Các nguy cơ tấn công mạng, lỗ hổng bảo mật nghiêm trọng và cách xử lý

Tháng 5/2026 trên không gian mạng xuất hiện nhiều chiến dịch tấn công mạng tinh vi và các lỗ hổng nghiêm trọng trên các phần mềm ứng dụng phổ biến. Đặc biệt hệ thống quản trị mã độc tập trung ghi nhận một số loại mã độc nguy hiểm đang lây nhiễm, ảnh hưởng trực tiếp đến các cơ quan, đơn vị trên địa bàn tỉnh. Các loại virus, mã độc này có thể bị đối tượng tấn công lợi dụng để chiếm quyền điều khiển hệ thống, đánh cắp và mã hóa dữ liệu đòi tiền chuộc (ransomware). Công an tỉnh thông tin và hướng dẫn giải pháp khắc phục như sau.

Các nguy cơ tấn công mạng và lỗ hổng bảo mật nghiêm trọng

Cảnh báo thủ đoạn “Combo du lịch giá siêu rẻ” và giả mạo website đặt vé máy bay

Đối tượng chạy quảng cáo trên Facebook/TikTok các gói Combo “Vé máy bay + khách sạn 5 sao” với giá chỉ bằng 30-50% thị trường. Chúng không chỉ yêu cầu chuyển cọc mà còn gửi một đường link dẫn đến website giả mạo có giao diện giống hệt Vietnam Airlines, Vietjet hoặc Agoda/Booking. Khi nạn nhân nhập thông tin thẻ tín dụng để thanh toán, chúng sẽ chiếm đoạt thông tin thẻ (số thẻ, ngày hết hạn, mã CVV) để thực hiện các giao dịch thanh toán quốc tế trái phép ngay lập tức.

Giải pháp ứng phó: Tuyệt đối không giao dịch qua các cá nhân tự xưng là “Đại lý cấp 1” trên mạng xã hội mà không có địa chỉ văn phòng thực tế; kiểm tra kỹ tên miền (URL) website, các website giả mạo thường sai khác 1 ký tự (ví dụ: vietnamairlines-ticket.com thay vì vietnamairlines.com); ưu tiên thanh toán qua ứng dụng ngân hàng chính thức hoặc các nền tảng có bảo chứng (VNPAY, MoMo).

Chiếm đoạt tài khoản ngân hàng qua tính năng "Chia sẻ màn hình" (Screen Sharing)

Đối tượng đóng giả làm nhân viên hỗ trợ kỹ thuật của ngân hàng hoặc nhà mạng gọi điện hỗ trợ xử lý lỗi tài khoản/khóa SIM. Chúng không hỏi mã OTP, thay vào đó chúng yêu cầu nạn nhân gọi video call qua Zalo/Telegram và yêu cầu bấm vào tính năng “Chia sẻ màn hình” để tiện hướng dẫn thao tác. Khi nạn nhân chia sẻ màn hình, đối tượng sẽ thấy toàn bộ quá trình nạn nhân đăng nhập vào app ngân hàng, bao gồm cả mật khẩu và mã OTP hiện lên trên thông báo đẩy. Từ đó, chúng thực hiện lệnh chuyển tiền trên một thiết bị khác.

Giải pháp ứng phó: Tuyệt đối không bao giờ sử dụng tính năng “Chia sẻ màn hình” khi đang làm việc với người lạ qua mạng; ngân hàng không bao giờ yêu cầu khách hàng thực hiện video call để hỗ trợ kỹ thuật liên quan đến mật khẩu; nếu cần hỗ trợ, hãy chủ động gọi đến số hotline in trên mặt sau thẻ ngân hàng.

Giả mạo Tổng cục Thuế/bảo hiểm xã hội cài đặt app “Hỗ trợ quyết toán” (thuế 2.0)

Lợi dụng tháng cao điểm quyết toán thuế và cập nhật VNeID mức độ 2, đối tượng gọi điện xưng là cán bộ thuế/công an phường, xã thông báo hồ sơ của nạn nhân bị lỗi, yêu cầu phải xử lý gấp để tránh bị phạt. Chúng không gửi link APK trực tiếp như trước mà hướng dẫn nạn nhân truy cập vào một trang web có giao diện giống hệt Google Play (CH Play) giả mạo để tải ứng dụng, việc này làm nạn nhân tin rằng đây là ứng dụng an toàn. Khi cài đặt, ứng dụng sẽ yêu cầu quyền “Accessibility” (hỗ trợ), nếu người dùng đồng ý, kẻ gian sẽ quyền điều khiển điện thoại từ xa (Remote Access), tự đọc tin nhắn, tự thao tác trên app ngân hàng mà người dùng không cần chạm vào máy.

