Bạn có tin rằng ngay cả những chuyên gia IT dày dạn kinh nghiệm cũng có thể bị lừa bởi một cuộc gọi video đơn giản trên Microsoft Teams? Microsoft vừa phát đi cảnh báo khẩn cấp về xu hướng tấn công mới đang làm đau đầu các doanh nghiệp toàn cầu. Tin tặc không còn cần những công cụ phức tạp mà chỉ cần "hoá trang" thành nhân viên hỗ trợ kỹ thuật (helpdesk) qua nền tảng Teams để đánh cắp thông tin nhạy cảm. Điều đáng ngại là họ đang thành công một cách đáng kinh ngạc.

Khi kẻ thù đã len lỏi vào "nhà"

Theo báo cáo từ Microsoft Threat Intelligence, các threat actor (kẻ tấn công mạng) đã tìm ra cách khai thác tính năng External Access của Microsoft Teams - cho phép người dùng bên ngoài tham gia cuộc họp và trò chuyện. Thay vì tấn công trực diện, chúng chọn con đường tinh vi hơn: mạo danh nhân viên helpdesk của chính công ty nạn nhân hoặc các đối tác tin cậy để liên lạc với nhân viên qua Teams.

Chúng tôi cho rằng đây là bước tiến nguy hiểm trong chiến thuật social engineering (kỹ thuật thao túng tâm lý). Thay vì phải tạo email giả mạo phức tạp, tin tặc giờ đây chỉ cần tạo tài khoản Teams với tên và avatar giống hệt nhân viên IT thật. Khi xuất hiện trên danh sách liên lạc với logo công ty quen thuộc, rất ít ai nghi ngờ tính xác thực của cuộc trò chuyện này.

Công nghệ hợp pháp trở thành vũ khí tấn công

Điều đáng chú ý trong báo cáo là tin tặc đã chuyển sang sử dụng hoàn toàn các Living off the Land Binaries (LOLBins) - những công cụ và ứng dụng có sẵn hợp pháp trong hệ thống Windows thay vì malware (mã độc) truyền thống. Chúng khai thác PowerShell, Windows Management Instrumentation (WMI) và Remote Desktop Protocol (RDP) để di chuyển bên trong mạng doanh nghiệp sau khi đã có được quyền truy cập ban đầu.

Kỹ thuật này cực kỳ nguy hiểm vì hầu hết các giải pháp antivirus (phần mềm diệt virus) không thể phát hiện được. PowerShell là công cụ quản trị hệ thống chính thức của Microsoft, WMI được sử dụng để theo dõi hệ thống, còn RDP là giao thức kết nối từ xa tiêu chuẩn. Khi tin tặc sử dụng chúng, hệ thống bảo mật sẽ coi đây là hoạt động bình thường của quản trị viên.

Chuỗi tấn công khiến chuyên gia "ngã ngửa"

Quá trình tấn công diễn ra như một vở kịch được đạo diễn công phu. Tin tặc khởi đầu bằng cách gửi tin nhắn Teams đến nhân viên mục tiêu, giả vờ là helpdesk cần hỗ trợ khắc phục sự cố khẩn cấp. Để tăng tính thuyết phục, chúng thường đề cập đến các vấn đề kỹ thuật thật như "cập nhật bảo mật quan trọng" hoặc "sự cố đăng nhập tài khoản".

Một khi nạn nhân tin tưởng, tin tặc sẽ yêu cầu chia sẻ màn hình hoặc cung cấp thông tin đăng nhập "để kiểm tra". Bước tiếp theo là cài đặt các công cụ truy cập từ xa như AnyDesk, TeamViewer dưới danh nghĩa "hỗ trợ kỹ thuật". Từ đây, chúng có thể tự do di chuyển trong hệ thống, thu thập credentials (thông tin xác thực), và thực hiện lateral movement (di chuyển ngang) để chiếm quyền kiểm soát toàn bộ mạng doanh nghiệp.

Lá chắn bảo vệ cho doanh nghiệp Việt

Trước mối đe dọa này, các doanh nghiệp Việt Nam cần triển khai ngay các biện pháp phòng ngừa cụ thể. Đầu tiên, cấu hình Teams để chỉ cho phép liên lạc từ các domain (tên miền) đã được xác thực trước. Vào Teams Admin Center, mục External Access, chọn "Allow only specific external domains" và chỉ thêm các đối tác tin cậy.

Chúng tôi khuyến nghị mạnh mẽ việc triển khai Zero Trust model (mô hình Không Tin Tưởng) - xác thực tất cả yêu cầu truy cập dù đến từ bên trong hay bên ngoài tổ chức. Đồng thời, thiết lập chính sách không bao giờ chia sẻ thông tin đăng nhập qua bất kỳ kênh nào, kể cả khi được yêu cầu bởi "nhân viên IT". Cuối cùng, tổ chức đào tạo định kỳ về nhận biết social engineering cho toàn bộ nhân viên, vì con người vẫn là khâu yếu nhất trong chuỗi bảo mật.