MinhSec
Writer
Một hình thức tấn công mạng đang gia tăng nhanh chóng khi nhiều nhóm tội phạm mạng lợi dụng quy trình xác thực thiết bị OAuth 2.0 của Microsoft để lừa người dùng cấp quyền truy cập vào tài khoản Microsoft 365 (M365).
Theo các nhà nghiên cứu bảo mật của Proofpoint, kể từ tháng 9, các chiến dịch lừa đảo bằng mã thiết bị (device code phishing) đã xuất hiện với tần suất bất thường. Thay vì đánh cắp mật khẩu theo cách truyền thống, kẻ tấn công dụ nạn nhân đăng nhập hợp pháp vào hệ thống xác thực của Microsoft, từ đó vô tình cấp quyền truy cập cho ứng dụng do tin tặc kiểm soát.
Khi thành công, các cuộc tấn công này có thể dẫn đến việc chiếm đoạt tài khoản M365, truy cập email, OneDrive, Teams và đánh cắp dữ liệu nội bộ của tổ chức.
Thay vì dẫn người dùng đến trang đăng nhập giả mạo, kẻ tấn công tận dụng chính cổng xác thực quen thuộc của Microsoft. Nạn nhân thường nhận được email, tin nhắn hoặc thông báo có chứa liên kết hoặc mã QR. Khi nhấp vào, họ được dẫn đến quy trình xác thực thiết bị OAuth hợp pháp và nhận một mã.
Tin tặc sẽ hướng dẫn người dùng nhập mã này với lý do “xác minh bảo mật”, “xác thực tài khoản” hoặc “gia hạn phiên đăng nhập”. Khi mã được nhập thành công, Microsoft sẽ cấp một mã thông báo hợp lệ, cho phép ứng dụng do kẻ tấn công kiểm soát truy cập vào tài khoản M365 mà không cần mật khẩu.
Theo các chuyên gia, phương thức này đặc biệt nguy hiểm vì người dùng không nhập thông tin đăng nhập vào trang giả, khiến cả người dùng lẫn nhiều hệ thống bảo mật khó nhận ra đây là một cuộc tấn công.
Hai bộ công cụ thường được sử dụng là SquarePhish và Graphish. SquarePhish lợi dụng mã QR để dẫn nạn nhân đến các trang trung gian, từ đó khởi động quy trình cấp quyền OAuth. Trong khi đó, Graphish cho phép tạo các trang lừa đảo có độ thuyết phục cao, đăng ký ứng dụng Azure độc hại và triển khai các hình thức tấn công trung gian hoặc lừa đảo dựa trên OAuth.
Trong một số chiến dịch được ghi nhận, tin tặc giả mạo thông báo chia sẻ tài liệu, báo cáo nội bộ hoặc thông tin lương thưởng để dụ người dùng nhấp vào liên kết. Khi nạn nhân nhập email và hoàn tất xác thực bằng mã thiết bị, quyền truy cập tài khoản M365 sẽ bị chiếm đoạt ngay lập tức.
Các chuyên gia cảnh báo rằng khi các hình thức xác thực không mật khẩu ngày càng phổ biến, những cuộc tấn công dựa trên OAuth và mã thiết bị sẽ tiếp tục gia tăng. Do đó, người dùng và tổ chức cần đặc biệt thận trọng với mọi yêu cầu xác thực, kể cả khi chúng xuất phát từ các nền tảng quen thuộc như Microsoft.
Theo các nhà nghiên cứu bảo mật của Proofpoint, kể từ tháng 9, các chiến dịch lừa đảo bằng mã thiết bị (device code phishing) đã xuất hiện với tần suất bất thường. Thay vì đánh cắp mật khẩu theo cách truyền thống, kẻ tấn công dụ nạn nhân đăng nhập hợp pháp vào hệ thống xác thực của Microsoft, từ đó vô tình cấp quyền truy cập cho ứng dụng do tin tặc kiểm soát.
Khi thành công, các cuộc tấn công này có thể dẫn đến việc chiếm đoạt tài khoản M365, truy cập email, OneDrive, Teams và đánh cắp dữ liệu nội bộ của tổ chức.
Lừa đảo mã thiết bị: khó phát hiện hơn các chiêu trò truyền thống
Lừa đảo mã thiết bị không phải là kỹ thuật mới, nhưng việc nó được sử dụng rộng rãi trong thời gian gần đây cho thấy tin tặc đang chuyển hướng sang những phương thức tinh vi hơn để vượt qua các biện pháp bảo mật hiện có.Thay vì dẫn người dùng đến trang đăng nhập giả mạo, kẻ tấn công tận dụng chính cổng xác thực quen thuộc của Microsoft. Nạn nhân thường nhận được email, tin nhắn hoặc thông báo có chứa liên kết hoặc mã QR. Khi nhấp vào, họ được dẫn đến quy trình xác thực thiết bị OAuth hợp pháp và nhận một mã.
Tin tặc sẽ hướng dẫn người dùng nhập mã này với lý do “xác minh bảo mật”, “xác thực tài khoản” hoặc “gia hạn phiên đăng nhập”. Khi mã được nhập thành công, Microsoft sẽ cấp một mã thông báo hợp lệ, cho phép ứng dụng do kẻ tấn công kiểm soát truy cập vào tài khoản M365 mà không cần mật khẩu.
Theo các chuyên gia, phương thức này đặc biệt nguy hiểm vì người dùng không nhập thông tin đăng nhập vào trang giả, khiến cả người dùng lẫn nhiều hệ thống bảo mật khó nhận ra đây là một cuộc tấn công.
QR code, SquarePhish và các bộ công cụ lừa đảo OAuth
Proofpoint cho biết nhiều chiến dịch gần đây bắt đầu bằng các thông điệp có chứa URL được ẩn sau nút bấm, văn bản liên kết hoặc mã QR. Chuỗi tấn công được kích hoạt ngay khi người dùng truy cập liên kết, dẫn đến quy trình xác thực thiết bị OAuth của Microsoft.Hai bộ công cụ thường được sử dụng là SquarePhish và Graphish. SquarePhish lợi dụng mã QR để dẫn nạn nhân đến các trang trung gian, từ đó khởi động quy trình cấp quyền OAuth. Trong khi đó, Graphish cho phép tạo các trang lừa đảo có độ thuyết phục cao, đăng ký ứng dụng Azure độc hại và triển khai các hình thức tấn công trung gian hoặc lừa đảo dựa trên OAuth.
Trong một số chiến dịch được ghi nhận, tin tặc giả mạo thông báo chia sẻ tài liệu, báo cáo nội bộ hoặc thông tin lương thưởng để dụ người dùng nhấp vào liên kết. Khi nạn nhân nhập email và hoàn tất xác thực bằng mã thiết bị, quyền truy cập tài khoản M365 sẽ bị chiếm đoạt ngay lập tức.
Các chuyên gia cảnh báo rằng khi các hình thức xác thực không mật khẩu ngày càng phổ biến, những cuộc tấn công dựa trên OAuth và mã thiết bị sẽ tiếp tục gia tăng. Do đó, người dùng và tổ chức cần đặc biệt thận trọng với mọi yêu cầu xác thực, kể cả khi chúng xuất phát từ các nền tảng quen thuộc như Microsoft.
Nguồn: securityboulevard
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối bởi điều hành viên: