Lừa đảo trực tuyến gây thiệt hại trên 6.000 tỷ đồng
Hiệp hội An ninh mạng quốc gia nhận định, năm 2025 đánh dấu một bước chuyển đáng chú ý trong bức tranh an ninh mạng tại Việt Nam, khi số nạn nhân của lừa đảo trực tuyến lần đầu tiên ghi nhận mức giảm sau nhiều năm. Tuy nhiên, Hiệp hội An ninh mạng quốc gia cảnh báo: lừa đảo trực tuyến vẫn vô cùng phức tạp, người dùng cần tiếp tục nâng cao cảnh giác. Các đối tượng ứng dụng công nghệ mới, thậm chí thử nghiệm các thủ đoạn, hình thức mới nhằm qua mặt biện pháp phòng, chống lừa đảo; nguy cơ đối với người dùng vẫn thường trực trên không gian mạng.
Thống kê của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an, cho thấy, trong 6 tháng đầu năm 2025, lực lượng chức năng đã phát hiện và xử lý 56 vụ việc liên quan đến mua bán trái phép dữ liệu cá nhân, với quy mô hơn 110 triệu bản ghi dữ liệu bị thu thập và giao dịch trái phép. Tình trạng này xuất phát từ nhu cầu có thật về việc thu thập dữ liệu cá nhân để phục vụ hoạt động sản xuất, kinh doanh.
Theo Bộ Công an, trong 11 tháng của năm 2025, thiệt hại do tội phạm lừa đảo trực tuyến vẫn ở mức rất lớn, ước tính trên 6.000 tỷ đồng. Một trong những nguyên nhân dẫn đến tình trạng lừa đảo trực tuyến gia tăng, phức tạp chính là việc dữ liệu cá nhân người dùng bị lộ, lọt quá nhiều, quá dễ dàng.
Dữ liệu ghi nhận của Tập đoàn bảo mật Kaspersky cho biết, trong năm 2025 đã phát hiện và ngăn chặn hơn 117 triệu lượt nhấp vào các đường link giả mạo (phishing - hình thức lừa đảo trực tuyến, giả mạo website, email hoặc dịch vụ quen thuộc để dẫn dụ người dùng tự cung cấp thông tin). Theo kết quả phân tích của Kaspersky, có đến 88,5% cuộc tấn công phishing nhắm vào thông tin đăng nhập tài khoản trực tuyến, 9,5% tập trung vào dữ liệu cá nhân như tên, địa chỉ, ngày sinh, 2% nhắm trực tiếp vào thông tin thẻ ngân hàng. Sau khi bị đánh cắp, các dữ liệu này được đưa vào các hệ thống tự động chuyên dụng, giúp tội phạm quản lý và xử lý khối lượng dữ liệu khổng lồ với nhiều mục đích khác nhau.
“Việc Chính phủ ban hành Nghị định số 13/2023/NĐ-CP ngày 17-4-2024 về bảo vệ dữ liệu cá nhân, tiếp theo là Luật Bảo vệ dữ liệu cá nhân (có hiệu lực từ ngày 1-1-2026) là bước đi thể hiện cam kết mạnh mẽ của Nhà nước Việt Nam trong xây dựng một môi trường số an toàn, bảo đảm quyền con người trên không gian mạng”, Đại tá Nguyễn Hồng Quân, Phó Cục trưởng Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an, nhấn mạnh.
Dữ liệu - vũ khí tấn công mạng
Chuyên gia an ninh mạng của Kaspersky, bà Olga Altukhova, cho biết: “Dữ liệu bị đánh cắp không đơn thuần là món hàng dùng một lần, mà dần trở thành vũ khí lợi hại được tội phạm mạng sử dụng lâu dài. Kẻ tấn công tận dụng dữ liệu công khai trên internet, kết hợp với các thông tin rò rỉ trước đó để xây dựng những kịch bản lừa đảo tinh vi, mang tính cá nhân hóa cao. Từ đây, nạn nhân không chỉ bị mất dữ liệu mà còn trở thành mục tiêu dài hạn của các chiêu trò tống tiền, gian lận tài chính hay đánh cắp danh tính”.
Tội phạm mạng thường tập hợp dữ liệu đánh cắp thành những lô dữ liệu lớn đã được xác thực để rao bán. Trên các diễn đàn dark web, những lô dữ liệu này thường được rao bán hàng loạt với mức giá chỉ từ 50USD trở xuống; tuy nhiên, những tài khoản có giá trị cao sẽ được bán với mức giá cao hơn. Ví dụ, trung bình 105USD cho tài khoản liên quan đến tiền ảo, khoảng 350USD cho tài khoản ngân hàng, khoảng 82,5USD cho cổng dịch vụ Chính phủ điện tử, khoảng 15USD cho giấy tờ cá nhân (CMND/CCCD, hộ chiếu…).
