Bạn có tin được rằng một email "báo cáo hành vi" có thể khiến cả tổ chức của bạn bị xâm nhập hoàn toàn không? Microsoft vừa đưa ra cảnh báo khẩn cấp về một chiến dịch phishing cực kỳ tinh vi đang nhắm vào các tổ chức tại Mỹ. Điều đáng lo ngại nhất là kẻ tấn công đã sử dụng công nghệ Adversary-in-the-Middle (AitM) - kỹ thuật "người trong cuộc" để vượt qua cả những hệ thống bảo mật hiện đại nhất. Chúng tôi cho rằng đây có thể là dấu hiệu của một làn sóng tấn công mới sắp lan rộng khắp thế giới.

Khi email 'vô hại' trở thành cửa ngõ tội phạm

Chiến dịch lừa đảo này bắt đầu bằng những email có vẻ hoàn toàn bình thường, thậm chí mang tính "chính thức" cao. Thay vì những chiêu trò cũ như giả mạo ngân hàng hay khuyến mãi, tin tặc lần này chọn cách tiếp cận tâm lý bằng email tuyên bố chứa "báo cáo hành vi" (conduct report). Đây là loại thông tin mà hầu hết nhân viên, đặc biệt là cấp quản lý, sẽ muốn kiểm tra ngay lập tức.

Điều khiến chiến dịch này trở nên đặc biệt nguy hiểm là mức độ tinh vi trong việc giả mạo. Các email không chỉ có giao diện giống hệt thông báo chính thức mà còn được gửi vào những thời điểm "nhạy cảm" trong chu kỳ làm việc của tổ chức. Theo đánh giá của chúng tôi, tin tặc đã nghiên cứu kỹ lưỡng về văn hóa doanh nghiệp Mỹ để tạo ra những "mồi nhử" khó có thể bỏ qua.

Công nghệ AitM: Vũ khí bí mật phá tan mọi lớp phòng thủ

Adversary-in-the-Middle (AitM) hay "kẻ tấn công ở giữa" là kỹ thuật mà tin tặc đặt mình vào vị trí trung gian giữa nạn nhân và dịch vụ thực. Khi nạn nhân nhấp vào liên kết trong email, họ được chuyển đến một website giả mạo Microsoft hoàn hảo đến từng pixel. Trang web này không chỉ sao chép giao diện mà còn hoạt động như một "proxy thông minh" - chuyển tiếp mọi thao tác của người dùng đến server Microsoft thật.

Điểm đáng sợ nhất của AitM là khả năng vượt qua xác thực đa yếu tố (MFA - Multi-Factor Authentication). Ngay cả khi bạn nhập đúng mật khẩu và mã OTP từ điện thoại, tin tặc vẫn có thể lấy được session token - "chìa khóa vàng" để truy cập tài khoản mà không cần thông tin đăng nhập. Chúng tôi từng chứng kiến nhiều tổ chức tự tin với hệ thống MFA "bất khả xâm phạm" nhưng vẫn bị thất thủ trước kỹ thuật này.

Tác động domino: Từ một email đến thảm họa toàn tổ chức

Khi tin tặc chiếm được quyền truy cập, họ không dừng lại ở việc đọc email hay đánh cắp tài liệu. Thay vào đó, họ sử dụng tài khoản bị xâm nhập như một "căn cứ" để leo thang đặc quyền (privilege escalation) và di chuyển ngang (lateral movement) trong hệ thống mạng nội bộ. Một nhân viên IT bị nhiễm có thể dẫn đến toàn bộ hạ tầng công nghệ bị kiểm soát. Một giám đốc tài chính bị lừa có thể mở đường cho vụ chuyển tiền gian lận hàng triệu USD.

Theo thống kê của các chuyên gia bảo mật quốc tế, tỷ lệ thành công của các cuộc tấn công phishing sử dụng AitM đã tăng 300% trong năm 2024. Tại Việt Nam, Cục An toàn thông tin (Bộ TT&TT) cũng ghi nhận số vụ tấn công có sử dụng kỹ thuật tương tự tăng mạnh, đặc biệt nhắm vào các ngân hàng và doanh nghiệp lớn.

Chiến lược phòng thủ tầng sâu: Bảo vệ tổ chức khỏi 'bàn tay ma'

Đầu tiên, các tổ chức cần triển khai ngay hệ thống phát hiện bất thường đăng nhập (anomaly detection). Hệ thống này sẽ cảnh báo khi có đăng nhập từ địa điểm lạ, thiết bị mới hoặc vào thời gian bất thường. Đồng thời, hãy cấu hình Conditional Access Policy để hạn chế truy cập từ các quốc gia hoặc mạng không đáng tin cậy. Việc sử dụng hardware security key thay vì SMS OTP cũng giúp giảm đáng kể rủi ro từ AitM.

Quan trọng không kém là đào tạo nhận thức an ninh mạng cho toàn bộ nhân viên. Chúng tôi khuyến nghị tổ chức các buổi diễn tập phishing định kỳ, đặc biệt mô phỏng những kịch bản "báo cáo hành vi" như trong chiến dịch này. Nhân viên cần được hướng dẫn cách xác minh email bằng cách liên hệ trực tiếp người gửi qua kênh khác, kiểm tra URL cẩn thận và báo cáo ngay khi nghi ngờ. Hãy nhớ rằng, con người vẫn là khâu yếu nhất trong chuỗi bảo mật, nhưng cũng có thể trở thành lá chắn mạnh nhất khi được trang bị kiến thức đầy đủ.