Dẹp nạn ăn cắp bản quyền trên không gian số: Người dùng đang trả giá bằng dữ liệu cá nhân (bài 3)

Từ thói quen dùng “chùa”

Có thể thấy, tội phạm công nghệ cao ngày càng tinh vi và chuyên nghiệp hóa, điều này đã thúc đẩy hoạt động các cuộc tấn công mạng trở thành một ngành dịch vụ trên thị trường “chợ đen”. Thay vì phải tự viết mã độc như trước, kẻ xấu quay sang sử dụng các loại mã độc có khả năng âm thầm thu thập mật khẩu, cookie đăng nhập và token truy cập… để đánh cắp dữ liệu cá nhân.

Lâu nay, nhiều người có thói quen vào các website lậu dùng “chùa”. Điều đáng lo ngại, người dùng coi đây là sự hiển nhiên. Tuy nhiên, sau một cú nhấp vào đường link giả mạo hay tải về phần mềm không rõ nguồn gốc cũng đủ để toàn bộ dữ liệu trong thiết bị máy tính hay điện thoại người dùng bị đánh cắp mà không hề hay biết.

Bên cạnh đó, chỉ với suy nghĩ đơn giản khi truy cập vào các trang website, các app giải trí, học tập… nhiều người không ngần ngại chấp nhận chia sẻ dữ liệu cá nhân, hình ảnh ảnh căn cước, địa chỉ nhà, lịch trình cá nhân… Từ những thông tin này, kẻ xấu đã khớp nối và có được hồ sơ dữ liệu của một cá nhân một cách hoàn chỉnh để phục vụ cho những hành vi phạm pháp khi có cơ hội ra tay.

Không chỉ cá nhân, khi các tổ chức, doanh nghiệp có hệ thống kết nối mạng nội bộ, một cá nhân sử dụng thiết bị của tổ chức, doanh nghiệp nhấp vào những đường link tưởng chừng như vô hại nhưng lại vô tình bị kẻ xấu nhắm đến hệ thống cốt lõi của tổ chức, doanh nghiệp. Từ đó, kẻ xấu có thể truy cập vào toàn bộ hạ tầng công nghệ thông tin của tổ chức, doanh nghiệp đánh cắp đi dữ liệu gây ra những hệ luỵ khó lường.

Bởi một khi các hệ thống bị chiếm quyền, kẻ xấu có thể dễ dàng đánh cắp dữ liệu nhạy cảm, cài mã độc hoặc mở đường cho những cuộc tấn công sâu hơn. Khi một tổ chức, doanh nghiệp bị đánh cắp dữ liệu, hậu quả không chỉ dừng lại ở tổ chức đó mà hàng nghìn người dùng, đối tác và khách hàng liên quan cũng có thể bị cuốn vào vòng nguy cơ rò rỉ thông tin.

Trao đổi với phóng viên Báo CAND, chuyên gia an ninh mạng Ngô Minh Hiếu cho biết, các website giải trí miễn phí “không” có gì là “miễn phí” hoàn toàn trên không gian mạng. Khi người dùng vào các website phim lậu, bóng đá lậu, game lậu hoặc nội dung miễn phí không rõ nguồn gốc, họ có thể đang trả giá bằng dữ liệu cá nhân, cookie trình duyệt, tài khoản mạng xã hội, tài khoản ngân hàng hoặc bị dẫn dụ cài mã độc. Một cú bấm vào quảng cáo, nút “xem tiếp”, “tải app”, “xác minh tuổi” cũng có thể mở đường cho việc đánh cắp thông tin.

“Về chiêu thức đánh cắp dữ liệu, các website miễn phí thường dùng quảng cáo độc hại, pop-up giả mạo, yêu cầu đăng nhập bằng Facebook/Google, cài tiện ích trình duyệt, tải ứng dụng APK ngoài kho chính thức hoặc chuyển hướng sang trang giả mạo ngân hàng, ví điện tử. Dữ liệu bị lấy không chỉ dùng ngay, mà còn được gom lại để dựng hồ sơ nạn nhân. Đây là lý do nhiều vụ lừa đảo gần đây rất “đúng người, đúng nhu cầu”, khiến nạn nhân dễ tin hơn”, chuyên gia Ngô Minh Hiếu chia sẻ.

