử lý khối lượng lớn các lần đăng nhập với thời gian và hành vi giống con người, khiến các cuộc tấn công thông tin đăng nhập trở nên khó phát hiện hơn.

Cụ thể, các công cụ xác thực thông tin đăng nhập được thiết kế riêng cho WooCommerce, WordPress, FTP, SMTP và các bảng quản trị phổ biến cho phép kẻ tấn công nhanh chóng kiểm tra và xác nhận tên người dùng và mật khẩu bị đánh cắp trên toàn bộ nhóm trang web. Các dịch vụ proxy và VPN hàng loạt cung cấp địa chỉ IP luân phiên và mang tính đa dạng về mặt địa lý, giúp ngăn chặn hoạt động tự động kích hoạt giới hạn tốc độ hoặc kiểm soát hàng rào địa lý.

Dịch vụ lưu trữ thiết lập tức thời cho các trang lừa đảo hoặc phân phối phần mềm độc hại đã trở thành dịch vụ chủ lực, cung cấp cho kẻ tấn công các máy chủ sẵn sàng chỉ yêu cầu cấu hình tối thiểu. Các dịch vụ sao chép trang web mới có thể sao chép toàn bộ “mặt tiền cửa hàng” để sử dụng trong các chiến dịch lừa đảo, trong khi các nền tảng SIP tự động hỗ trợ các nỗ lực lừa đảo trực tuyến với số lượng lớn bằng ID người gọi giả mạo. Các bảng spam SMS mở rộng khả năng này thành các chiến dịch smishing, cho phép kẻ tấn công nhắm mục tiêu vào người mua sắm bằng thông báo giao hàng giả mạo hoặc ưu đãi giảm giá.

Các gói thao túng SEO cũng đang được tiếp thị để đẩy các URL độc hại lên cao hơn trong kết quả tìm kiếm, làm tăng khả năng người mua sắm vội vàng sẽ nhấp chuột vào chúng. Song song đó, các dịch vụ chuyên biệt cài đặt skimmer thanh toán hoặc backdoor trên các nền tảng dựa trên CMS, cho phép đánh cắp dữ liệu lâu dài. Thậm chí đã có cả các hướng dẫn chi tiết về cách chuyển đổi số dư ví điện tử bị đánh cắp và tín dụng thẻ quà tặng thành tiền mặt hoặc tài sản có thể bán lại.

Tất cả kết hợp tạo nên một thị trường tích hợp chặt chẽ, nơi kẻ tấn công có thể chuẩn bị một quy mô lớn cho các đợt tấn công tăng đột biến dịp lễ hội. Nhiều công cụ và dịch vụ thậm chí còn xuất hiện dưới cụm từ quảng cáo "khuyến mãi mùa lễ", khiến nó tăng phần tương đồng với các chương trình khuyến mãi theo mùa hợp pháp.

Các nhà lãnh đạo doanh nghiệp nên làm gì?

Điều này có ý nghĩa gì đối với các nhà lãnh đạo doanh nghiệp?

Các phát hiện cho thấy một mô hình rõ ràng: Kẻ tấn công đang hoạt động với tốc độ, tính tự động hóa và tính tổ chức thương mại cao hơn. Sự gia tăng hoạt động mạng thường thấy trong dịp lễ hội hiện nay kết hợp với các hệ sinh thái nhật ký đánh cắp dữ liệu lớn, công cụ AI phổ biến và các lỗ hổng lan rộng trong cơ sở hạ tầng thương mại điện tử.

Đối với các Giám đốc an ninh thông tin (CISO), các nhóm chống gian lận và các nhà lãnh đạo của tổ chức kinh doanh thương mại điện tử, đây không phải là một thách thức tạm thời chỉ giới hạn trong khung thời gian lễ hội. Nó phản ánh các xu hướng rộng hơn về công cụ tấn công và kiếm tiền sẽ tiếp tục trong năm 2026.

Những điều có thể làm ngay lúc này

• Một vài bước thiết thực được thực hiện sớm có thể giảm đáng kể nguy cơ gian lận, chiếm đoạt tài khoản hoặc xâm nhập trang thanh toán. Những tư vấn sau đây phác thảo những gì các tổ chức và người tiêu dùng có thể làm để tránh các mối đe dọa phổ biến nhất trong mùa mua sắm năm 2025.
• Cập nhật đầy đủ tất cả các nền tảng công nghệ trên các thương mại điện tử, plugin, chủ đề và tích hợp của bên thứ ba; đồng thời xóa bất kỳ nội dung nào không được sử dụng.
• Áp dụng mã hoá HTTPS ở mọi nơi và bảo mật cookie phiên, trang quản trị và luồng thanh toán.
• Yêu cầu Xác thực Đa yếu tố (MFA) trên các tài khoản quản trị và tài khoản rủi ro cao, đồng thời áp dụng chính sách mật khẩu mạnh.
• Sử dụng các công cụ quản lý bot, giới hạn tốc độ và phát hiện bất thường để giảm thiểu việc lạm dụng thông tin đăng nhập.
• Giám sát các tên miền lừa đảo hoặc tương tự mạo danh thương hiệu của bạn và nhanh chóng xử lý các trường hợp bị gỡ bỏ.
• Quét các thay đổi tập lệnh trái phép và triển khai các biện pháp kiểm soát để phát hiện hành vi giả mạo hoặc skimmer trên trang thanh toán.
• Tập trung kiểm soát nhật ký để giám sát các hành động quản trị đáng ngờ, chiếm quyền điều khiển phiên hoặc truy cập cơ sở dữ liệu bất thường.
• Đảm bảo rằng các nhóm chống gian lận, bảo mật và hỗ trợ khách hàng của bạn tuân theo một lộ trình chống leo thang sự cố an ninh mạng chung trong suốt kỳ nghỉ lễ.

