Tìm ra nhóm hacker tấn công Allianz Life, lấy dữ liệu gần 1,4 triệu khách hàng
Công ty bảo hiểm Allianz Life (Mỹ) lần đầu tiết lộ vụ vụ xâm phạm dữ liệu trong một hồ sơ bắt buộc gửi Văn phòng Tổng chưởng lý bang Maine (Mỹ).
BC: ShinyHunters đứng sau vụ tấn công Allianz Life
Allianz Life xác nhận thông tin cá nhân “phần lớn” trong tổng số 1,4 triệu khách hàng của họ đã bị lộ qua một vụ xâm phạm dữ liệu mới xảy ra.
“Một tác nhân đe dọa độc hại đã truy cập vào hệ thống quản lý quan hệ khách hàng dựa trên nền tảng đám mây của bên thứ ba mà Allianz Life Insurance Company of North America (Allianz Life) đang sử dụng vào ngày 16.7.2025.
Tác nhân này đã lấy được dữ liệu nhận dạng cá nhân liên quan đến phần lớn khách hàng, các chuyên gia tài chính và một số nhân viên của Allianz Life, thông qua social engineering (tấn công kỹ thuật xã hội).
Chúng tôi đã hành động ngay lập tức để kiểm soát và giảm thiểu sự cố, đồng thời thông báo cho FBI (Cục Điều tra Liên bang Mỹ).
Dựa trên cuộc điều tra đến nay, chưa có bằng chứng cho thấy mạng lưới hoặc các hệ thống khác của Allianz Life, gồm cả hệ thống quản lý hợp đồng bảo hiểm, đã bị truy cập”, người phát ngôn của Allianz Life nói với trang BC.
“Cuộc điều tra của chúng tôi vẫn đang tiếp tục và Allianz Life đã bắt đầu liên hệ với các cá nhân bị ảnh hưởng, đồng thời cung cấp các nguồn lực hỗ trợ chuyên biệt. Sự cố này chỉ liên quan đến Allianz Life, hiện có hơn 1,4 triệu khách hàng”, người này cho biết thêm.
Allianz Life là nhà cung cấp bảo hiểm nhân thọ và niên kim có trụ sở tại Mỹ, phục vụ hơn 1,4 triệu người dân nước này. Công ty thuộc sở hữu của Allianz SE, tập đoàn dịch vụ tài chính toàn cầu có trụ sở chính tại Đức, phục vụ hơn 128 triệu khách hàng trên toàn thế giới.
Niên kim là hình thức hợp đồng tài chính giữa khách hàng và công ty bảo hiểm. Theo đó, khách hàng đóng tiền, một lần hoặc định kỳ. Sau một thời gian nhất định, công ty bảo hiểm sẽ trả lại cho khách hàng một khoản tiền cố định định kỳ (thường là hàng tháng, hàng quý hoặc hàng năm) trong khoảng thời gian xác định, có thể là suốt đời hoặc một thời gian đã thỏa thuận.
Nói đơn giản hơn, khách hàng đóng tiền vào một "quỹ hưu trí" do công ty bảo hiểm quản lý và sau đó nhận lương hưu định kỳ từ quỹ đó, thay vì tự tiêu tiền tiết kiệm từng tháng.
Có hai loại niên kim chính:
Niên kim tích lũy: Khách hàng đóng tiền vào trong một thời gian, tiền sẽ được đầu tư sinh lãi. Sau giai đoạn tích lũy, khách hàng bắt đầu nhận tiền.
Niên kim chi trả: Khách hàng đóng một khoản tiền lớn một lần và bắt đầu nhận tiền định kỳ ngay sau đó.
Allianz Life lần đầu tiết lộ vụ vụ xâm phạm dữ liệu trong một hồ sơ bắt buộc gửi Văn phòng Tổng chưởng lý bang Maine (Mỹ) hôm 26.7.
“Thông báo chính thức cho người tiêu dùng sẽ được cung cấp sau khi Allianz Life xác định được các cá nhân bị ảnh hưởng”, nội dung trong thông báo sơ bộ nêu rõ.
