Tội phạm đánh cắp danh tính bùng nổ với 1,1 triệu báo cáo, còn người dùng thì mệt mỏi vì xác thực liên miên

Trong năm 2025, tình trạng đánh cắp danh tính trên diện rộng đã khiến hàng triệu người dùng bị ảnh hưởng và bùng nổ lên con số 1,1 triệu báo cáo chỉ trong nửa đầu năm, theo thống kê mới nhất từ các cơ quan an ninh và báo cáo chuyên sâu. Mặt khác, sự phụ thuộc quá mức vào các phương pháp xác thực trực tuyến đã khiến người dùng gặp phải một khái niệm mới: “Mệt mỏi việc xác thực” (authentication fatigue), nơi mà việc xử lý liên tục mã OTP, thông báo push và xác minh khác trở thành gánh nặng và thậm chí vô tình tạo ra lỗ hổng bảo mật nghiêm trọng.

Với tốc độ bùng nổ của công nghệ kỹ thuật số, việc người dùng phải ghi nhớ hàng chục, thậm chí hàng trăm mật khẩu không còn là điều bất thường. Theo thống kê từ một cuộc khảo sát vào năm 2020, trung bình mỗi người có khoảng 100 mật khẩu riêng biệt. Trong khi đó, các hệ thống xác thực đa yếu tố (MFA) – từ SMS OTP đến push notification dù được thiết kế để bảo vệ an ninh, nhưng lại trở nên quá phổ biến, khiến người dùng vô tình chấp nhận các yêu cầu giả mạo từ hacker chỉ để kết thúc sự “mệt mỏi” và tiếp tục dùng dịch vụ. Thực tế này chính là cơ hội vàng cho tội phạm mạng.

Ảnh: KONO 101.1

Hành vi lạm dụng xác thực liên tục đã trở thành vũ khí mới của tội phạm, khi họ phát động hàng loạt yêu cầu push OTP đến điện thoại nạn nhân. Chỉ cần người dùng chấp nhận một trong số đó do sự quá tải, hacker có thể chiếm đoạt tài khoản một cách nhanh chóng. Hơn nữa, hệ quả của tình trạng quá tải này không chỉ làm giảm trải nghiệm người dùng mà còn có khả năng khiến họ vô tình đồng ý các yêu cầu không đáng tin cậy.

Bên cạnh đó, báo cáo của IBM X‑Force cho thấy số lượng email chứa mã độc loại “infostealer” tăng 84% trong năm 2024, trở thành con đường lây nhiễm phổ biến để đánh cắp thông tin đăng nhập và dữ liệu cá nhân. Kết hợp với sự bành trướng của deepfake và các công cụ kỹ thuật số giả mạo, các cuộc tấn công đánh cắp danh tính ngày càng trở nên tinh vi và khó phát hiện.

Bản thân các tổ chức cũng không tránh khỏi. Một khảo sát năm 2022 từ Identity Defined Security Alliance cho thấy tới 84% công ty từng trải qua ít nhất một vụ rò rỉ liên quan đến danh tính, trong đó hơn 75% ghi nhận tác động nghiêm trọng đến hoạt động kinh doanh. Trong một số trung tâm điều hành sự cố (SOC), tới 69% sự cố liên quan đến danh tính, cảnh báo về một xu hướng toàn cầu mà không doanh nghiệp nào có thể lơ là.

Vậy làm thế nào để thoát khỏi vòng xoáy này? Trước tiên, các doanh nghiệp phải thực hiện một bài toán “cân bằng” giữa bảo mật và tiện lợi. Không thể buộc người dùng chịu đựng xác thực quá mức, nhưng cũng không thể loại bỏ hoàn toàn các lớp bảo vệ. Họ cần đưa ra nhiều lựa chọn: từ mật khẩu thông minh, OTP, xác thực sinh trắc học, đến các chứng chỉ số và xác minh dựa trên hành vi… đồng thời đảm bảo tổng thể hệ thống đủ phân tầng để đặt xác thực mạnh nhất vào những trường hợp nhạy cảm.

Một số tổ chức tiên phong đã áp dụng giải pháp xác thực không mật khẩu (passwordless) bằng dấu vân tay, khuôn mặt hoặc khóa phần cứng, giúp giảm áp lực cho người dùng mà vẫn đảm bảo an toàn. Đối với những nơi buộc phải sử dụng MFA, việc áp dụng xác thực có khả năng chống giả mạo (phishing-resistant) và xác minh theo ngữ cảnh (vị trí, hành vi) đang trở thành chuẩn mực mới.

Trên hết, đào tạo người dùng là yếu tố quan trọng nhất giúp giảm thiểu “mệt mỏi xác thực”. Nếu họ nhận biết được lý do tại sao cần xác thực và cách phát hiện thủ đoạn tấn công, nguy cơ chấp nhận OTP giả sẽ giảm đáng kể. Thêm vào đó, các doanh nghiệp nên xây dựng hệ thống cảnh báo bất thường tự động và điều áp xác thực thông minh để tránh gửi quá nhiều thông báo không cần thiết.

Sự kết hợp giữa sự bùng nổ trong các vụ đánh cắp danh tính (với hơn 1,1 triệu trường hợp được báo cáo) và áp lực quá mức từ các hệ thống xác thực khiến “mệt mỏi” không chỉ là vấn đề trải nghiệm, mà còn trở thành lỗ hổng an ninh nghiêm trọng. Giải pháp không nằm ở việc vô hiệu hóa mọi rào cản, mà chính là xây dựng một hệ sinh thái xác thực đa lớp, khớp lý, dễ hiểu, có thể thích ứng và kiên định tấn công khi cần thiết. Khi đó, bảo mật và sự tiện lợi vẫn có thể song hành – một mục tiêu cần hướng đến trong thế giới số hóa không ngừng.