Chỉ trong 72 giờ, hơn 35.000 người dùng tại 26 quốc gia đã trở thành nạn nhân của một chiến dịch lừa đảo tinh vi nhất từng được Microsoft ghi nhận. Con số này không chỉ gây sốc về quy mô mà còn cho thấy tốc độ lan truyền đáng báo động của các cuộc tấn công credential theft (đánh cắp thông tin đăng nhập) hiện đại. Từ ngày 14 đến 16 tháng 4 năm 2026, tin tặc đã thành công xâm nhập vào hơn 13.000 tổ chức trên toàn cầu bằng thủ đoạn kết hợp giữa nội dung giả mạo về quy tắc ứng xử và dịch vụ email hợp pháp.

Kịch bản lừa đảo đa tầng đánh lừa cả chuyên gia

Chiến dịch này không phải là những email lừa đảo thô thiển mà chúng ta thường thấy. Tin tặc đã sử dụng chủ đề "code of conduct" (quy tắc ứng xử) - một chủ đề vô cùng nhạy cảm và quan trọng trong môi trường doanh nghiệp hiện tại. Điều đáng lo ngại là họ đã lợi dụng các dịch vụ email hợp pháp để tăng độ tin cậy, khiến ngay cả những người dùng có kinh nghiệm cũng dễ dàng sập bẫy.

Theo phân tích của Microsoft, đây là một cuộc tấn công multi-stage (đa giai đoạn) được thiết kế cực kỳ tinh vi. Thay vì dẫn trực tiếp đến trang web độc hại, kẻ tấn công đã tạo ra một chuỗi chuyển hướng phức tạp qua nhiều domain hợp pháp trước khi đưa nạn nhân đến những trang web do họ kiểm soát. Chúng tôi cho rằng đây là bước tiến đáng lo ngại trong việc nâng cao độ tinh vi của các cuộc tấn công phishing.

Công nghệ đánh cắp token - vũ khí mới của tin tặc

Điểm đặc biệt nguy hiểm của chiến dịch này nằm ở mục tiêu cuối cùng: đánh cắp authentication tokens (mã thông báo xác thực). Khác với việc chỉ thu thập username và password truyền thống, authentication tokens là những "chìa khóa số" cho phép truy cập trực tiếp vào tài khoản mà không cần thông qua bước xác thực hai yếu tố (2FA). Khi tin tặc có được token, họ có thể mạo danh hoàn toàn người dùng hợp pháp.

Kỹ thuật này đặc biệt hiệu quả vì nhiều người dùng tin rằng việc bật 2FA đã đủ an toàn. Tuy nhiên, nếu token bị đánh cắp, toàn bộ hệ thống bảo mật sẽ trở nên vô dụng. Microsoft cho biết những domain do kẻ tấn công kiểm soát đã được thiết kế để bắt chước hoàn hảo giao diện đăng nhập chính thức, đồng thời sử dụng JavaScript để thu thập và chuyển tokens về server của chúng.

Tác động toàn cầu và những con số đáng báo động

Với hơn 35.000 nạn nhân thuộc 13.000 tổ chức tại 26 quốc gia, đây được coi là một trong những chiến dịch credential theft lớn nhất trong năm 2026. Theo đánh giá của chúng tôi, thiệt hại không chỉ dừng lại ở việc mất quyền truy cập tài khoản mà còn có thể dẫn đến rò rỉ dữ liệu nhạy cảm của doanh nghiệp. Mỗi token bị đánh cắp có thể mở ra cánh cửa cho những cuộc tấn công sâu hơn vào hệ thống nội bộ.

Đặc biệt đáng lo ngại là tốc độ lan truyền chỉ trong 3 ngày. Con số này cho thấy tin tặc đã có sự chuẩn bị kỹ lưỡng và hệ thống tự động hóa mạnh mẽ. Tại Việt Nam, mặc dù chưa có thống kê cụ thể về số lượng nạn nhân, nhưng với việc nhiều doanh nghiệp Việt sử dụng các dịch vụ Microsoft, rủi ro bị ảnh hưởng là hoàn toàn có thể.

Hành động ngay lập tức để bảo vệ bản thân

Người dùng và doanh nghiệp Việt Nam cần thực hiện ngay các bước sau để phòng chống. Đầu tiên, kiểm tra tất cả email nhận được có nội dung liên quan đến quy tắc ứng xử hoặc chính sách công ty trong khoảng thời gian từ giữa tháng 4 đến nay. Tuyệt đối không click vào bất kỳ link nào trong email đáng ngờ, thay vào đó hãy truy cập trực tiếp website chính thức.

Thứ hai, thay đổi ngay mật khẩu tất cả tài khoản quan trọng, đặc biệt là email doanh nghiệp và các dịch vụ Microsoft 365. Đăng xuất khỏi tất cả thiết bị và phiên làm việc, sau đó đăng nhập lại để vô hiệu hóa các token cũ có thể đã bị đánh cắp. Chúng tôi khuyến nghị các doanh nghiệp nên triển khai ngay giải pháp giám sát bất thường đăng nhập và thiết lập cảnh báo khi có truy cập từ vị trí địa lý lạ.