Trong khi cộng đồng quốc tế và Việt Nam đang tập trung vào việc ngăn chặn tội phạm mạng thông qua các hệ thống bảo mật số, một mối nguy hiểm khác lại đang âm thầm phát triển từ chính những tài liệu giấy được xử lý không đúng cách. Thực tế cho thấy, nhiều vụ việc lừa đảo, trộm cắp thông tin cá nhân và tội phạm mạng tại Việt Nam có nguồn gốc từ việc thu thập thông tin từ các tài liệu giấy đã hết hạn lưu trữ nhưng không được tiêu hủy an toàn.
Mô hình tội phạm mới: Từ rác thải đến tài sản số
Các nhóm tội phạm mạng đã phát triển một mô hình hoạt động tinh vi, kết hợp giữa thu thập thông tin truyền thống và công nghệ hiện đại. Họ không chỉ tấn công vào các hệ thống máy tính mà còn chủ động tìm kiếm thông tin từ những nguồn “dễ dàng” hơn như tài liệu giấy bị vứt bỏ hoặc bán làm phế liệu. Quá trình này được gọi là “dumpster diving” – việc lục tìm trong rác thải để thu thập thông tin có giá trị.
Trong lĩnh vực bảo mật thông tin, dumpster diving còn là kỹ thuật thu thập thông tin nhạy cảm từ rác thải của cá nhân hoặc tổ chức, ví dụ:
-
Hóa đơn, tài liệu in nháp, ghi chú có mật khẩu, USB bị vứt bỏ.
-
Từ đó kẻ gian có thể dò ra thông tin cá nhân, đăng nhập, thậm chí hack hệ thống.
Theo báo cáo của Cục An toàn thông tin – Bộ Thông tin và Truyền thông, trong năm 2024, có khoảng 30% các vụ việc lừa đảo trực tuyến được phát hiện có sử dụng thông tin cá nhân chi tiết mà không thể thu thập được thông qua các cuộc tấn công mạng thông thường. Điều này cho thấy khả năng cao là thông tin được thu thập từ các nguồn offline, trong đó chủ yếu là từ tài liệu giấy không được xử lý đúng cách.
Các loại thông tin nhạy cảm thường bị rò rỉ
Tại Việt Nam, việc thiếu quy trình tiêu hủy tài liệu chuyên nghiệp đã khiến nhiều loại thông tin nhạy cảm rơi vào tay tội phạm. Thông tin cá nhân từ các form đăng ký dịch vụ, hồ sơ khám bệnh, hợp đồng tín dụng, và hồ sơ tuyển dụng là những mục tiêu chính. Đặc biệt, các tài liệu chứa số chứng minh nhân dân, số định danh cá nhân, địa chỉ, số điện thoại và thông tin tài chính trở thành “vàng mười” đối với các nhóm tội phạm.
Một điều đáng lo ngại là nhiều doanh nghiệp và tổ chức tại Việt Nam vẫn lưu trữ thông tin khách hàng dưới dạng giấy mà không có biện pháp bảo vệ phù hợp. Khi những tài liệu này hết hạn lưu trữ, chúng thường được xử lý một cách tuỳ tiện, tạo cơ hội cho tội phạm thu thập thông tin một cách dễ dàng.
Thủ đoạn khai thác thông tin từ tài liệu giấy
Các nhóm tội phạm mạng tại Việt Nam đã phát triển nhiều thủ đoạn tinh vi để khai thác thông tin từ tài liệu giấy. Họ thường xuyên theo dõi và thu thập rác thải từ các ngân hàng, bệnh viện, trường học, và các doanh nghiệp lớn. Một số nhóm còn tổ chức thành mạng lưới, với các thành viên chuyên trách việc thu thập tài liệu tại các khu vực khác nhau.
Thông tin thu thập được sẽ được phân loại và số hóa một cách có hệ thống. Các tội phạm sử dụng công nghệ OCR để chuyển đổi tài liệu giấy thành dữ liệu số, sau đó xây dựng cơ sở dữ liệu thông tin cá nhân với quy mô lớn. Những cơ sở dữ liệu này sau đó được sử dụng để thực hiện các hoạt động lừa đảo, trộm cắp danh tính, hoặc bán cho các nhóm tội phạm khác.
Tác động kinh tế và xã hội
Theo thống kê của Ngân hàng Nhà nước Việt Nam, thiệt hại kinh tế từ các vụ việc lừa đảo trực tuyến sử dụng thông tin cá nhân bị rò rỉ đã tăng gần 150% trong năm 2024 so với năm trước. Tổng thiệt hại ước tính lên tới hàng nghìn tỷ đồng, chưa kể đến những tác động tiêu cực đến lòng tin của người dân đối với các dịch vụ số.
Đặc biệt, lĩnh vực ngân hàng và tài chính là nơi chịu tác động nặng nề nhất. Nhiều trường hợp khách hàng bị mạo danh để vay vốn, mở tài khoản ngân hàng, hoặc thực hiện các giao dịch tài chính bất hợp pháp. Điều này không chỉ gây thiệt hại trực tiếp về mặt tài chính mà còn làm suy giảm niềm tin của khách hàng đối với hệ thống ngân hàng.
Khuyến nghị và giải pháp
Để đối phó với tình trạng này, các chuyên gia bảo mật thông tin khuyến nghị Việt Nam cần xây dựng một hệ thống quy định nghiêm ngặt về việc xử lý tài liệu hết hạn lưu trữ. Đầu tiên, cần có các quy định pháp lý cụ thể về trách nhiệm của các tổ chức, doanh nghiệp trong việc bảo vệ thông tin cá nhân ngay cả khi tài liệu đã hết hạn sử dụng.
Thứ hai, cần thúc đẩy phát triển mạng lưới dịch vụ hủy tài liệu chuyên nghiệp trên toàn quốc, không chỉ tập trung ở một số thành phố lớn như hiện tại. Các doanh nghiệp cần được hỗ trợ và khuyến khích sử dụng các dịch vụ này thay vì tự xử lý tài liệu một cách thiếu chuyên nghiệp.
Thứ ba, cần tăng cường giáo dục và nâng cao nhận thức cho các doanh nghiệp và tổ chức về tầm quan trọng của việc bảo vệ thông tin ngay cả ở dạng giấy. Nhiều doanh nghiệp vẫn chưa nhận thức được rằng thông tin ở dạng giấy cũng có thể trở thành nguồn cung cấp dữ liệu cho tội phạm mạng.
Cuối cùng, cần có sự phối hợp chặt chẽ giữa các cơ quan chức năng, từ Bộ Công an, Bộ Thông tin và Truyền thông, đến các hiệp hội ngành nghề để xây dựng một chiến lược toàn diện trong việc ngăn chặn tội phạm mạng từ mọi nguồn thông tin, kể cả từ tài liệu giấy. Chỉ khi nào việc bảo vệ thông tin được thực hiện một cách toàn diện, từ số hóa đến vật lý, thì Việt Nam mới có thể xây dựng được một môi trường số an toàn và đáng tin cậy.
