Các mối đe dọa nhắm vào lĩnh vực game tăng mạnh

Nghiên cứu mới về mối đe dọa từ nhóm Tình báo Dấu chân Kỹ thuật số (Digital Footprint Intelligence - DFI) của Kaspersky tiết lộ 11 triệu thông tin đăng nhập tài khoản game đã bị rò rỉ trong năm 2024.

Các phát hiện được trình bày tại sự kiện Tuần lễ An ninh mạng của Kaspersky ở Đà Nẵng, cho thấy 5,7 triệu tài khoản Steam đã bị xâm phạm bởi phần mềm độc hại đánh cắp thông tin (infostealer) trong năm 2024, đồng thời liên quan đến việc rò rỉ 6,2 triệu tài khoản thuộc nhiều nền tảng game toàn cầu khác như Epic Games Store, Battle.net, Ubisoft Connect, GOG và EA app.

DFI đã phân tích thông tin đăng nhập Steam bị rò rỉ liên quan đến các quốc gia APAC, dựa trên dữ liệu từ tệp nhật ký của phần mềm độc hại. Theo đó, gần 163.000 thông tin đăng nhập bị rò rỉ có liên quan đến Thái Lan, tiếp theo là Philippines với 93.000 cặp tên đăng nhập và mật khẩu bị xâm phạm. Việt Nam lọt vào top 3 với gần 88.000.

Ngược lại, số lượng thấp nhất được ghi nhận ở các tài khoản liên quan đến Trung Quốc, Sri Lanka và Singapore, với lần lượt khoảng 19.000, 11.000 và 4.000 thông tin đăng nhập.

APAC hiện được xem như trung tâm game toàn cầu. Theo một báo cáo gần đây, hơn một nửa số game thủ trên thế giới đang sinh sống trong khu vực, với các thị trường hàng đầu như Trung Quốc, Ấn Độ, Nhật Bản, Hàn Quốc, cùng những nền kinh tế mới nổi ở Đông Nam Á góp phần vào sự thống trị này. Quá trình tiếp nhận kỹ thuật số nhanh chóng, sự thâm nhập rộng rãi của thiết bị di động và nhu cầu từ giới trẻ đã thúc đẩy sự tăng trưởng theo cấp số nhân ở cả phân khúc game thông thường lẫn game thi đấu chuyên nghiệp.

Với gần 1,8 tỉ người chơi đang tiếp tục tăng lên, hệ sinh thái game tại APAC không chỉ lớn nhất về số lượng mà còn là một trong những khu vực có ảnh hưởng hàng đầu trong việc định hình các xu hướng, hành vi chơi game toàn cầu. Vì vậy, không có gì ngạc nhiên khi APAC đang nhanh chóng trở thành "mảnh đất màu mỡ" cho loạt mối đe dọa mạng chuyên đánh cắp dữ liệu.

Bà Polina Tretyak, chuyên gia phân tích tại bộ phận DFI của Kaspersky, giải thích: "Tội phạm mạng thường công bố các tệp nhật ký bị đánh cắp sau nhiều tháng, hoặc nhiều năm kể từ thời điểm xâm phạm ban đầu. Ngay cả những thông tin đăng nhập bị đánh cắp từ nhiều năm trước cũng có thể xuất hiện trở lại trên các diễn đàn web đen, góp phần làm tăng thêm kho thông tin bị rò rỉ. Do đó, số lượng tài khoản game bị xâm phạm có thể cao hơn nhiều so với những gì chúng ta đang thấy".

Bà Tretyak cho biết thêm các mối đe dọa từ infostealer không phải lúc nào cũng tức thời hoặc rõ ràng. "Trong trường hợp nghi ngờ mình bị tấn công, việc chạy kiểm tra bảo mật và xóa phần mềm độc hại là bước đầu tiên được khuyến nghị. Nhìn chung, việc thường xuyên cập nhật mật khẩu và tránh sử dụng lại trên nhiều nền tảng có thể giúp giảm thiểu rủi ro cá nhân", chuyên gia của DFI nói.

Mối đe dọa từ game ảnh hưởng đến doanh nghiệp tại APAC ra sao?

Các doanh nghiệp hiện đại có thể không tự coi mình là một phần của hệ sinh thái game, nhưng họ vẫn có thể gặp nguy hiểm, ví dụ khi có nhân viên đăng ký tài khoản trên các nền tảng giải trí bằng địa chỉ email công ty. Nghiên cứu của Kaspersky Digital Footprint Intelligence cho thấy 7% người dùng Netflix, Roblox và Discord có tài khoản bị rò rỉ đã đăng ký bằng địa chỉ email nơi mình làm việc.

Việc nhân viên có thể sử dụng email công ty để đăng ký các dịch vụ cá nhân, bao gồm cả game, đã tạo ra những rủi ro về an ninh mạng. Bà Polina Tretyak lưu ý email công ty bị lộ trong một vụ rò rỉ từ infostealer có thể mở đường cho các mối đe dọa lớn hơn đối với doanh nghiệp.

"Kẻ tấn công có thể liên hệ với một nhân viên và dụ dỗ họ cài đặt phần mềm độc hại trên thiết bị của công ty hoặc tấn công dò mật khẩu (brute force). Nếu mật khẩu sử dụng các mẫu dễ đoán như 'Word2025!', thì có thể chỉ mất khoảng một giờ hoặc ít hơn để tìm ra. Ngoài ra, kẻ lừa đảo có thể giành quyền truy cập vào hệ thống phi công ty khác nhau dưới tài khoản của nhân viên, lấy dữ liệu quan trọng hay truy cập tài nguyên doanh nghiệp", bà Polina Tretyak lý giải.

Infostealer thường được ngụy trang dưới dạng trò chơi đã bẻ khóa (crack), phần mềm gian lận (cheat) hoặc bản mod không chính thức. Chúng được kẻ tấn công sử dụng để đánh cắp thông tin nhạy cảm, với mục tiêu chính là mật khẩu tài khoản, thông tin ví tiền điện tử, chi tiết thẻ tín dụng và cookie trình duyệt. Sau khi trích xuất, dữ liệu bị đánh cắp sẽ được giao dịch hoặc cung cấp miễn phí trên các nền tảng web đen, và có thể bị tội phạm mạng khác sử dụng cho những cuộc tấn công tiếp theo.

Ngoài ra, gói phần mềm độc hại này đặc biệt nguy hiểm trong môi trường làm việc kết hợp và mang thiết bị cá nhân đi làm (BYOD) phổ biến khắp APAC, nơi hoạt động cá nhân và công việc thường cùng tồn tại trên cùng một thiết bị.

Nếu người dùng cá nhân gặp phải tình trạng rò rỉ dữ liệu qua infostealer, các chuyên gia của Kaspersky DFI khuyến cáo những bước cần thực hiện ngay:

Doanh nghiệp được khuyến nghị chủ động giám sát thị trường web đen để phát hiện tài khoản bị xâm phạm trước khi chúng gây rủi ro cho khách hàng hoặc nhân viên. Ví dụ, có thể tận dụng Kaspersky Digital Footprint Intelligence để theo dõi những gì tội phạm mạng biết về tài sản của công ty, xác định các véc-tơ tấn công tiềm ẩn và triển khai biện pháp bảo vệ một cách kịp thời.