Thực tế hiện nay, tình trạng thu thập và khai thác trái phép dữ liệu cá nhân đang diễn ra với mức độ phức tạp, tinh vi, thậm chí mang tính có tổ chức. Nhiều đường dây đã hình thành chuỗi khép kín từ khâu chiếm đoạt dữ liệu, phân loại để tiêu thụ và sử dụng thực hiện hành vi lừa đảo, chiếm đoạt tài sản. Chỉ cần sơ hở nhỏ, dữ liệu cá nhân của người dùng đều có thể bị đánh cắp như chơi.

Nguy cơ tiềm ẩn

Nhiều người tin rằng, các ứng dụng miễn phí trên điện thoại hoặc máy tính là một bữa ăn miễn phí. Thế nhưng, mặt trái các ứng dụng miễn phí này người dùng bị ràng buộc là những thông tin dữ liệu cá nhân phải bật xác thực để truy cập website, app, các ứng dụng… Đây chính là “mỏ vàng” đẻ kẻ xấu thu thập sử dụng hay bán dữ liệu cho người dùng thứ 3 hoặc chứa quảng cáo độc hại (malvertising), gây ra các rủi ro nghiêm trọng về quyền riêng tư và bảo mật. Ứng dụng miễn phí thường hoạt động theo mô hình "freemium", trong đó người dùng không trả tiền trực tiếp nhưng "trả giá" bằng dữ liệu cá nhân hoặc trải nghiệm bị gián đoạn bởi quảng cáo.

Cũng cần thấy rằng, việc rò rỉ dữ liệu và bị đánh cắp không chỉ gây hại cho cá nhân mà còn khoét sâu rủi ro vào tổ chức. Đơn cử, khi một doanh nghiệp bị chiếm quyền quản trị có thể đối mặt với tình huống vừa phải dừng một phần hệ thống, vừa đáp ứng yêu cầu từ khách hàng, đối tác và cơ quan quản lý; chi phí khắc phục, chi phí pháp lý và tổn hại uy tín nhiều khi vượt xa thiệt hại trực tiếp. Từ góc nhìn an ninh, mỗi vụ rò rỉ lớn lại tạo ra một “nguồn dữ liệu thứ cấp” cho nhiều hoạt động bất hợp pháp về sau, kéo dài trạng thái rủi ro và khiến công tác phòng ngừa trở nên khó khăn.

Ngày nay, dữ liệu cá nhân không chỉ nằm trong các kho thông tin của cơ quan, tổ chức, doanh nghiệp mà còn trôi trên vô số nền tảng trung gian, ứng dụng tiện ích, dịch vụ giao nhận, ví điện tử, sàn thương mại, trò chơi trực tuyến, mạng xã hội. Mỗi lần đăng ký mới, mỗi thao tác đồng ý điều khoản, mỗi lượt bấm cấp quyền truy cập danh bạ hay vị trí, là thêm một cửa mà dữ liệu cá nhân có thể đi ra ngoài phạm vi kiểm soát.

Theo đánh giá của cơ quan quản lý, dữ liệu cá nhân bị rò rỉ thường là điểm khởi đầu của chuỗi hành vi lừa đảo. Khi kẻ xấu có họ tên, số căn cước, ngày sinh, địa chỉ, thậm chí lịch sử giao dịch, chúng có thể xây dựng kịch bản giả mạo với độ thuyết phục cao. Hậu quả, nạn nhân không chỉ trực tiếp thiệt hại về tài chính mà khi xảy ra đề, nạn nhân không ý thức được dữ liệu mình để lộ từ đâu. Vì thế, việc truy nguyên để khắc phục chậm trễ, khiến dữ liệu tiếp tục bị khai thác nhiều vòng.