Allianz Life bị tấn công mạng, phần lớn thông tin cá nhân trong tổng số 1,4 triệu khách hàng của họ đã bị lộ - Ảnh: Internet
Dù Allianz Life từ chối trả lời các câu hỏi liên quan đến tác nhân đe dọa và việc liệu họ có bị tống tiền hay không, trang BC biết được rằng vụ tấn công do nhóm tống tiền ShinyHunters thực hiện.
ShinyHunters là nhóm tội phạm mạng liên quan đến nhiều vụ xâm phạm dữ liệu và tấn công nổi bật, gồm cả cuộc tấn công vào nền tảng PowerSchool và SnowFlake, gây ảnh hưởng tới công ty Santander, Ticketmaster, AT&T, Advance Auto Parts, Neiman Marcus và Cylance.
PowerSchool là nền tảng phần mềm quản lý giáo dục được sử dụng phổ biến tại các trường học, đặc biệt là ở Mỹ và Canada. Nó giúp các trường học quản lý dữ liệu học sinh, giảng dạy và hành chính hiệu quả.
Snowflake là nền tảng kho dữ liệu đám mây rất nổi tiếng, được nhiều công ty trên thế giới sử dụng để lưu trữ, phân tích và chia sẻ dữ liệu quy mô lớn.
Dù một số thành viên của ShinyHunters đã bị bắt vài năm qua, gồm cả một vụ bắt giữ gần đây tại Pháp, nhóm này vẫn tiếp tục tiến hành các cuộc tấn công.
Tháng trước, hãng an ninh mạng nổi tiếng Mandiant (Mỹ) đã cảnh báo ShinyHunters bắt đầu nhắm mục tiêu vào khách hàng sử dụng Salesforce CRM thông qua các cuộc tấn công thao túng tâm lý.
Salesforce CRM là một trong những nền tảng CRM (quản lý quan hệ khách hàng) lớn nhất và phổ biến nhất thế giới, được phát triển bởi hãng Salesforce có trụ sở tại Mỹ.
Trong những vụ tấn công này, các hacker đóng giả là nhân viên hỗ trợ kỹ thuật CNTT, yêu cầu nhân viên bị nhắm mục tiêu chấp nhận kết nối với Salesforce Data Loader - ứng dụng cho phép người dùng nhập, xuất, cập nhật hoặc xóa dữ liệu trong môi trường Salesforce.
Khi kết nối được chấp nhận, các tác nhân đe dọa sử dụng Salesforce Data Loader để đánh cắp dữ liệu khỏi hệ thống, sau đó dùng dữ liệu này để tống tiền công ty.
Trang BC đã hỏi Allianz Life liệu CRM bị tấn công có phải là Salesforce hay không, nhưng người phát ngôn hãng bảo hiểm này từ chối bình luận.
Mandiant được thành lập vào năm 2004 bởi Kevin Mandia. Hiện Mandiant thuộc Google, sau khi được mua lại vào tháng 9.2022 với giá 5,4 tỉ USD.
Kevin Mandia không chỉ là một nhà lãnh đạo doanh nghiệp thành công mà còn là chuyên gia có kiến thức sâu rộng, thường xuyên chia sẻ quan điểm và phân tích về các vấn đề an ninh mạng trên các phương tiện truyền thông lớn và các diễn đàn chuyên ngành. Ông được công nhận là một trong những người tiên phong trong việc nhấn mạnh tầm quan trọng của ứng phó sự cố trong ngành an ninh thông tin.
Các hình thức phổ biến của social engineering
Social engineering là hình thức lừa đảo dựa trên thao túng tâm lý con người để đánh cắp thông tin nhạy cảm, truy cập hệ thống trái phép hoặc lây nhiễm phần mềm độc hại. Thay vì tấn công kỹ thuật trực tiếp vào hệ thống máy tính, hacker tận dụng sự tin tưởng, thiếu cảnh giác hoặc tâm lý tự nhiên của con người để khiến nạn nhân tự cung cấp thông tin hoặc thực hiện hành động có lợi. Bên dưới là các hình thức phổ biến của kiểu tấn công này:
Phishing (lừa đảo qua email/tin nhắn): Đây là hình thức phổ biến nhất. Kẻ tấn công gửi email hoặc tin nhắn giả mạo (ví dụ giả danh ngân hàng, công ty lớn, cơ quan chính phủ) để lừa nạn nhân nhấp vào liên kết độc hại, tải xuống file đính kèm chứa mã độc hoặc gõ thông tin đăng nhập vào một trang web giả mạo.