Đối với người dùng, hãy:

Kiểm tra kỹ địa chỉ trang web trước khi nhập thông tin đăng nhập hoặc thanh toán.

Sử dụng thẻ tín dụng hoặc bộ xử lý thanh toán đáng tin cậy có khả năng bảo vệ chống gian lận.

Bật Xác thực Đa yếu tố (MFA) trên tài khoản mua sắm, email và ngân hàng.

Tránh sử dụng Wi-Fi công cộng hoặc sử dụng VPN khi mua hàng hoặc quản lý tài khoản tài chính.

Thận trọng với các tin nhắn không mong muốn và các chương trình khuyến mãi không thực tế, đặc biệt là những tin nhắn liên quan đến giao hàng hoặc giảm giá.

Thường xuyên kiểm tra sao kê ngân hàng và thẻ để nhanh chóng phát hiện các khoản phát sinh đáng ngờ.

Sử dụng thêm các giải pháp bảo vệ của Fortinet

Được cung cấp nhiều lớp bảo vệ trước các kỹ thuật, hạ tầng và hoạt động phần mềm độc hại được nêu trong báo cáo này, các giải pháp bảo vệ của Fortinet như FortiGate, FortiMail, FortiClient và FortiEDR đều hỗ trợ dịch vụ chống virus FortiGuard, giúp phát hiện và chặn các tệp độc hại, payload và các nhóm phần mềm độc hại đánh cắp nhật ký được sử dụng trong nhiều chiến dịch mùa lễ. Khách hàng sử dụng các phiên bản bảo vệ FortiGuard cập nhật sẽ được bảo vệ trên toàn bộ mạng, thiết bị đầu cuối và email.

FortiMail đóng vai trò trung tâm trong việc ngăn chặn các nỗ lực lừa đảo liên quan đến các chương trình khuyến mãi giả mạo, các cửa hàng gian lận và lừa đảo giao hàng. FortiMail xác định và cách ly các URL độc hại, tên miền người gửi giả mạo và các biểu mẫu thu thập thông tin đăng nhập thường được sử dụng để nhắm vào người mua sắm và nhân viên bán lẻ trong dịp lễ. Tính năng phát hiện chống lừa đảo theo thời gian thực được cung cấp bởi FortiSandbox, được tích hợp trong FortiMail, FortiGate và FortiClient, bổ sung thêm một lớp bảo vệ bằng cách xác định cả các nỗ lực lừa đảo đã biết và chưa biết, bao gồm cả các mồi nhử đa hình hoặc do AI tạo ra.

Dịch vụ đào tạo và nâng cao nhận thức bảo mật của Fortinet, cùng với nền tảng mô phỏng lừa đảo FortiPhish, giúp các tổ chức tăng cường lớp phòng thủ con người. Các dịch vụ này đào tạo và kiểm tra nhân viên chống lại các chiến thuật tấn công phi kỹ thuật như cảnh báo giao hàng giả, lừa đảo đặt lại thông tin đăng nhập và các tên miền bán lẻ giả mạo. Điều này làm giảm khả năng kẻ tấn công lợi dụng sự vội vã, mất tập trung hoặc tính cấp bách thường có ở các hoạt động mua sắm trực tuyến trong kỳ nghỉ lễ.

Dịch vụ lọc web và xác nhận uy tín IP của FortiGuard chặn quyền truy cập vào các tên miền độc hại, chợ nhật ký đánh cắp, các trang thương mại điện tử lừa đảo và cơ sở hạ tầng của kẻ tấn công được nêu bật trong báo cáo này. Dịch vụ Chống Botnet và C2 của FortiGuard giúp ngăn chặn giao tiếp chỉ huy và kiểm soát từ các thiết bị bị nhiễm trên mạng. Dịch vụ Giải trừ và Tái thiết Nội dung FortiGuard, có sẵn trên cả FortiGate và FortiMail, vô hiệu hóa các tập lệnh độc hại và các mối đe dọa nhúng trước khi chúng tiếp cận người dùng.

* Nếu bạn tin tổ chức của mình đã bị ảnh hưởng bởi bất kỳ mối đe dọa nào được mô tả trong báo cáo này, nhóm Ứng phó Sự cố FortiGuard toàn cầu của Fortinet luôn sẵn sàng hỗ trợ bạn kịp thời điều tra, ngăn chặn và khắc phục.