Trước thềm cuộc bầu cử giữa kỳ Mỹ diễn ra vào tháng 11/2026, các chiến dịch lừa đảo trực tuyến lấy chủ đề bầu cử đang tăng vọt với tốc độ đáng báo động. Công ty an ninh mạng Check Point Research cho biết kể từ tháng 1 năm nay, đã có hơn 5.000 tên miền liên quan đến bầu cử được đăng ký mới, với các thủ đoạn trải dài từ phishing, trang quyên góp giả cho đến giả mạo các hãng truyền thông lớn.

Bùng nổ tên miền bầu cử: "election" đi ngang, "vote" tăng vọt lên 4.010

Theo dữ liệu từ Check Point Research, vào tháng 1/2026, có khoảng 1.300 tên miền chứa từ khóa "election" và gần 3.000 tên miền chứa "vote" được ghi nhận. Đến giai đoạn giữa tháng 4 đến giữa tháng 5, lượng tên miền "election" gần như đi ngang ở mức khoảng 1.140, trong khi nhóm "vote" lại nhảy vọt lên 4.010 — một mức tăng đáng kể chỉ trong vài tuần.

Nhóm nghiên cứu nhận định: "Khối lượng đăng ký đang tăng dần khi tháng 11 đến gần, và xu hướng đang dịch chuyển sang những từ khóa có tiếp xúc trực tiếp hơn với cử tri". Tuy nhiên, Check Point cũng lưu ý rằng bản thân con số đăng ký tên miền không đồng nghĩa với mục đích xấu — đây mới chỉ là chỉ báo về quy mô bề mặt tấn công tiềm năng.

  • Tháng 1/2026: "election" 1.300 tên miền / "vote" khoảng 3.000 tên miền
  • Giữa tháng 4 – giữa tháng 5: "election" khoảng 1.140 / "vote" 4.010
  • Lũy kế từ tháng 1: hơn 5.000 tên miền liên quan đến bầu cử

Chiến dịch "Doppelganger" của Nga giả mạo Reuters, Washington Post

Một trong những thủ đoạn nổi bật được Check Point chỉ đích danh là chiến dịch "Doppelganger" có nguồn gốc từ Nga. Chiến dịch này nhân bản giao diện của các hãng truyền thông uy tín như Reuters, The Washington Post và Fox News, sau đó đăng tải tin tức giả mạo lên các bản sao gần như y hệt bản gốc.

"Trong kỷ nguyên thông tin sai lệch được hỗ trợ bởi AI, mục tiêu thường không phải là thay đổi kết quả bỏ phiếu, mà là khiến cử tri tin rằng chính sự thật cũng khó có thể kiểm chứng" — Check Point Research.

Đối tượng tấn công không phải là máy đếm phiếu, mà là chính người đi bỏ phiếu. Kẻ tấn công kỳ vọng các bài báo giả mạo trên trang clone sẽ được những hãng truyền thông khác trích dẫn lại trước khi bị phát hiện là lừa đảo, từ đó khuếch tán thông điệp sai lệch trên quy mô lớn.

Đáng chú ý, các quốc gia khác ngoài Nga cũng bị nghi ngờ tham gia vào những hoạt động tương tự. Trước đây, giới chức Mỹ từng cáo buộc Tổng thống Vladimir Putin can thiệp vào bầu cử tổng thống, và kịch bản tương tự đang được lo ngại sẽ lặp lại trong kỳ bầu cử giữa kỳ lần này.

Bốn nhóm tấn công chính: từ phishing đến giả mạo ứng viên

Check Point phân loại các tên miền độc hại thành bốn nhóm thủ đoạn phổ biến.

Nhóm tấn côngNội dung
Trang phishingGiả dạng cổng thông tin để đánh cắp thông tin đăng nhập
Trang quyên góp giảGiả danh ủng hộ ứng viên để chiếm đoạt tiền
Giả mạo ứng viênSao chép website chính thức của ứng viên cụ thể
Phát tán tin giảTung thông tin sai lệch về bầu cử một cách có tổ chức

Đây không phải là những thủ đoạn mới, nhưng sự quan tâm cao bất thường trong mùa bầu cử khiến tỷ lệ thành công của các đợt tấn công tăng lên. "Bản thân mối đe dọa không mới, vấn đề nằm ở chỗ động cơ và mức độ chú ý đứng sau chúng cao hơn nhiều so với thông thường" — Check Point tổng kết.