Spear phishing (lừa đảo mục tiêu cụ thể): Tương tự phishing nhưng tinh vi hơn, kẻ tấn công nhắm vào một cá nhân hoặc nhóm cụ thể, sử dụng thông tin cá nhân của nạn nhân (thu thập được từ mạng xã hội hoặc các nguồn công khai khác) để làm cho email/tin nhắn trở nên đáng tin cậy hơn.
Whaling (lừa đảo "cá voi"): Một dạng spear phishing nhắm vào các "cá voi" - nhân vật cấp cao như CEO (giám đốc điều hành) và CFO (giám đốc tài chính) – với mục tiêu là lừa họ thực hiện các giao dịch tài chính lớn hoặc tiết lộ thông tin cực kỳ nhạy cảm.
Pretexting (ngụy tạo): Kẻ tấn công tạo ra một kịch bản giả mạo, một tiền đề đáng tin cậy để lừa nạn nhân tiết lộ thông tin. Ví dụ, hacker có thể giả danh nhân viên hỗ trợ CNTT cần thông tin tài khoản để kiểm tra hệ thống.
Baiting (giăng bẫy): Kẻ tấn công để lại một thiết bị nhiễm mã độc (như ổ đĩa USB) ở nơi công cộng với hy vọng có người sẽ nhặt được và cắm vào máy tính của họ. Ngoài ra, hacker có thể cung cấp phần mềm, phim, nhạc miễn phí nhưng thực chất chứa mã độc.
Quid Pro Quo (trao đổi): Kẻ tấn công đưa ra một "phần thưởng" nhỏ (ví dụ hỗ trợ kỹ thuật miễn phí, quà tặng) để đổi lấy thông tin cá nhân hoặc quyền truy cập vào hệ thống.
Tailgating/Piggybacking (theo sau/đi ké): Kẻ tấn công theo chân một người dùng hợp pháp để vào được khu vực an ninh, ví dụ như đi theo nhân viên vào tòa nhà bằng cách giả vờ quên thẻ.
Cách phòng tránh social engineering
Luôn cảnh giác: Đặt câu hỏi về các yêu cầu đột ngột về thông tin cá nhân hoặc hành động khẩn cấp.
Kiểm tra kỹ nguồn gốc: Xác minh người gửi email, tin nhắn hoặc cuộc gọi. Nếu có bất kỳ nghi ngờ nào, hãy liên hệ trực tiếp với tổ chức đó qua số điện thoại hoặc email chính thức của họ (không phải thông tin trong email/tin nhắn đáng ngờ).
Không nhấp vào liên kết lạ: Tránh nhấp vào các liên kết đáng ngờ hoặc tải xuống file đính kèm từ những người bạn không biết hoặc những email không rõ ràng.
Bảo mật thông tin cá nhân: Hạn chế chia sẻ quá nhiều thông tin cá nhân trên mạng xã hội, vì chúng có thể được kẻ tấn công sử dụng để xây dựng kịch bản lừa đảo.
Sử dụng xác thực đa yếu tố (MFA): Bật MFA cho tất cả tài khoản quan trọng để tăng cường bảo mật.
Đào tạo nhận thức an ninh mạng: Các tổ chức nên thường xuyên đào tạo nhân viên về mối đe dọa social engineering và cách nhận biết chúng.
Social engineering là mối đe dọa dai dẳng vì khai thác điểm yếu cố hữu của con người. Nâng cao nhận thức và cảnh giác là tuyến phòng thủ tốt nhất chống lại loại hình tấn công này.
