Tấn công mạng ngày càng dễ dàng, vì sao Standard Chartered chưa từng thất thủ?

Là một định chế toàn cầu với 80.000 nhân sự, Standard Chartered thường nằm trong danh sách tấn công yêu thích của những kẻ lừa đảo trên mạng cũng như “hacker mũ đen”. Tuy nhiên, cho đến thời điểm hiện tại, doanh nghiệp vẫn đang phòng chống tốt và chưa bị thiệt hại trực tiếp về tiền của hoặc dữ liệu.

Thành quả đó, theo chia sẻ từ ông Chris Fleming - Trưởng bộ phận Nghiên cứu Khách hàng và Bên thứ ba, Standard Chartered trong sự kiện “Treasury Leadership Forum 2026”, đến từ sự cảnh giác cao độ của toàn thể nhân sự, luôn đối soát kỹ càng với bên thứ ba - cả đầu vào lẫn đầu ra. 

Đặc biệt, đội ngũ phục trách bảo mật của Standard Chartered còn thường xuyên sục sạo trong các trang web đen, để xem dữ liệu của mình có đang bị mang ra buôn bán hay không, nhằm can thiệp kịp thời. 

Tấn công mạng ngày càng dễ dàng

“Standard Chartered chưa bị ảnh hưởng và thiệt hại trực tiếp từ việc giả mạo danh tính để lừa đảo. Tuy nhiên, năm 2025, các vụ việc giả mạo danh tính để lừa đảo đã tăng 14 lần, với xu hướng nổi cộm dùng deepfake. Một doanh nghiệp ở Singapore đã thiệt hại gần nửa tỷ SGD”, ông Chris Fleming cho biết.

Câu chuyện đã diễn ra như sau: Đầu tiên, những kẻ chủ mưu sẽ tìm kiếm thông tin của CEO lẫn CFO của công ty đó, đặc biệt là các clip dài có hình ảnh, giọng nói, biểu cảm khuôn mặt, cử chỉ tay chân. Sau đó, chúng dùng deepfake để tạo ra hai nhân vật giống y đúc CEO lẫn CFO, sau đó gửi email giả mạo cho nhân sự công ty để mở một cuộc họp qua Zoom yêu cầu thanh toán cho một hợp đồng. 

Số tiền được yêu cầu thanh toán là gần nửa triệu SGD, đây là mức chuyển khoản của doanh nghiệp mà theo quy định của Singapore là không cần quá nhiều thủ tục xác nhận. Ngoài ra, ở cuộc họp qua Zoom, kẻ lừa đảo mời đến hãng luật nhằm tiến hành thỏa thuận bảo mật thông tin với đối tác.

Ông cho biết: khi tham gia cuộc họp qua Zoom, không nhân sự nào của công ty nghi ngờ CFO hay CEO mà mình đang nói chuyện là giả, vì từ quy trình cho đến lúc cuộc họp diễn ra, mọi thứ trông rất là chính thống và đáng tin cậy. 

Khi bộ phận tài chính của công ty gửi yêu cầu chuyển khoản cho ngân hàng, phía ngân hàng cảm thấy tài khoản này trông có vẻ đáng ngờ, thì mới thông báo cho người chuyển khoản và hỏi là “có tiếp tục hay không?”. Trong lúc nhân sự chuyển khoản đang do dự, thì vị CFO giả mạo ngay lập tức gây sức ép bắt phải tiếp tục hoàn thành quá trình chuyển khoản. 

“AI đang thay đổi cách chúng ta làm việc và hỗ trợ hiệu quả công việc kinh doanh của doanh nghiệp. Hiện có 95% - 96% cá nhân sử dụng AI hàng ngày, với các ứng dụng như mã nguồn mở ChatGPT. 

Ở phía ngược lại, sự phát triển của AI và app AI cũng khiến lớp bảo vệ của chúng ta dễ dàng bị vượt qua. Năm trước, ChatGPT cần nửa tiếng để tạo ra một email lừa đảo, tấn công mạng, để chúng tôi gửi cho nhân viên nhằm thử thách cảnh giác tấn công mạng; bây giờ chỉ cần 15 phút”, ông ví von. 

Như đã nói ở trên, khi công nghệ AI rơi vào tay tội phạm, chúng sẽ sử dụng tư liệu từ các clip và ảnh chụp rồi dùng công nghệ deepfake để giả mạo lãnh đạo lừa tiền doanh nghiệp. 

Theo đó, rào cảng gia nhập ngành lừa đảo qua mạng ngày càng thấp. Trước đây, phải ai giỏi công nghệ mới có thể đi lừa đảo qua mạng, bây giờ thì không cần. Hay một cậu bé ngồi trong phòng ngủ vẫn có thể tổ chức tấn công mạng trên khắp thế giới. 

Với kỹ năng social engineering (thao túng tâm lý trên mạng xã hội), cùng sự xuất hiện của công nghệ deepfake, AI cùng machine learning khiến ai cũng làm được và làm giỏi, vì dễ dàng tạo ra được những mô hình giả rất tinh vi. 

Vậy nên, nhiều tổ chức đang gặp rất nhiều khó khăn khi đối đầu vấn nạn này, bởi những cuộc tấn công và lừa đảo qua mạng không chỉ đến từ những nhóm hoặc tổ chức tội phạm có tổ chức mà có thể từ một cá nhân và thường xuyên còn có người mới gia nhập. 