Aeza Group bị bắt và lệnh trừng phạt của Bộ Tài chính Mỹ

Hạ tầng vận hành Doppelganger cũng đang chứng kiến những biến động lớn. Yury Bozoyan — CEO của Aeza Group có trụ sở tại Saint Petersburg, đơn vị được cho là cung cấp dịch vụ hosting cho chiến dịch — đã bị nhà chức trách Nga bắt giữ. Đồng sáng lập Arseny Penzev cùng hai nhân viên Maxim Orel và Tatyana Zubova cũng bị tạm giam trong cùng giai đoạn, với cáo buộc tham gia tổ chức tội phạm và âm mưu buôn bán ma túy.

  • Bộ Tài chính Mỹ đã áp lệnh trừng phạt lên Aeza Group vì cung cấp hạ tầng cho tội phạm mạng
  • Aeza bị cho là đã hosting cả các máy chủ điều khiển mã độc đánh cắp thông tin như "Lumma" và "Meduza"
  • Đơn vị này còn bị nghi liên quan đến việc vận hành chợ đen "BlackSprut"
  • Các mục tiêu giả mạo còn bao gồm cả những hãng truyền thông châu Âu như Der Spiegel (Đức), Le Parisien (Pháp) và The Guardian (Anh)

CISA cắt giảm hỗ trợ an ninh bầu cử: cảnh báo từ Thượng nghị sĩ Warner

Năng lực phòng thủ phía Mỹ cũng đang là điểm đáng lo ngại. Thượng nghị sĩ Mark Warner — Phó Chủ tịch Ủy ban Tình báo Thượng viện — cảnh báo rằng Cơ quan An ninh mạng và An ninh Hạ tầng (CISA) thuộc Bộ An ninh Nội địa Mỹ đã thu hẹp đáng kể hoạt động hỗ trợ an ninh bầu cử. Chính quyền các bang và địa phương báo cáo rằng mức độ huấn luyện, chia sẻ tình báo về mối đe dọa và hỗ trợ an ninh mạng từ CISA đang sụt giảm rõ rệt so với trước.

Trong đề xuất ngân sách năm tài khóa 2027 của chính quyền Trump, toàn bộ chương trình an ninh bầu cử của CISA — bao gồm cả mảng chia sẻ thông tin lẫn vị trí cố vấn an ninh bầu cử — được dự kiến bị xóa bỏ. Theo lời khai từ Bộ Tư lệnh Không gian mạng Mỹ, các thế lực thù địch nước ngoài như Iran nhiều khả năng sẽ nhắm vào bầu cử 2026, với quy mô và chất lượng tấn công ứng dụng AI cao hơn đáng kể so với trước.

"Không thể có chuyện các bang tự mình thu thập tình báo, chuyên môn và báo cáo sự cố theo thời gian thực ở quy mô và tốc độ cần thiết" — Thượng nghị sĩ Mark Warner.

Ý nghĩa đối với người dùng và doanh nghiệp tại Việt Nam

Mặc dù sự kiện trực tiếp diễn ra tại Mỹ, các kỹ thuật giả mạo tên miền và clone giao diện báo chí lớn không phân biệt biên giới. Người dùng tại Việt Nam — đặc biệt là cộng đồng quan tâm đến tin tức quốc tế qua mạng xã hội như Facebook, Zalo hay các nền tảng tổng hợp tin — cần thận trọng với các đường link dẫn về những trang "trông giống" Reuters, BBC hay The Guardian, kiểm tra kỹ tên miền trước khi tin tưởng nội dung.

Với các doanh nghiệp Việt hoạt động trong lĩnh vực truyền thông, fintech hoặc dịch vụ thanh toán (MoMo, ZaloPay, VNPay), bài học từ Doppelganger là hồi chuông nhắc nhở về việc đầu tư vào giám sát thương hiệu (brand monitoring) và phát hiện sớm các tên miền giả mạo. Khi mùa bầu cử Mỹ càng đến gần, làn sóng tên miền độc hại có thể được tái sử dụng cho các chiến dịch lừa đảo khu vực — và Việt Nam không nằm ngoài vùng ảnh hưởng tiềm tàng.

Nguồn