Vì sao các cuộc tấn công mạng vào ngân hàng ngày càng dài, lớn và khó ngăn chặn

Điều này biến DDoS từ một “phiền toái kỹ thuật” thành nguy cơ gián đoạn hoạt động kinh doanh thực sự đối với ngân hàng.

Vì sao ngân hàng luôn là mục tiêu hàng đầu

Theo Akamai, ngành ngân hàng là phân khúc bị nhắm tới nhiều nhất đối với cả tấn công DDoS Layer 3/4 lẫn Layer 7 trong lĩnh vực tài chính .

Có nhiều lý do khiến ngân hàng trở thành mục tiêu hấp dẫn:

• Lợi ích tài chính trực tiếp: dữ liệu thẻ, thông tin đăng nhập và cơ hội gian lận
• Tài khoản giá trị cao: chiếm quyền truy cập có thể dẫn tới đánh cắp tiền
• Hạ tầng phức tạp: nhiều hệ thống cũ (legacy) tồn tại song song với nền tảng số mới
• Mở rộng ngân hàng số: ứng dụng di động, fintech và API ngân hàng mở làm tăng bề mặt tấn công

Ngoài ra, vì hệ thống tài chính là hạ tầng quan trọng của quốc gia, việc tấn công ngân hàng cũng giúp các nhóm tin tặc tạo hiệu ứng truyền thông và gây áp lực chính trị.

Botnet AI và mạng IoT “zombie” đang khuếch đại tấn công

Một yếu tố thúc đẩy các cuộc tấn công hiện đại là quy mô của botnet tự động hóa. Akamai ghi nhận hoạt động bot nâng cao tăng 147% vào cuối năm 2025, với nhiều kỹ thuật né tránh được hỗ trợ bởi AI .

Nhiều chiến dịch dựa trên các mạng thiết bị bị chiếm quyền – thường gọi là mạng zombie IoT – gồm router, camera, TV thông minh và thiết bị điện tử gia đình.

Các mạng botnet này có thể:

• Tạo ra lưu lượng tấn công cực lớn
• Phân tán qua hàng triệu thiết bị
• Trông giống người dùng hợp pháp

Khi kết hợp với AI, botnet có thể:

• Tự điều chỉnh mẫu lưu lượng để vượt qua hệ thống phòng thủ
• Thay đổi hạ tầng IP liên tục
• Bắt chước hành vi duyệt web của con người
• Điều phối hàng triệu thiết bị cùng lúc

Vì vậy các biện pháp truyền thống như chặn IP tĩnh ngày càng kém hiệu quả.

110 tỷ cuộc tấn công web vào ngành tài chính

DDoS chỉ là một phần của bức tranh lớn hơn. Akamai ghi nhận 110 tỷ cuộc tấn công web nhắm vào dịch vụ tài chính trong giai đoạn 2024–2025 .

Kết quả là ngành này trở thành lĩnh vực bị tấn công web nhiều thứ hai trên toàn cầu, chỉ sau thương mại điện tử .

Đáng chú ý:

• Khoảng 60% số cuộc tấn công nhắm trực tiếp vào website ngân hàng

Điều này cho thấy các ứng dụng hướng tới khách hàng – cổng đăng nhập, thanh toán, quản lý tài khoản – đang trở thành điểm xâm nhập chính của tin tặc.

DNS và API: điểm yếu ít được chú ý

Báo cáo cũng cảnh báo rằng hạ tầng DNS thường bị đánh giá thấp trong chiến lược bảo mật của tổ chức tài chính .

Các cấu hình sai hoặc quản trị yếu có thể cho phép kẻ tấn công:

• Chiếm quyền subdomain
• Mạo danh dịch vụ hợp pháp
• Phát hành chứng chỉ trái phép

Song song đó, các ngân hàng đang triển khai ngày càng nhiều API để hỗ trợ ứng dụng di động, đối tác fintech và hệ sinh thái ngân hàng mở. Nếu không có cơ chế phát hiện và quản trị đầy đủ, các “shadow API” (API không được ghi nhận chính thức) có thể trở thành cửa hậu cho tấn công .

Hacktivist và áp lực địa chính trị

Không phải mọi cuộc tấn công đều nhằm mục tiêu tiền bạc. Một số chiến dịch được thúc đẩy bởi động cơ chính trị hoặc hacktivism.

Các nhóm như Keymous+ và DieNet đã liên quan đến nhiều đợt tấn công DDoS phối hợp. Sau căng thẳng ở Trung Đông đầu năm 2026, các nhà nghiên cứu ghi nhận 149 cuộc tấn công DDoS của hacktivist nhắm vào 110 tổ chức tại 16 quốc gia, trong đó hai nhóm này chiếm gần 70% hoạt động .

Một nhóm khác, Handala, cũng được cho là có liên hệ với hệ sinh thái tình báo của Iran theo các báo cáo an ninh mạng .

Những chiến dịch kiểu này thường đồng thời nhắm vào chính phủ, viễn thông và ngân hàng, nhằm gây gián đoạn và thu hút chú ý hơn là kiếm tiền.

Vì sao phòng thủ truyền thống không còn đủ

Kết luận của Akamai khá rõ ràng: các mối đe dọa mạng đang tiến hóa nhanh hơn kiến trúc bảo mật truyền thống.

Những cơ chế như:

• tường lửa chu vi
• phát hiện dựa trên chữ ký
• chặn IP đơn giản

khó có thể đối phó với:

• botnet thích ứng do AI điều khiển
• mạng IoT quy mô lớn
• hệ sinh thái API thay đổi nhanh
• các chiến dịch DDoS đa vector kéo dài

Hướng đi mới cho an ninh tài chính

Các chuyên gia khuyến nghị tổ chức tài chính chuyển sang mô hình bảo mật nhiều lớp và thích ứng theo thời gian thực, bao gồm:

• phát hiện mối đe dọa dựa trên hành vi
• chấm điểm rủi ro người dùng theo thời gian thực
• khám phá và quản trị API toàn diện
• quản lý cấu hình DNS chặt chẽ
• hệ thống giảm thiểu DDoS có khả năng mở rộng

Thông điệp cốt lõi từ báo cáo SOTI: các cuộc tấn công vào ngành tài chính đang được công nghiệp hóa và tự động hóa. Tội phạm mạng tìm kiếm lợi nhuận từ gian lận và đánh cắp thông tin, trong khi hacktivist tìm kiếm tác động chính trị — nhưng cả hai đều ngày càng dựa vào cùng một công nghệ: AI và botnet quy mô lớn .

Đối với ngân hàng và nền tảng fintech, khả năng chống chịu trong tương lai phụ thuộc vào việc xây dựng hệ thống bảo mật có thể tiến hóa nhanh như chính các mối đe dọa đang nhắm vào họ.