Giải pháp ứng phó: Chỉ cài đặt ứng dụng bằng cách gõ tên trực tiếp trên App Store/CH Play thật, không truy cập qua đường link do người khác cung cấp; cảnh giác với quyền “Accessibility”, đây là quyền tối cao trên Android, không bao giờ cấp quyền này cho các ứng dụng lạ không thuộc hệ thống trợ năng cho người khuyết tật; cơ quan thuế/công an luôn làm việc trực tiếp tại trụ sở hoặc qua văn bản có dấu đỏ, không làm việc qua điện thoại hay Zalo.

Cảnh báo nghiêm trọng thông qua hệ thống quản trị mã độc tập trung EDR

Cảnh báo mã độc crack hệ điều hành và can thiệp hệ thống (HackTool.MSIL.KMSAuto.db)

Đây là một loại mã độc được phân loại vào dòng HackTool (công cụ bẻ khóa), thường núp bóng dưới danh nghĩa các phần mềm kích hoạt bản quyền Windows hoặc Office miễn phí (KMSAuto). Mã độc này được viết trên nền tảng .NET (MSIL), khi thực thi sẽ yêu cầu quyền quản trị cao nhất (Administrator) để can thiệp sâu vào tệp tin hệ thống và Registry.

Ngoài việc sửa đổi các tham số bản quyền, biến thể này thường đi kèm các hành vi nguy hiểm như: tự động thêm chính nó vào danh sách loại trừ của Windows Defender, tạo các tác vụ lập lịch (Scheduled Tasks) để duy trì sự hiện diện lâu dài, và có khả năng tải xuống các tệp tin độc hại khác từ máy chủ từ xa. Thực chất, đây là “cửa sau” (backdoor) cho phép tin tặc theo dõi hoạt động hoặc biến máy tính nạn nhân thành một phần của mạng botnet.

Giải pháp khắc phục: Tuyệt đối không sử dụng các công cụ bẻ khóa (crack/patch) không rõ nguồn gốc. Nếu đã lỡ cài đặt, cần thực hiện xóa bỏ tệp tin thực thi ngay lập tức và kiểm tra danh sách loại trừ (Exclusions) trong Windows Defender hoặc phần mềm diệt virus để loại bỏ các đường dẫn nghi vấn. Kiểm tra và xóa các tác vụ lạ trong Task Scheduler, thực hiện quét toàn bộ hệ thống bằng phần mềm diệt virus Smart IR hoặc các giải pháp bảo mật chuyên dụng. Người dùng và tổ chức sử dụng phần mềm có bản quyền để đảm bảo nhận được các bản cập nhật bảo mật chính thức từ nhà sản xuất đồng thời tránh những rủi ro pháp lý.

Cảnh báo mã độc lây nhiễm qua file Excel (Virus.MSExcel.Laroux-based)

Đây là loại macro-virus lây lan qua các file Microsoft Excel, đặc biệt phát tán mạnh qua ứng dụng Zalo. Khi người dùng mở file và bật tính năng “cho phép Macros” (Enable Macros) virus sẽ lây nhiễm vào hệ thống, có khả năng đánh cắp thông tin nhạy cảm và là tiền đề cho các cuộc tấn công mã hóa tống tiền (ransomware)[2].

Giải pháp khắc phục: Đối với quản trị viên hệ thống cần cấu hình Group Policy để vô hiệu hóa hoặc cảnh báo nghiêm ngặt việc thực thi macro trong các văn bản Office. Đối với người dùng tuyệt đối không bấm “cho phép nội dung hoạt động” (Enable Content) hoặc “cho phép Macros” (Enable Macros) đối với các tệp tin nhận được từ nguồn không tin cậy và luôn bật phần mềm diệt virus Smart IR.

