340 tổ chức Microsoft 365 bị xâm nhập chỉ trong 5 tuần - con số này khiến cộng đồng an ninh mạng toàn cầu phải giật mình. Thủ phạm là EvilTokens, một nền tảng Phishing-as-a-Service (PhaaS - dịch vụ lừa đảo) ra mắt vào tháng 2/2026, sử dụng kỹ thuật OAuth consent để vượt qua cả hệ thống xác thực đa yếu tố MFA. Nạn nhân chỉ cần nhập một mã ngắn tại microsoft.com/devicelogin và hoàn thành quy trình MFA thông thường, không hề biết mình đã trao toàn bộ quyền truy cập tài khoản cho kẻ tấn công. Đây có thể là một trong những chiến dịch tấn công OAuth consent phức tạp và nguy hiểm nhất từ trước đến nay.

Khi Device Code Flow trở thành vũ khí của hacker

EvilTokens khai thác Device Code Flow - một tính năng hợp lệ của Microsoft dành cho các thiết bị không có bàn phím hoặc trình duyệt web đầy đủ. Quy trình này cho phép người dùng xác thực trên một thiết bị khác bằng cách nhập mã 8 ký tự tại trang microsoft.com/devicelogin. Chúng tôi cho rằng đây chính là điểm mù trong hệ thống bảo mật, khi người dùng tin tưởng tuyệt đối vào tên miền chính thức của Microsoft.

Nền tảng PhaaS này hoạt động theo mô hình cho thuê dịch vụ, cho phép kẻ tấn công không có kỹ năng kỹ thuật cao vẫn có thể thực hiện các cuộc tấn công phức tạp. Sau khi nạn nhân hoàn thành quy trình xác thực, EvilTokens sẽ thu thập OAuth token và cấp quyền truy cập đầy đủ vào tài khoản Microsoft 365, bao gồm email, tài liệu OneDrive và các ứng dụng Office khác. Đặc biệt nguy hiểm, toàn bộ quá trình này diễn ra mà không kích hoạt cảnh báo bảo mật nào.

Cuộc tấn công vượt rào cản MFA "bất khả xâm phạm"

MFA (Multi-Factor Authentication - xác thực đa yếu tố) từ lâu được coi là tấm khiên cuối cùng bảo vệ tài khoản người dùng. Tuy nhiên, EvilTokens đã chứng minh rằng ngay cả MFA cũng có thể bị vượt qua một cách tinh vi. Thay vì cố gắng phá vỡ hệ thống bảo mật, kẻ tấn công đã "thuyết phục" người dùng tự tay trao quyền truy cập thông qua OAuth consent flow.

OAuth consent là cơ chế cho phép ứng dụng bên thứ ba truy cập dữ liệu người dùng sau khi được ủy quyền. Trong trường hợp này, người dùng vô tình cấp quyền cho một ứng dụng độc hại mà họ tưởng là quy trình xác thực bình thường. Chúng tôi đánh giá đây là bước tiến nguy hiểm trong lĩnh vực tấn công mạng, khi hacker không còn cần phá vỡ hệ thống mà chỉ cần lợi dụng lòng tin của con người.

Quy mô thiệt hại lan rộng 5 quốc gia

Trong vòng chưa đầy 6 tuần hoạt động, EvilTokens đã để lại dấu vết tại hơn 340 tổ chức trên 5 quốc gia. Con số này có thể còn cao hơn nhiều do không phải tất cả các vụ tấn công đều được phát hiện và báo cáo. Các tổ chức bị ảnh hưởng chủ yếu là doanh nghiệp vừa và nhỏ, nơi hệ thống giám sát bảo mật chưa được đầu tư mạnh mẽ.

Tại Việt Nam, mặc dù chưa có thống kê cụ thể về thiệt hại từ EvilTokens, nhưng theo báo cáo của Cục An toàn thông tin, số vụ tấn công phishing nhắm vào tài khoản Microsoft 365 tại nước ta đã tăng 180% trong năm 2024. Điều này cho thấy các tổ chức Việt Nam cũng đang trong tầm ngắm của các nền tảng tấn công tương tự.

Làm thế nào để không trở thành nạn nhân tiếp theo

Để bảo vệ khỏi loại tấn công này, các tổ chức cần triển khai ngay các biện pháp sau. Đầu tiên, triển khai Azure AD Conditional Access để hạn chế Device Code Flow chỉ cho các thiết bị và địa chỉ IP đáng tin cậy. Tiếp theo, kích hoạt tính năng giám sát OAuth consent trong Microsoft 365 Admin Center để phát hiện các ứng dụng bất thường được cấp quyền. Cuối cùng, thiết lập cảnh báo tự động khi có OAuth token mới được tạo từ địa chỉ IP lạ.

Đối với người dùng cá nhân, chúng tôi khuyến cáo luôn kiểm tra kỹ thông tin ứng dụng trước khi cấp quyền OAuth, đặc biệt chú ý đến tên nhà phát triển và các quyền được yêu cầu. Nếu nhận được yêu cầu nhập mã xác thực mà không rõ nguồn gốc, hãy liên hệ ngay với bộ phận IT để xác minh. Thường xuyên kiểm tra danh sách ứng dụng đã được cấp quyền tại account.microsoft.com và thu hồi quyền truy cập của các ứng dụng không cần thiết hoặc đáng ngờ.