Ai cũng biết rằng ta có thể kiếm tiền từ Internet, nhưng câu hỏi là làm thế nào? Không phải ai cũng có năng lực vượt trội để sáng lập ra một startup kỳ lân công nghệ, hoặc có kết nối với Stanford để trở thành nhân viên tại đó, hay khả năng sống trong bóng tối đủ để trở thành một game thủ Fortnite đẳng cấp thế giới. Và không phải ai cũng có may mắn được sống ở những nơi có nhiều cơ hội việc làm trong vị trí kỹ sư phần mềm với mức lương cao.

Tuy nhiên, nếu bạn sẵn sàng phạm luật – hay ít nhất là phạm luật của Hoa Kỳ, thì bạn sẽ có nhiều lựa chọn hơn: Bạn có thể ăn cắp số thẻ ngân hàng, hoặc mua chúng theo số lượng lớn, xâm nhập tài khoản của người khác để đánh cắp chút tiền, ăn cắp email và lừa ai đó chuyển tiền cho bạn, hay lên các nền tảng hẹn hò để lừa đảo những kẻ độc thân. Tất cả những hành vi trên đều giao nhau tại một điểm – bạn cần phải có một phương thức để bán những thứ mình lấy được của người khác, một nguồn để rút số tiền lừa được, cũng như khả năng thuyết phục và sự kiên nhẫn trong một thời gian dài. Và tất nhiên, một chút khả năng lập trình. Còn nếu bạn không có bất cứ thứ gì kể trên thì sao? Đơn giản, hãy sử dụng ransomware (mã độc tống tiền).

Ransomware là các phần mềm độc có khả năng mã hóa dữ liệu trên một máy chủ hay máy tính cụ thể, sau đó sẽ ép người dùng phải trả tiền để giải mã các giữ liệu này. Tại Mỹ, chỉ trong năm vừa qua, hacker đã tấn công vào chính phủ các bang Baltimore, New Orleans, một số tiểu bang khác, xâm nhập vào các bộ dữ liệu và máy chủ email, hệ thống của cảnh sát, và cả các trung tâm hỗ trợ khẩn cấp. Ngoài ra, bệnh viện – với các thông tin quan trọng và nhạy cảm về thời gian, cũng là một đối tượng bị tấn công phổ biến. Cùng với đó là các công ty chuyên về hạ tầng IT cho các doanh nghiệp và thị trấn nhỏ – bởi lẽ khi tấn công được vào các công ty này, thì hacker cũng nắm trong tay toàn bộ điểm yếu của khách hàng của họ.

Ngày càng xuất hiện nhiều vụ tấn công trên quy mô lớn hơn, với mức tống tiền cao hơn. “Vốn dĩ, ransomware chỉ nhằm vào các cá nhân,” ông Herb Stapleton, trưởng một chi nhánh thuộc bộ phận công nghệ của FBI cho biết. “Sau đó, nó dần chuyển mục tiêu sang các công ty nhỏ có ít những biện pháp đảm bảo an ninh mạng, trước khi tấn công cả vào những doanh nghiệp lớn và đặc khu tự quản.” Cụ thể, Weather Channel, công ty truyền thông Pháp M6, và dịch vụ vận chuyển Pitney Bowes, đều là nạn nhân của phương pháp tấn công này vào năm 2019. Cũng vào mùa hè năm ngoái, 2 thị trấn nhỏ tại Florida cũng đã phải bỏ ra 1,1 triệu USD để lấy lại dữ liệu của mình. Và theo BBC, hãng pháp y Châu Âu là Eurofins Scientific cũng đã từng phải giao dịch với hacker, dù hãng chưa thừa nhận điều này. Và một nạn nhân khác  – Travelex, cũng chưa xác nhận là đã trả khoản tiền chuộc lên tới hàng tỷ USD, tuy nhiên trang web của dịch vụ đổi ngoại tệ toàn cầu này vẫn không hoạt động 1 tháng sau khi bị tống tiền.

Sự gia tăng tấn công ransomware cõ lẽ đã phần nào được định trước, bởi lẽ tấn công kiểu này rất đơn giản, có thể mở rộng quy mô, và ít rủi ro – một tội ác hoàn hảo. Nhiều vụ tấn công được cho là bắt nguồn từ các bang thuộc Xô Viết cũ, nơi có nhiều người có bằng cấp cao về công nghệ, song lại không kiếm được việc ổn định. Và sự kết hợp này đã cấu thành nên một nền công nghiệp, mà có thể được coi như một người em song sinh bất hợp pháp của công nghệ.

Hiện nay, các kẻ tấn công tiềm năng thậm chí còn không phải tự xây dựng một ransomware, mà có thể mua chúng. Và nếu những kẻ tấn công không biết cách dùng công cụ này, thì chúng có thể đăng ký dịch vụ với đầy đủ hỗ trợ cho khách hàng, thay tội phạm thực hiện các vụ tấn công. Sử dụng phần mềm như dịch vụ (SaaS) đã sớm trở nên phổ biến trên thị trường toàn cầu, đi từ các phần mềm quản lý khách hàng như Salesforce.com cho tới nền tảng nhắn tin văn phòng Slack và dịch vụ lưu trữ đám mây Dropbox. Thậm chí, bạn có thể đơn giản là tra “dịch vụ ransomware” hay “RaaS” trên các phòng chat dark web, bạn sẽ thấy hàng loạt kết quả hiện ra. Trong mắt của đa số mọi người, hacker thường vô cùng am hiểu về lập trình hay công nghệ. Tuy nhiên, giờ đây, với ransomware, điều này đã không còn phù hợp. Cụ thể, theo Christopher Elisan, Giám đốc công nghệ tại hãng an minh mạng Flashpoint: “Chúng có thể đơn giản là mua phần mềm hay dịch vụ rồi bắt đầu kiếm tiền bằng ransomware mua được.”

Điều này có nghĩa là, bạn có thể là một nhà văn, tốt nghiệp đại học giáo dục, chẳng hiểu gì về cách vận hành của di động hay Internet, thường xuyên phải hỏi cách chia sẻ dữ liệu, và vẫn có thể thực hiện tấn công ransomware. Cần lưu là, khi bắt đầu bài viết, tôi (tác giả bài viết) hoàn toàn không có ý định thử hình thức tấn công này. Tuy nhiên, chỉ vài tuần sau, tôi lại nhận ra rằng, nếu như một người như mình mà cũng có thể tấn công công nghệ, thì đây sẽ như một phép thử Turing, một bằng chứng chứng minh rằng, việc tấn công bằng phần mềm hoàn toàn không phụ thuộc vào kỹ năng của kẻ tấn công. Và đây là một cơ hội tốt để thử.

Còn tiếp

FPT TechInsight
Theo Bloomberg

Tin liên quan: