Nguy cơ an ninh bầu cử: Hàng ngàn tên miền lừa đảo và hàng chục ngàn tài khoản bị lộ

Nguy cơ an ninh bầu cử: Hàng ngàn tên miền lừa đảo và hàng chục ngàn tài khoản bị lộ

Tấn công vào máy bỏ phiếu trực tiếp đã trở thành chuyện của quá khứ. Mối đe dọa thực sự đối với các cuộc bầu cử giữa kỳ sắp tới tại Mỹ hiện nay nằm ở các hoạt động lừa đảo (phishing) và mạo danh quan chức bầu cử.

Theo tài liệu từ Check Point, chỉ trong khoảng thời gian từ tháng 4 đến tháng 5, đã có hơn 5.000 tên miền có chủ đề liên quan đến bầu cử được đăng ký mới. Các tên miền này có thể được tin tặc sử dụng cho mục đích lừa đảo, mạo danh, gian lận, tung tin giả hoặc các hoạt động gây ảnh hưởng khác.

Hạ tầng và quyền truy cập: Hai mặt của một vấn đề

Đáng báo động hơn, sự gia tăng này đi kèm với khoảng 17.000 thông tin đăng nhập (credentials) bị lộ có liên quan đến các tổ chức gây quỹ, đảng phái chính trị và các dịch vụ chính phủ. Đội ngũ tình báo an ninh mạng của Check Point đã phát hiện những dữ liệu này vào tháng 5.

Danielle Hess, chuyên gia phân tích tình báo đe dọa mạng tại Check Point Software, chia sẻ:

"Các tên miền liên quan đến bầu cử và thông tin đăng nhập bị lộ đại diện cho hai mặt của cùng một vấn đề: hạ tầng và quyền truy cập. Sự gia tăng các tên miền chủ đề bầu cử không chỉ tạo ra nhiều hạ tầng tiềm năng có thể bị lạm dụng cho lừa đảo hoặc mạo danh, mà còn phản ánh một hệ sinh thái bầu cử đang phát triển với nhiều tổ chức, tài khoản và người dùng hơn có thể trở thành mục tiêu."

Khi kết hợp với một lượng lớn thông tin đăng nhập bị lộ, kẻ tấn công có nhiều cơ hội hơn để tiến hành các hoạt động liên quan đến bầu cử một cách thuyết phục và quy mô lớn.

Vai trò của trí tuệ nhân tạo

Một yếu tố làm phức tạp thêm tình hình là sự trợ giúp của trí tuệ nhân tạo (AI). Công nghệ này mang lại sự thúc đẩy lớn cho các hoạt động lừa đảo, mạo danh, tin giả bầu cử và các hình thức lừa đảo khác, khiến chúng trở nên nhanh hơn, rẻ hơn và dễ dàng mở rộng quy mô hơn bao giờ hết.

Sự gia tăng các mối đe dọa này diễn ra trong bối cảnh các nỗ lực bảo vệ cơ sở hạ tầng bầu cử đang gặp nhiều thách thức.

Chi tiết về tên miền và dữ liệu bị lộ

Theo báo cáo vào thứ Hai, Check Point đã giám sát các tên miền được đăng ký và ghi nhận khoảng 1.300 tên miền chứa từ khóa "election" (bầu cử) và 2.957 tên miền chứa "vote" (bỏ phiếu) vào tháng 1. Ba tháng sau, từ ngày 13/4 đến 14/5, khoảng 1.140 tên miền mới đăng ký chứa từ "election", trong khi số lượng chứa "vote" đã tăng lên khoảng 4.010.

Mặc dù việc đăng ký tên miền không đảm bảo nó sẽ được sử dụng cho mục đích độc hại, nhưng các tên miền này thường được sử dụng cho các trang lừa đảo mạo danh trang thông tin cử tri hoặc chính ứng viên, các trang lừa đảo quyên góp chiến dịch và các trang tin giả được thiết kế để trông giống như thông tin bầu cử chính thức.

Cụ thể, công ty an ninh đã ghi nhận hàng ngàn thông tin đăng nhập bị lộ vào tháng 5 liên quan đến các trang web gây quỹ và đảng phái chính trị, bao gồm:

• Khoảng 9.500 thông tin đăng nhập bị lộ từ ActBlue.com (trang gây quỹ của Đảng Dân chủ).
• 6.500 thông tin từ WinRed.com (gây quỹ của Đảng Cộng hòa).
• 600 thông tin từ trang web chính thức của Đảng Cộng hòa GOP.com.
• 130 từ democrats.org.
• 150 thông tin từ trang web dịch vụ công dân usa.gov.

Hess lưu ý rằng các số liệu thông tin đăng nhập phản ánh những dữ liệu được xác định trên nền tảng Quản lý Rủi ro Bên ngoài (ERM) của Check Point tính đến tháng 5 năm 2026 và không giới hạn ở các thông tin nhất định bị đánh cắp trong tháng đó alone.

Dữ liệu cử tri trên web tối

Báo cáo chỉ ra rằng việc rò rỉ thông tin đăng nhập không giới hạn ở một đảng phái chính trị cụ thể hay các chiến dịch cụ thể. Hầu hết các tên miền chiến dịch cá nhân cho thấy ít hoặc không có sự phơi nhiễm thông tin đăng nhập, cho thấy rủi ro hiện tại tập trung vào các nền tảng tập trung thay vì hạ tầng riêng của chiến dịch.

Tuy nhiên, một ngoại lệ là chiến dịch của ứng viên Tom Kean (Nghị sĩ Cộng hòa bang New Jersey), với khoảng 90 thông tin đăng nhập bị lộ. Mặc dù điều này có thể phản ánh sự xâm nhập cơ hội hơn là nhắm mục tiêu có chủ đích, nó vẫn tiềm ẩn rủi ro bảo mật nếu các tài khoản liên quan vẫn hoạt động.

Ngoài việc phơi nhiễm thông tin của các tổ chức chính trị, thông tin cử tri cũng đang xuất hiện trên các diễn đàn web tối (dark web) trước kỳ bầu cử giữa tháng 11. Điều này bao gồm một bài đăng vào ngày 30/1 trên BreachForums quảng cáo dữ liệu từ bộ phận bầu cử quận Fremont, Colorado, bao gồm tên, địa chỉ email, dữ liệu địa chỉ IP và thông tin gửi cổng thông tin bầu cử.

Vào ngày 26/4, các thợ săn mối đe dọa cũng phát hiện một bài đăng trên diễn đàn tội phạm Spear[.]cx, tuyên bố cung cấp cơ sở dữ liệu cử tri đa tiểu bang của Mỹ bao gồm hơn hai chục bang và Washington, DC.