Những giải pháp của Standard Chartered

Ngoài đầu tư phần cứng - phần mềm để có lớp bảo mật tốt và đảm bảo an ninh mạng, giải pháp của ngân hàng đến từ nước Anh này còn là kiểm soát bên thứ ba - cả đầu vào lẫn đầu ra, xem cảnh giác lừa đảo và tấn công mạng là văn hóa doanh nghiệp. 

“Khi điều tra các sự cố tấn công mạng, rất nhiều trường hợp xuất phát điểm đến từ bên thứ ba, ví dụ như file hoặc dữ liệu đã dính virus trước đó. Ngoài ra, mỗi năm chúng tôi còn phát hiện rất nhiều thủ đoạn về tấn công mạng mà chưa bao giờ thấy trong các năm trước.

Vậy nên, cách tiếp cận vấn đề của Standard Chartered là rất quyết tâm và mạnh mẽ. Chúng tôi luôn cố gắng rà soát quy trình vận hành - công nghệ của bên thứ ba, xem có lỗ hổng và lớp đảm bảo đó đã tốt hay chưa. Đồng thời quy trách nhiệm rõ ràng cho mỗi bên. 

Việc thường xuyên đối soát kỹ càng với bên thứ ba, ví dụ nếu họ có quy trình giải ngân - kiểm soát kinh doanh chặt chẽ; thì rủi ro của chúng tôi cũng ít đi. Bí quyết của Standard Chartered là chỉ làm việc với đối tác tin cậy và kiểm tra đầy đủ hệ thống của họ”, ông nêu quan điểm.

Vậy nên, trước khi đồng ý hợp tác, Standard Chartered thường thảo luận kỹ càng về an ninh mạng với bên thứ ba. Cả đối tác đầu ra - đầu vào, doanh nghiệp cũng thường nhắc nhỡ phải cẩn trọng trong việc mua sắm cài đặt trang thiết bị. Vì chỉ cần có phần mềm không cài đặt an toàn sẽ tạo cơ hội để chúng tấn công mạng không chỉ vào bên thứ ba mà còn cho đối tác của họ. 

Về nội bộ, hằng năm, Standard Chartered đều triển khai một email giả mạo để gửi cho 80.000 nhân viên, nhằm tập huấn cách ứng xử đúng với email giả mạo. Trong trường hợp nhân sự lặp lại hành vi sai lầm với các email giả mạo, Ngân hàng sẽ block họ.

Chiến dịch hỗ trợ khách hàng chống lừa đảo qua mạng củaStandard Chartered Việt Nam (Ảnh:Standard Chartered

“Tuy nhiên, đối với các tổ chức lớn như Standard Chartered, dù quy định - kiểm sát an ninh chặt chẽ đến mức nào, vẫn không ai dám bảo đảm 100% mình sẽ không bị. Tôi chỉ tự tin rằng chúng ta phải luôn luôn cảnh giác, bởi tội phạm luôn rình rập đâu đó và các tổ chức lớn luôn luôn bị rình rập. Và tấn công luôn thông qua bên thứ ba, đó là bước tội phạm sẽ đi”, ông nhấn mạnh.

Bên cạnh đó, đội ngũ an ninh mạng của ngân hàng này còn thường xuyên theo dõi các điểm tiếp cận của các tổ chức tội phạm mạng: như chúng bắt đầu ở đâu?, bằng cách nào?… 

Đội ngũ Standard Chartered từng phát hiện một bên hay bán quyền truy cập của các tổ chức lớn với giá khoảng 500 USD cho các tội phạm, hoặc bán danh sách nhân viên. Vậy nên, các tổ chức lớn cần phải đối sanh với các trang web đen để biết nhà cung cấp dịch vụ nào đang bán dữ liệu của mình cho các cho các tội phạm mạng, để có biện pháp xử lý. 

Đồng quan điểm, ông Ian Wong - Giám đốc Triển khai toàn cầu, Singapore & ASEAN, Standard Chartered cũng cho hay, nếu đội ngũ không hiểu biết đầy đủ về những loại lừa đảo trên mạng, thì dù phần cứng lẫn phần mềm của doanh nghiệp có xịn xò nhất cũng không giúp ích được gì. Nhiều người có chuyên môn cao và kiến thức rộng vẫn bị lừa. 

“Cuối cùng, vẫn là con người chứ không phải công nghệ ra quyết định. Ví dụ như với các khoảng dự phòng thực hiện thanh toán khẩn cấp, doanh nghiệp thường có quy trình và con người có biết quy trình; và khi con người cảm thấy thông tin đáng ngờ, thì phải tìm hiểu - xác thật rồi mới hành động. Có như vậy mới có thể giảm thiểu rủi ro cho cả ngân hàng lẫn doanh nghiệp. 

Tức mỗi doanh nghiệp phải vừa đầu tư phần cứng, phần mềm cho doanh nghiệp lẫn kiến thức cho toàn bộ nhân sự”, ông khuyến nghị. 

Đối với team của ông, quan trọng là phải kiểm soát được rủi ro, bởi nếu như thanh toán đã đi rồi, rất khó để truy hồi trở lại; hoặc nhận được báo cáo để xem như thế nào là trễ rồi. Standard Chartered thường không ngại chi phí triển khai công nghệ nhắc lại - cảnh báo, để kịp thời thông báo cho đối tác khi nhận thấy sự việc đáng ngờ hoặc tài khoản không minh bạch. 

Ngoài ra, nếu không có quy trình chặt chẽ thì sẽ không có sự tự tin với hệ thống, không thể bảo đảm khi khách hàng bị tấn công, ngân hàng có thể cảnh báo thời gian thật. Thứ hai là phải trình bày thông tin với khách hàng một cách kịp thời - kịp lúc.