Khi nhắc đến lừa đảo giả mạo (phishing), nhiều người lập tức nghĩ đến email. Nhưng thực tế 2025 đã khác, cứ 3 cuộc tấn công phishing thì có 1 cuộc không đi qua email mà lan rộng sang mạng xã hội, tin nhắn chat, nền tảng tìm kiếm… Đặc biệt, LinkedIn đang trở thành mục tiêu ưu tiên của tin tặc.
LinkedIn là mạng xã hội nghề nghiệp lớn nhất thế giới, nơi mọi người đăng hồ sơ làm việc, tìm việc, kết nối đồng nghiệp, đối tác, tuyển dụng và trao đổi chuyên môn. Với hơn 1 tỷ người dùng, LinkedIn giống như “Facebook của dân công sở”, đồng thời là nơi lưu trữ rất nhiều thông tin nghề nghiệp, chức vụ và kết nối của người dùng. Nhưng cũng chính vì LinkedIn mang tính “công việc” và có mức độ tin cậy cao nên nó đang bị tội phạm mạng tận dụng để lừa đảo tinh vi hơn. Vậy chuyện gì đang xảy ra?
LinkedIn vốn được dùng để tìm việc và giao tiếp chuyên nghiệp, nhưng trong vài năm gần đây, tin tặc xem nền tảng này như kênh tấn công trực tiếp vào những người có quyền truy cập tài sản công ty: Quản lý, nhân sự, IT, tài chính…
Khác với email, LinkedIn không có bộ lọc spam hay công cụ phân tích nội dung độc hại ở cấp doanh nghiệp. Tin tặc chỉ cần gửi tin nhắn trực tiếp là đã có thể tiếp cận người dùng ngay trên laptop công ty, điện thoại công ty, mà không gặp bất kỳ biện pháp chặn đứng nào.
Dù có phát hiện, người dùng cũng khó báo cáo. Một tin nhắn lừa đảo trên LinkedIn không thể bị thu hồi, không thể chặn toàn bộ chiến dịch, không thể quét log tập trung. Việc chặn URL cũng gần như vô dụng khi tội phạm mạng liên tục thay đổi tên miền. Đây có thể gọi là “vùng xám” mà mọi hệ thống bảo mật truyền thống đều bỏ sót.
Kẻ tấn công không cần nuôi domain email hay vượt qua bộ lọc khắt khe. Chúng chỉ việc chiếm đoạt hàng loạt tài khoản LinkedIn bằng:
hoặc là
LinkedIn là mạng xã hội nghề nghiệp lớn nhất thế giới, nơi mọi người đăng hồ sơ làm việc, tìm việc, kết nối đồng nghiệp, đối tác, tuyển dụng và trao đổi chuyên môn. Với hơn 1 tỷ người dùng, LinkedIn giống như “Facebook của dân công sở”, đồng thời là nơi lưu trữ rất nhiều thông tin nghề nghiệp, chức vụ và kết nối của người dùng. Nhưng cũng chính vì LinkedIn mang tính “công việc” và có mức độ tin cậy cao nên nó đang bị tội phạm mạng tận dụng để lừa đảo tinh vi hơn. Vậy chuyện gì đang xảy ra?
LinkedIn vốn được dùng để tìm việc và giao tiếp chuyên nghiệp, nhưng trong vài năm gần đây, tin tặc xem nền tảng này như kênh tấn công trực tiếp vào những người có quyền truy cập tài sản công ty: Quản lý, nhân sự, IT, tài chính…
Khác với email, LinkedIn không có bộ lọc spam hay công cụ phân tích nội dung độc hại ở cấp doanh nghiệp. Tin tặc chỉ cần gửi tin nhắn trực tiếp là đã có thể tiếp cận người dùng ngay trên laptop công ty, điện thoại công ty, mà không gặp bất kỳ biện pháp chặn đứng nào.
Dù có phát hiện, người dùng cũng khó báo cáo. Một tin nhắn lừa đảo trên LinkedIn không thể bị thu hồi, không thể chặn toàn bộ chiến dịch, không thể quét log tập trung. Việc chặn URL cũng gần như vô dụng khi tội phạm mạng liên tục thay đổi tên miền. Đây có thể gọi là “vùng xám” mà mọi hệ thống bảo mật truyền thống đều bỏ sót.
- Dữ liệu đăng nhập bị rò rỉ từ infostealer (60% thông tin đăng nhập thuộc về mạng xã hội),
- Thói quen người dùng không bật xác thực hai bước,
- Tâm lý “LinkedIn chỉ là tài khoản cá nhân, không cần bảo mật mạnh”.
LinkedIn giúp tin tặc chọn mục tiêu giá trị cao chính xác đến từng người
LinkedIn vốn là công cụ hoàn hảo để xây dựng hồ sơ mục tiêu: Tên, chức vụ, quyền hạn, mô tả công việc, email doanh nghiệp, mối quan hệ… tất cả đều được công khai. Với vài thao tác, tin tặc dễ dàng nhận diện:- Ai có quyền truy cập kho dữ liệu nội bộ,
- Ai có quyền duyệt tài chính,
- Ai có quyền truy cập hệ thống quản trị như Entra, Google Admin hay Okta.
Người dùng dễ tin hơn vì LinkedIn mang tính nghề nghiệp
Con người luôn cảnh giác với email lạ, nhưng lại dễ phản hồi tin nhắn LinkedIn từ một “người trong ngành”, một đối tác hoặc thậm chí một đồng nghiệp. Khi kẻ tấn công chiếm được tài khoản người thân quen, độ nguy hiểm tăng gấp nhiều lần, khiến rất dễ khiến người quản lý dễ bị lừa và dễ dàng click vào liên kết độc hại. Người bị lừa thường sẽ nhận được các tin nhắn như:hoặc là
Hậu quả có thể lan rộng thành thảm họa doanh nghiệp
Mục tiêu thực sự của tin tặc không phải LinkedIn. Đó chỉ là cánh cửa để chúng:- Chiếm quyền tài khoản Microsoft 365, Google Workspace, Okta,
- Sử dụng SSO để vào hàng trăm ứng dụng của doanh nghiệp,
- Lấy dữ liệu nhạy cảm,
- Triển khai tấn công sâu hơn qua Slack, Teams, email nội bộ,
- Thậm chí chiếm quyền nhiều tài khoản khác chỉ từ một điểm xâm nhập.
Các chuyên gia khuyến cáo những việc cần làm ngay để tự bảo vệ mình:
Doanh nghiệp:
- Huấn luyện nhân viên nhận biết lừa đảo trên mạng xã hội, không chỉ có lừa đảo trên email.
- Yêu cầu bật MFA cho LinkedIn và mọi tài khoản có liên quan đến công việc.
- Giới hạn việc đăng nhập tài khoản cá nhân trên thiết bị công ty.
- Triển khai giải pháp bảo mật cấp trình duyệt, có thể:
- Phân tích trang web theo thời gian thực,
- Chặn trang mạo danh ngay khi mở,
- Cảnh báo các hành vi nguy hiểm trong quá trình người dùng thao tác.
Giải pháp dài hạn
- Áp dụng Zero Trust vào quản lý truy cập.
- Theo dõi ứng dụng SaaS bất thường (OAuth, ghost login…).
- Tăng cường bảo mật trên trình duyệt của chính mình (nơi xảy ra phần lớn tương tác lừa đảo hiện nay).
Tổng hợp
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview