Chiến dịch lừa đảo (phishing) mới đang khiến cộng đồng an ninh mạng dậy sóng khi kẻ tấn công khai thác chính các tính năng bảo mật liên kết (link wrapping) của các hãng công nghệ uy tín để che giấu các đường link độc hại. Nạn nhân cuối cùng là những người dùng Microsoft 365, bị dụ nhấn vào các thông báo giả mạo và cung cấp thông tin đăng nhập của mình cho tin tặc.
Phát hiện được công bố bởi nhóm nghiên cứu bảo mật email của Cloudflare, chiến dịch này là minh chứng rõ ràng cho việc ngay cả những công cụ bảo mật tưởng chừng an toàn cũng có thể bị lợi dụng nếu tin tặc đủ tinh vi.
Danh tính nhóm tấn công chưa được công bố cụ thể, nhưng hành vi cho thấy đây là một thực thể có tổ chức, am hiểu các hệ thống bảo mật doanh nghiệp, đặc biệt là hạ tầng Microsoft 365 và các dịch vụ bảo vệ email phổ biến.
Tin tặc đã khai thác tính năng link wrapping - một tính năng bảo mật phổ biến trong các hệ thống email bảo vệ doanh nghiệp như của Proofpoint và Intermedia. Tính năng này thường được dùng để tự động “bọc” các liên kết trong email bằng tên miền đáng tin cậy và quét trước khi cho người dùng truy cập, nhằm ngăn chặn truy cập vào trang độc hại.
Thế nhưng, trong chiến dịch này, tin tặc đã kiểm soát được các tài khoản email nằm trong hệ thống bảo vệ, và từ đó gửi đi các email giả mạo có đính kèm liên kết đã được "laundered" (rửa sạch), tức là nhìn như hợp lệ do qua các bộ lọc bảo mật, nhưng thực chất dẫn tới trang lừa đảo Microsoft 365.
Chiến thuật này của tin tặc gồm 3 bước:
Đây là một trong những chiến dịch lạm dụng tính năng bảo mật một cách nguy hiểm nhất gần đây:
1. Đừng bao giờ tin tưởng 100% vào link “có vẻ hợp lệ”
Các liên kết trong email, dù có dạng trusted như từ Proofpoint, Intermedia… vẫn có thể bị lạm dụng. Hãy kiểm tra kỹ chuỗi chuyển hướng hoặc mở link trong sandbox nếu nghi ngờ.
2. Cảnh giác với các email thông báo khẩn
Nếu nhận được các email về voicemail, tài liệu chia sẻ, hoặc “thông báo Teams mới” từ đồng nghiệp nhưng có cảm giác lạ – đừng vội nhấn link. Hãy xác minh lại bằng kênh khác.
3. Kiểm soát truy cập và phát hiện xâm nhập
Hệ thống doanh nghiệp cần triển khai các giải pháp phát hiện bất thường từ các tài khoản nội bộ, ví dụ: email gửi quá nhiều, gửi ngoài giờ, hoặc có hành vi lặp lại kỳ lạ.
4. Cập nhật cảnh báo cho nhân viên
Đào tạo người dùng nhận biết các kiểu tấn công mới, đặc biệt là những kiểu lợi dụng chính hệ thống bảo mật là bước quan trọng để giảm thiểu rủi ro.
5. Sử dụng xác thực hai yếu tố (2FA)
6. Cập nhật phần mềm và các công cụ bảo mật
Chiến dịch lừa đảo mới này cho thấy kẻ tấn công ngày càng tinh vi, không chỉ đơn thuần tạo email giả mạo mà còn khai thác các lớp bảo mật để biến tấn công trở nên “hợp pháp hóa” trong mắt nạn nhân. Đây là lời nhắc mạnh mẽ rằng: an toàn tuyệt đối không đến từ một công cụ duy nhất, mà là sự kết hợp giữa công nghệ, nhận thức và quy trình giám sát toàn diện.
Phát hiện được công bố bởi nhóm nghiên cứu bảo mật email của Cloudflare, chiến dịch này là minh chứng rõ ràng cho việc ngay cả những công cụ bảo mật tưởng chừng an toàn cũng có thể bị lợi dụng nếu tin tặc đủ tinh vi.
Danh tính nhóm tấn công chưa được công bố cụ thể, nhưng hành vi cho thấy đây là một thực thể có tổ chức, am hiểu các hệ thống bảo mật doanh nghiệp, đặc biệt là hạ tầng Microsoft 365 và các dịch vụ bảo vệ email phổ biến.
Tin tặc đã khai thác tính năng link wrapping - một tính năng bảo mật phổ biến trong các hệ thống email bảo vệ doanh nghiệp như của Proofpoint và Intermedia. Tính năng này thường được dùng để tự động “bọc” các liên kết trong email bằng tên miền đáng tin cậy và quét trước khi cho người dùng truy cập, nhằm ngăn chặn truy cập vào trang độc hại.
Chiến thuật này của tin tặc gồm 3 bước:
- Rút gọn liên kết độc hại bằng các dịch vụ rút gọn URL.
- Gửi từ một tài khoản email hợp lệ đã bị chiếm quyền, để liên kết đó được các hệ thống như Proofpoint hoặc Intermedia tự động “bọc” lại.
- Dẫn nạn nhân tới trang lừa đảo Microsoft 365 hoặc Constant Contact để đánh cắp thông tin đăng nhập.
- "Bạn có tin nhắn thoại mới"
- "Bạn vừa nhận được một tài liệu Microsoft Teams"
- "Xem tài liệu bảo mật từ Zix"
Đây là một trong những chiến dịch lạm dụng tính năng bảo mật một cách nguy hiểm nhất gần đây:
- Không cần tạo tên miền giả mạo, tin tặc dùng chính hạ tầng của các công ty bảo mật để “hợp pháp hóa” đường dẫn độc hại.
- Tài khoản bị xâm nhập có thể là email nội bộ, khiến nạn nhân mất cảnh giác vì thấy email đến từ nguồn đáng tin.
- Phạm vi ảnh hưởng tiềm tàng rất lớn: bất kỳ ai dùng Microsoft 365, Proofpoint, Intermedia hay Constant Contact đều có thể là mục tiêu.
1. Đừng bao giờ tin tưởng 100% vào link “có vẻ hợp lệ”
Các liên kết trong email, dù có dạng trusted như từ Proofpoint, Intermedia… vẫn có thể bị lạm dụng. Hãy kiểm tra kỹ chuỗi chuyển hướng hoặc mở link trong sandbox nếu nghi ngờ.
2. Cảnh giác với các email thông báo khẩn
Nếu nhận được các email về voicemail, tài liệu chia sẻ, hoặc “thông báo Teams mới” từ đồng nghiệp nhưng có cảm giác lạ – đừng vội nhấn link. Hãy xác minh lại bằng kênh khác.
3. Kiểm soát truy cập và phát hiện xâm nhập
Hệ thống doanh nghiệp cần triển khai các giải pháp phát hiện bất thường từ các tài khoản nội bộ, ví dụ: email gửi quá nhiều, gửi ngoài giờ, hoặc có hành vi lặp lại kỳ lạ.
4. Cập nhật cảnh báo cho nhân viên
Đào tạo người dùng nhận biết các kiểu tấn công mới, đặc biệt là những kiểu lợi dụng chính hệ thống bảo mật là bước quan trọng để giảm thiểu rủi ro.
5. Sử dụng xác thực hai yếu tố (2FA)
6. Cập nhật phần mềm và các công cụ bảo mật
Chiến dịch lừa đảo mới này cho thấy kẻ tấn công ngày càng tinh vi, không chỉ đơn thuần tạo email giả mạo mà còn khai thác các lớp bảo mật để biến tấn công trở nên “hợp pháp hóa” trong mắt nạn nhân. Đây là lời nhắc mạnh mẽ rằng: an toàn tuyệt đối không đến từ một công cụ duy nhất, mà là sự kết hợp giữa công nghệ, nhận thức và quy trình giám sát toàn diện.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview