KnowBe4 một nền tảng an ninh mạng toàn cầu nổi tiếng, chuyên giải quyết toàn diện vấn đề quản lý rủi ro con người và tác nhân AI, lưu ý rằng các giai đoạn tiêu thụ cao điểm theo mùa, chẳng hạn như Thứ Sáu Đen và Giáng Sinh, vẫn là những thời điểm rủi ro an ninh mạng lớn nhất đối với các công ty trên khắp Mỹ Latinh.
Trong giai đoạn này, lưu lượng truy cập kỹ thuật số tăng cao, khối lượng email lớn và tình trạng quá tải của đội ngũ CNTT tạo nên "cơn bão rủi ro hoàn hảo". Tình hình càng trở nên trầm trọng hơn bởi các yếu tố đặc trưng của ngành bán lẻ, chẳng hạn như việc sử dụng nhân viên tạm thời chưa được đào tạo và sự phức tạp của môi trường đa kênh kết hợp các cửa hàng thực tế, thương mại điện tử, ứng dụng và hệ thống thanh toán.
Theo Báo cáo Bán lẻ Toàn cầu 2025 , bán lẻ là một trong năm lĩnh vực bị nhắm mục tiêu nhiều nhất trên thế giới. Chi phí trung bình cho một vụ vi phạm dữ liệu trong phân khúc này đạt 3,48 triệu đô la Mỹ vào năm 2024 (IBM), tăng 18% so với năm trước. Mỹ Latinh dường như là khu vực bị tấn công nhiều thứ hai, chiếm 32% tổng số vụ tấn công, chỉ sau Bắc Mỹ (56%). Brazil là một trong năm quốc gia bị ảnh hưởng nặng nề nhất bởi ransomware trong lĩnh vực bán lẻ.
Cách thức hoạt động của những trò lừa đảo phổ biến nhất
Tội phạm mạng lợi dụng nhịp độ tăng tốc và giao tiếp gia tăng trong giai đoạn này để chèn các tin nhắn lừa đảo trà trộn vào tin nhắn hợp pháp. Những cuộc tấn công này ảnh hưởng đến cả các công ty, vốn có thể bị xâm phạm hệ thống, lẫn người tiêu dùng, những người thường xuyên chia sẻ dữ liệu cá nhân và thông tin thanh toán trong các chương trình khuyến mãi trực tuyến.
Một trong những trò lừa đảo phổ biến nhất là các chương trình khuyến mãi giả mạo, bắt chước các ưu đãi từ các nhà bán lẻ lớn và chuyển hướng người dùng đến các trang web giả mạo. Trên các trang này, thông tin đăng nhập và mật khẩu của công ty hoặc cá nhân bị đánh cắp và rao bán trên các diễn đàn độc hại.
Một chiêu trò phổ biến khác liên quan đến các tin nhắn giả mạo cảnh báo kỹ thuật, chẳng hạn như cập nhật phần mềm, đặt lại mật khẩu hoặc thông báo gửi. Được viết một cách chuyên nghiệp và có vẻ hợp pháp, những tin nhắn này lừa người dùng nhấp vào liên kết hoặc mở tệp đính kèm, dẫn đến việc cài đặt phần mềm độc hại hoặc phần mềm gián điệp có khả năng theo dõi hoạt động, đánh cắp cookie phiên và chiếm đoạt thông tin đăng nhập đã lưu trữ.
Những trò lừa đảo này khai thác các yếu tố kích hoạt tâm lý như tính cấp bách, phần thưởng và sự quen thuộc. Ví dụ, một email do đồng nghiệp hoặc bộ phận CNTT ký sẽ ít có khả năng bị nghi ngờ hơn khi khối lượng công việc lớn và thời hạn gấp rút. Điều này khiến yếu tố con người trở thành điểm xâm nhập chính của các cuộc tấn công mạng.
Giảm thiểu rủi ro thông qua văn hóa, hành vi và đào tạo liên tục.
Việc chống lại loại hình gian lận này đòi hỏi sự thay đổi văn hóa trong các tổ chức. Các chương trình nâng cao nhận thức và mô phỏng lừa đảo trực tuyến đang diễn ra có thể giảm khả năng nhân viên tương tác với tin nhắn độc hại lên đến 88% trong vòng 12 tháng. Báo cáo nhấn mạnh rằng, trước khi đào tạo, tỷ lệ dễ bị lừa đảo trực tuyến (Phish-prone™ Percentage) trung bình là 30,7% ở các doanh nghiệp nhỏ, 32% ở các doanh nghiệp vừa và 42,4% ở các tổ chức lớn. Sau chín mươi ngày, tỷ lệ này giảm xuống còn khoảng 20%.
Rafael Peruch, Cố vấn CISO kỹ thuật tại KnowBe4, cho biết: "Sự phát triển này cho thấy hành vi của con người đã được công nhận là một trong những trụ cột hiệu quả nhất trong việc phòng thủ chống lại các mối đe dọa mạng, đặc biệt là khi nhân viên học cách nhận biết các dấu hiệu gian lận tinh vi, hiểu các chiến thuật thao túng tâm lý và trở thành những người tham gia tích cực vào hoạt động phòng thủ an ninh mạng của công ty" .
Ngoài đào tạo, việc củng cố các chính sách bảo mật nội bộ trong các giai đoạn mùa vụ, rà soát luồng thông tin liên lạc và triển khai xác thực đa yếu tố (MFA) trên toàn bộ hệ thống là rất cần thiết. Các nguồn lực như đào tạo theo thời gian thực và cảnh báo lừa đảo tự động giúp tạo ra phản ứng tức thời đối với các nỗ lực gian lận.
“Tự động hóa giúp phát hiện các mối đe dọa, nhưng chính quản lý rủi ro của con người mới thực sự giảm thiểu rủi ro. Với sự hỗ trợ của trí tuệ nhân tạo, chúng ta có thể xác định các mô hình hành vi và tạo ra các chương trình nâng cao nhận thức phù hợp với từng tổ chức”, Peruch kết luận.
