Bạn có từng nhận được tin nhắn từ "nhân viên IT" qua Microsoft Teams yêu cầu hỗ trợ khắc phục sự cố không? Hãy cực kỳ cảnh giác vì đây có thể là chiêu trò mới nhất của tin tặc để xâm nhập hệ thống máy tính. Nhóm hacker UNC6692 vừa được phát hiện đang sử dụng kỹ thuật social engineering (tấn công mạng xã hội) cực kỳ tinh vi qua nền tảng này. Thay vì tấn công trực tiếp, chúng lựa chọn khai thác yếu tố con người - khâu yếu nhất trong chuỗi bảo mật.

Màn kịch giả danh IT helpdesk tinh vi đến mức nào?

Theo nghiên cứu mới nhất, UNC6692 đã phát triển một quy trình tấn công có hệ thống và cực kỳ thuyết phục. Bước đầu tiên, chúng tạo ra những tài khoản Microsoft Teams giả mạo, mang tên và avatar giống hệt nhân viên IT thực sự trong công ty mục tiêu. Sau đó, chúng gửi lời mời trò chuyện đến các nhân viên với lý do "hỗ trợ khắc phục sự cố kỹ thuật khẩn cấp".

Điều đáng lo ngại nhất là cách chúng xây dựng kịch bản trò chuyện. UNC6692 sử dụng ngôn ngữ chuyên nghiệp, thuật ngữ kỹ thuật chính xác và thậm chí biết rõ thông tin nội bộ của công ty để tăng độ tin cậy. Chúng tôi nhận thấy đây là bước tiến lớn so với những email lừa đảo thô thiển trước đây. Khi nạn nhân đã tin tưởng, hacker sẽ hướng dẫn họ tải và cài đặt phần mềm "khắc phục sự cố" - thực chất là malware SNOW.

Malware SNOW - vũ khí bí mật trong tay tin tặc

SNOW không phải là một phần mềm độc hại thông thường mà là cả một bộ công cụ tấn công (malware suite) được thiết kế riêng cho chiến dịch này. Sau khi được cài đặt, nó hoạt động âm thầm trong nền hệ thống, thu thập mọi thông tin nhạy cảm từ máy tính nạn nhân. Điều đặc biệt nguy hiểm là SNOW có khả năng tự lan truyền sang các thiết bị khác trong cùng mạng nội bộ công ty.

Chúng tôi phân tích mã độc này và phát hiện ra những tính năng đáng sợ: đánh cắp mật khẩu, chụp màn hình bí mật, ghi âm âm thanh, và thậm chí kiểm soát từ xa toàn bộ máy tính. Theo bối cảnh an ninh mạng toàn cầu, đây là xu hướng tấn công mới đang thay thế phương pháp truyền thống qua email. Các nhóm APT (Advanced Persistent Threat) ngày càng chuyển hướng sang khai thác các nền tảng làm việc từ xa như Teams, Slack, Zoom vì chúng ít bị nghi ngờ hơn.

Tác động tàn phá đến doanh nghiệp và cá nhân

Việt Nam đang là một trong những thị trường có tốc độ số hóa nhanh nhất khu vực, với hàng triệu doanh nghiệp chuyển đổi sang làm việc từ xa. Microsoft Teams được sử dụng rộng rãi tại các tập đoàn lớn, ngân hàng, và cơ quan chính phủ. Nếu UNC6692 nhắm vào thị trường Việt Nam, hậu quả có thể vô cùng nghiêm trọng.

Theo thống kê của Cục An toàn thông tin (Bộ TT&TT), năm 2023 có hơn 15.000 vụ tấn công mạng nhắm vào doanh nghiệp Việt Nam, tăng 25% so với năm trước. Trong đó, tấn công social engineering chiếm tỷ lệ ngày càng cao. Một khi bị nhiễm SNOW malware, doanh nghiệp có thể mất toàn bộ dữ liệu khách hàng, bí mật kinh doanh và thậm chí bị tống tiền.

Làm thế nào để bảo vệ mình khỏi chiêu trò lừa đảo này?

Đầu tiên, tuyệt đối không chấp nhận lời mời trò chuyện từ những tài khoản lạ trên Microsoft Teams, dù họ tự xưng là nhân viên IT. Hãy liên hệ trực tiếp với bộ phận IT qua điện thoại hoặc gặp mặt để xác minh. Thứ hai, không bao giờ tải và cài đặt phần mềm từ đường link mà người lạ gửi, kể cả khi họ có vẻ rất chuyên nghiệp.

Chúng tôi khuyến nghị các doanh nghiệp Việt Nam cần thiết lập chính sách bảo mật rõ ràng: nhân viên IT chính thức không bao giờ yêu cầu cài đặt phần mềm qua Teams mà phải thông qua hệ thống quản lý tập trung. Bên cạnh đó, hãy bật tính năng xác thực hai yếu tố (2FA) cho tất cả tài khoản Microsoft 365, thường xuyên cập nhật phần mềm diệt virus và tổ chức đào tạo nhận biết social engineering cho toàn bộ nhân viên. Đừng để lòng tin thành con dao hai lưỡi trong thời đại số!