Cảnh báo mã độc lây nhiễm qua file AutoCAD (Virus.Acad.Bursted.a, Trojan.Acad.Agent.a)

Đây là loại virus lây nhiễm vào môi trường làm việc của phần mềm AutoCAD. Khi người dùng mở một tệp bản vẽ bất kỳ mã độc sẽ được kích hoạt và có khả năng đánh cắp, phá hoại các bản vẽ thiết kế, dữ liệu quy hoạch, dự án quan trọng.

Giải pháp khắc phục: Đối với quản trị viên hệ thống cần rà soát các máy tính có cài đặt AutoCAD. Sử dụng phần mềm diệt virus để làm sạch. Kiểm tra và xóa các tệp tin độc hại (như acad.lsp, acaddoc.lsp) trong thư mục cài đặt và thư mục người dùng của AutoCAD. Đối với người dùng không mở các file bản vẽ không rõ nguồn gốc, báo cáo ngay cho bộ phận công nghệ thông tin khi phần mềm AutoCAD có các biểu hiện bất thường và luôn bật phần mềm diệt virus Smart IR.

Cảnh báo mã độc gián điệp đánh cắp thông tin cá nhân HEUR:Trojan.Win32.Fsysna.gen

Đây là dòng mã độc gián điệp (Trojan Spy) chuyên nghiệp. Thay vì phá hoại hệ thống ngay lập tức nó âm thầm thực hiện các hành vi: theo dõi thao tác bàn phím (keylogging) để lấy mật khẩu, trích xuất dữ liệu từ các trình duyệt (cookie, mật khẩu lưu sẵn, thẻ tín dụng) và chụp ảnh màn hình của nạn nhân. Nó liên tục biến đổi mã nguồn để tránh bị nhận diện bởi các mẫu có sẵn, chỉ có thể bị phát hiện qua phân tích hành vi. Dữ liệu bị đánh cắp thường được dùng để chiếm đoạt tài khoản ngân hàng hoặc tống tiền nạn nhân.

Giải pháp khắc phục: Ngay lập tức quét toàn bộ hệ thống bằng phần mềm diệt virus bản quyền (như Kaspersky, Microsoft Defender bản cập nhật mới nhất, Smart IR); đổi toàn bộ mật khẩu các tài khoản quan trọng từ một thiết bị sạch khác và kích hoạt xác thực 2 lớp (MFA); không lưu mật khẩu trực tiếp trên trình duyệt, nên sử dụng các trình quản lý mật khẩu chuyên dụng (như Bitwarden, LastPass).

Phát hiện một số file .exe tại các đơn vị ghi nhận hành vi nguy hiểm có thể dẫn đến tấn công mã hóa dữ liệu trong tương lai

Một số tệp tin thực thi (.exe) tại các đơn vị có hành vi nguy hiểm, tiềm ẩn rủi ro cao đối với hệ thống thông tin. Các tệp tin này có thể được phát tán thông qua email, ứng dụng nhắn tin (Zalo, Telegram,…), thiết bị lưu trữ USB hoặc tải về từ Internet.

Khi người dùng vô tình thực thi (chạy) các file .exe, mã độc có thể được kích hoạt, cho phép kẻ tấn công xâm nhập hệ thống, tải thêm mã độc khác, duy trì quyền kiểm soát và đặc biệt là tiền đề cho các cuộc tấn công mã hóa dữ liệu tống tiền (ransomware) trong tương lai.

Giải pháp khắc phục: Đối với quản trị viên hệ thống, cần rà soát, kiểm tra và loại bỏ ngay các file .exe không rõ nguồn gốc trên máy trạm và máy chủ. Cấu hình Group Policy hoặc các giải pháp Endpoint Security để hạn chế hoặc chặn việc thực thi file .exe từ các thư mục không an toàn (Downloads, Temp, USB,…); triển khai và cập nhật đầy đủ phần mềm diệt virus Smart IR cho hệ thống. Đối với người dùng cần tuyệt đối không mở hoặc chạy các file .exe nhận được từ email, ứng dụng nhắn tin hoặc nguồn không rõ ràng. Không tải và cài đặt phần mềm, công cụ, file crack hoặc keygen từ Internet. Luôn bật phần mềm diệt virus Smart IR và kịp thời báo cáo bộ phận công nghệ thông tin khi phát hiện cảnh báo bất thường.