Bởi thực tế, việc nhiều người truy cập vào các website lậu xem phim, nghe ca nhạc  hay các ứng dụng game miễn phí thì ngay trên các trang website "lậu" miễn phí này người dùng có nguy cơ bị nhiễm mã độc không giống như các nền tảng hợp pháp. Kẻ xấu thường sử dụng nội dung miễn phí làm "mồi nhử" để thực hiện việc thu thập dữ liệu cá nhân của người dùng và xuất phát từ nhiều điểm khác nhau. Chính vì thế, việc hình thành thói quen an toàn số nên bắt đầu từ những bước nhỏ như: thận trọng khi cấp quyền cho ứng dụng, hạn chế chia sẻ thông tin cá nhân, bật xác thực đa yếu tố cho các tài khoản quan trọng và thường xuyên cập nhật phần mềm để vá lỗ hổng bảo mật.

Trung tá Lê Anh Tuấn – Phó trưởng phòng, Phòng chống tội phạm xâm phạm trật tự xã hội trên không gian mạng (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) cho biết, việc người dùng truy cập vào các website lậu (phim, bóng đá trực tuyến, tải game “cracker”…) tiềm ẩn nhiều nguy cơ mất dữ liệu cá nhân. Mặc dù người xem không mất phí nhưng “chi phí” thực sự chính là dữ liệu cá nhân.

Các phương thức phổ biến mà các website này sử dụng để đánh cắp thông tin như: mã độc và phần mềm gián điệp (Malware & Spyware). Đây là hình thức nguy hiểm nhất. Khi bạn nhấn “Play” hoặc tải một tệp tin về, mã độc có thể tự động cài vào thiết bị. Điển hình như: Keyloggers (ghi lại mọi bàn phím của bạn để đánh cắp mật khẩu ngân hàng, email, tài khoản mạng xã hội…); Trojan (tạo ra một “cửa hậu” cho phép hacker chiếm quyền điều khiển từ xa); Infostealer (tự động thu thập dữ liệu lưu trong trình duyệt)…

Lời cảnh báo về những “bữa ăn” miễn phí

Cũng theo Trung tá Lê Anh Tuấn, việc người dùng có thói quen sử dụng những website lậu tiềm ẩn những nguy cơ, hệ luỵ khôn lường khi người dùng bị thao túng và kiểm soát dữ liệu cá nhân bị đánh cắp. Hệ luỵ không chỉ dừng lại ở việc mất tài khoản mà còn kéo theo những chuỗi hệ luỵ dây chuyền. Đối với cá nhân, người dùng có nguy cơ bị chiếm đoạt tài sản.

Đối với an ninh cơ quan, tổ chức: Nếu người dùng sử dụng thiết bị làm việc (máy tính cơ quan, điện thoại công vụ) để truy cập vào các trang website này có nguy cơ rò rỉ tài liệu. Mã độc có khả năng quyét toàn bộ dữ liệu trong mạng nội bộ, đánh cắp các tài liệu, báo cáo hoặc kế hoạch công tác; tạo kế hoạch cho các cuộc tấn công leo thang. Tài khoản của một cá nhân có thể trở thành “bàn đạp” để tội phạm mạng thực hiện các cuộc tấn công sâu hơn vào hệ thống thông tin của toàn đơn vị.

“Để tránh trở thành nạn nhân khi sử dụng miễn phí các mạng giải trí vi phạm bản quyền, người dân và tổ chức cần thay đổi thói quen tiêu dùng: Từ tư duy “miễn phí” trên các trang web lậu. Việc truy cập vào các trang web này không chỉ vi phạm bản quyền mà còn khiến người dùng đối mặt với rủi ro lây nhiễm mã độc, bị đánh cắp thông tin cá nhân hoặc tiếp cận với quảng cáo, dẫn dắt tới các hành vi vi phạm pháp luật khác. Do vậy, người dùng cần ủng hộ nội dung gốc, tích cực tố giác, gửi phản ánh đến Cổng thông tin Bộ Công an khi phát hiện các đường dây xâm phạm bản quyền; cung cấp bằng chứng khi phát hiện vi phạm; chủ động bảo vệ bằng các giải pháp công nghệ…”, Trung tá Lê Anh Tuấn khuyến cáo.