Trước khi giao dịch, dữ liệu bị đánh cắp sẽ được kiểm tra rất kỹ bằng các đoạn mã tự động (script) để xác nhận xem thông tin còn sử dụng được trên các dịch vụ hay không. Sau đó, chúng được tổng hợp thành những “hồ sơ số” (digital dossiers) hoàn chỉnh, giúp đẩy giá trị dữ liệu lên gấp nhiều lần. Những bộ hồ sơ này sau đó sẽ được sử dụng trong các cuộc tấn công có chủ đích, điển hình là hình thức whaling, lừa đảo nhắm vào các cá nhân có vị trí hoặc sở hữu tài sản lớn.
Đại tá Nguyễn Hồng Quân, Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an, cho rằng, quyền được bảo vệ dữ liệu cá nhân trước đây được hiểu là một phần của quyền riêng tư, nay đã trở thành một quyền độc lập, được pháp luật ghi nhận và bảo hộ.
Theo Đại tá Nguyễn Hồng Quân, hiện có khoảng 80% dân số thế giới đang sống trong các khu vực có quy định về bảo vệ dữ liệu cá nhân, và Việt Nam không nằm ngoài xu thế này. Việc nâng cao nhận thức, kỹ năng số cho người dân, song song với hoàn thiện hành lang pháp lý và năng lực bảo vệ dữ liệu cá nhân, sẽ tiếp tục là yếu tố then chốt nhằm giảm thiểu rủi ro an ninh mạng trong thời gian tới.
Ông VŨ NGỌC SƠN, Trưởng ban Công nghệ, Hiệp hội An ninh mạng quốc gia: Đôn đốc việc xác thực dữ liệu
Luật Bảo vệ dữ liệu cá nhân đã tạo ra hành lang pháp lý đầy đủ, toàn diện, tạo điều kiện thuận lợi cho cơ quan quản lý nhà nước thực hiện các nhiệm vụ, giải pháp để bảo vệ tốt nhất, an toàn cho dữ liệu cá nhân của người dùng, cơ quan, tổ chức, doanh nghiệp.
Gần đây nhất, Chỉ thị số 57-CT/TW của Ban Bí thư về tăng cường bảo đảm an ninh mạng, bảo mật thông tin, an ninh dữ liệu trong hệ thống chính trị đã yêu cầu triển khai hệ thống định danh và xác thực không gian mạng quốc gia; thống nhất định danh công dân, người dùng mạng xã hội, thuê bao viễn thông và tài nguyên internet (tên miền, địa chỉ IP...), tiếp tục khẳng định vai trò quan trọng của dữ liệu. Chỉ thị này cũng mang tinh thần chỉ đạo rất cao: các cơ quan liên quan phải đôn đốc việc xác thực dữ liệu.
Thực tế hiện nay cho thấy, các quy định về xác thực dữ liệu trong các lĩnh vực đã có, nên cần triển khai xác thực đồng bộ giữa các ngành, các lĩnh vực với nhau. Trong đó, việc triển khai hệ thống định danh và xác thực không gian mạng theo Chỉ thị số 57-CT/TW được đánh giá là kịp thời, cần thiết, giúp hạn chế tài khoản ảo, tin giả, lừa đảo trực tuyến và nâng cao trách nhiệm của mỗi cá nhân khi phát ngôn trên mạng xã hội. Quy định này là hết sức cần thiết, góp phần vào vào sự phát triển lành mạnh của xã hội.
Ông NGUYỄN PHÚ DŨNG, Tổng Giám đốc Công ty cổ phần tập đoàn PILA: Xác thực dữ liệu qua NDAKey là một giải pháp an toàn
Ngoài các giải pháp xác thực dữ liệu hiện nay ở các lĩnh vực, thì NDAKey ra đời được định vị là giải pháp quản lý danh tính tự chủ, hướng tới việc thực hiện hóa các nguyên tắc của Luật Bảo vệ dữ liệu cá nhân ngay từ kiến trúc hệ thống. Được xây dựng trên nền tảng Blockchain quốc gia (NDAChain), NDAKey cho phép ghi nhận và kiểm chứng các giao dịch xác thực một cách minh bạch, trong khi dữ liệu danh tính tồn tại dưới dạng chứng chỉ số và do chính người dùng quản lý. Trên cơ sở đó, mọi hoạt động thu thập, sử dụng hay chia sẻ dữ liệu đều gắn với sự đồng ý rõ ràng của chủ thể dữ liệu theo từng mục đích cụ thể, tạo điều kiện cho việc kiểm tra, truy vết và giải trình khi cần thiết mà không hình thành các kho dữ liệu tập trung.
NDAKey là giải pháp quản lý danh tính cấp thiết, không chỉ phù hợp với cá nhân, cơ quan quản lý mà còn với toàn bộ hệ sinh thái số. Hơn nữa, mô hình này trao lại quyền kiểm soát dữ liệu cho chính công dân, tức người dân quyết định dữ liệu nào được chia sẻ, chia sẻ với ai và trong hoàn cảnh nào. Đây cũng là tinh thần của Luật Bảo vệ dữ liệu cá nhân 2025, nơi mọi hoạt động xử lý dữ liệu phải dựa trên sự đồng ý rõ ràng và minh bạch của chủ thể dữ liệu…