Chuyên gia an ninh mạng Ngô Minh Hiếu cũng nêu giải pháp: “Chúng ta cần tiếp cận theo hướng tổng thể: hoàn thiện pháp lý, nâng cao năng lực kỹ thuật, tăng chế tài xử phạt, chia sẻ dữ liệu cảnh báo sớm giữa cơ quan chức năng, doanh nghiệp và cộng đồng. Doanh nghiệp cần mã hóa dữ liệu, phân quyền chặt chẽ, kiểm thử an ninh định kỳ, giám sát rò rỉ dữ liệu và có kịch bản ứng cứu sự cố. Người dân cần hạn chế chia sẻ thông tin cá nhân, không cài app lạ, không nhập tài khoản vào website không rõ nguồn gốc và luôn xác minh trước khi chuyển tiền hoặc cung cấp mã OTP”.

Dưới góc độ pháp lý, Luật sư Hoàng Tùng – Văn phòng luật sư Trung Hòa (Đoàn LSTP Hà Nội) chia sẻ: "Trong kỷ nguyên số, chúng ta thường nghe câu nói: 'Nếu bạn không phải trả tiền cho sản phẩm, thì chính bạn là sản phẩm'. Vấn đề website xem phim lậu và ứng dụng miễn phí tràn lan hiện nay là minh chứng điển hình nhất cho nhận định này. Dưới góc độ pháp lý, chúng ta nhìn nhận sự việc dưới hai khía cạnh và có thể thấy rằng: Các website lậu không đơn thuần vi phạm bản quyền nội dung và đằng sau cái mác miễn phí là một hệ thống thu thập dữ liệu tinh vi.

Theo Luật sư Hoàng Tùng, căn cứ vào Điều 7 Luật An toàn thông tin mạng 2015, hành vi phát tán mã độc là một trong những hành vi bị nghiêm cấm hàng đầu. Tuy nhiên, các website lậu lại biến đây thành phương thức hoạt động chính. Khi người dùng click vào một đường link xem phim, họ vô tình kích hoạt các kịch bản thực thi mã độc, từ đó xâm phạm quyền bí mật cá nhân, chiếm đoạt quyền điều khiển thiết bị.

Sự nguy hiểm không nằm ở việc bạn xem một bộ phim không trả phí mà nằm ở việc bạn đang mở cửa phòng ngủ, két sắt và đời tư cá nhân cho tội phạm mạng. Dữ liệu của bạn sau đó sẽ được mua bán trái phép, vi phạm nguyên tắc minh bạch tại Nghị định 13/2023/NĐ-CP. Các website phim lậu không hoạt động vì mục đích từ thiện. Khi người dùng truy cập, họ thường bị bủa vây bởi các mã độc, phần mềm gián điệp ẩn dưới các quảng cáo hoặc nút “Play” giả.

Người dùng cần hiểu rằng, không có bữa ăn nào là miễn phí. Khi người dùng không trả tiền cho sản phẩm, thì chính dữ liệu cá nhân của người dùng là hàng hóa. Việc sử dụng web lậu không chỉ tiếp tay cho hành vi vi phạm bản quyền mà còn tự đặt mình vào tình thế mất an toàn về tài sản và danh dự. Hãy ưu tiên sử dụng các dịch vụ có bản quyền để được pháp luật bảo vệ tối đa.

Ngay sau khi Thủ tướng Chính phủ ban hành Công điện số 38/CĐ-TTg ngày 5/5/2026 “Về tập trung chỉ đạo thực hiện quyết liệt các giải pháp đấu tranh, ngăn chặn, xử lý hành vi xâm phạm quyền sở hữu trí tuệ”, Bộ trưởng Bộ Công an cũng đã quyết liệt chỉ đạo các đơn vị, địa phương trên toàn quốc thực hiện đợt cao điểm đấu tranh, xử lý tội phạm và vi phạm pháp luật về sở hữu trí tuệ theo đúng phương châm chỉ đạo của Thủ tướng Chính phủ: “Hiểu rõ, nắm chắc và hành động quyết liệt”; “không có vùng cấm, không có ngoại lệ”.