Làn sóng tấn công phishing đang chuyển hướng sang một chiến thuật tinh vi hơn bao giờ hết. Bộ công cụ lừa đảo Tycoon2FA - một trong những phishing kit nguy hiểm nhất hiện nay - vừa được nâng cấp với khả năng thực hiện device-code phishing, đồng thời lạm dụng hệ thống theo dõi click của dịch vụ email Trustifi để chiếm quyền kiểm soát tài khoản Microsoft 365. Chúng tôi cho rằng đây là một bước tiến hóa đáng lo ngại trong cuộc chiến chống lại tội phạm mạng, đặc biệt khi phương thức này có thể vượt qua cả các biện pháp bảo mật hiện đại nhất.

Chiến thuật mới trong tay kẻ tấn công

Device-code phishing là phương thức tấn công tương đối mới, khác biệt hoàn toàn so với phishing truyền thống. Thay vì yêu cầu nạn nhân nhập thông tin đăng nhập trực tiếp vào trang web giả mạo, kỹ thuật này lợi dụng tính năng đăng nhập thiết bị (device authentication flow) của Microsoft. Hacker sẽ khởi tạo một phiên đăng nhập và tạo ra mã thiết bị, sau đó lừa nạn nhân nhập mã này vào trang đăng nhập chính thức của Microsoft.

Điều đáng lo ngại là Tycoon2FA còn kết hợp với việc lạm dụng Trustifi - một dịch vụ email marketing hợp pháp cho phép theo dõi việc click vào các liên kết trong email. Bằng cách sử dụng URL tracking của Trustifi, các email lừa đảo trở nên đáng tin cậy hơn, vượt qua được nhiều bộ lọc spam và tường lửa email. Chúng tôi đánh giá đây là sự kết hợp "hoàn hảo" giữa kỹ thuật mới và công cụ hợp pháp để tạo ra một vũ khí tấn công cực kỳ hiệu quả.

Giải mã cơ chế hoạt động phức tạp

Cơ chế hoạt động của cuộc tấn công này diễn ra theo chuỗi các bước được tính toán kỹ lưỡng. Đầu tiên, hacker sử dụng Tycoon2FA để tạo ra email lừa đảo có chứa liên kết Trustifi hợp pháp. Khi nạn nhân click vào liên kết, họ sẽ được chuyển hướng đến trang web do kẻ tấn công kiểm soát, nơi hiển thị một mã thiết bị 8 ký tự cùng với hướng dẫn "xác thực thiết bị mới".

Điểm tinh vi ở đây là nạn nhân sẽ được yêu cầu truy cập vào trang microsoft.com/devicelogin - một URL hoàn toàn chính thức của Microsoft - và nhập mã thiết bị vừa nhận được. Trong khi nạn nhân thực hiện thao tác này, hacker đã âm thầm khởi tạo phiên đăng nhập từ thiết bị của mình với cùng mã đó. Ngay khi nạn nhân hoàn tất xác thực trên trang chính thức của Microsoft, quyền truy cập tài khoản sẽ được chuyển giao cho kẻ tấn công mà không cần phá vỡ bất kỳ hệ thống bảo mật nào.

Mức độ tàn phá không thể xem thường

Tác động của cuộc tấn công này vượt xa những gì chúng ta từng thấy với phishing truyền thống. Một khi kiểm soát được tài khoản Microsoft 365, hacker có thể truy cập vào toàn bộ hệ sinh thái dữ liệu doanh nghiệp: email, tài liệu OneDrive, SharePoint, Microsoft Teams, và thậm chí các ứng dụng tích hợp khác. Theo thống kê từ Microsoft, hơn 345 triệu người dùng trên toàn cầu đang sử dụng Microsoft 365, trong đó có khoảng 2,8 triệu tài khoản tại Việt Nam.

Chúng tôi đặc biệt lo ngại về khả năng lan truyền ngang (lateral movement) của cuộc tấn công này trong môi trường doanh nghiệp Việt Nam. Khi một tài khoản bị xâm phạm, hacker có thể sử dụng nó để gửi email lừa đảo nội bộ đến các đồng nghiệp, tạo ra hiệu ứng domino khó kiểm soát. Những doanh nghiệp nhỏ và vừa tại Việt Nam, vốn chưa đầu tư mạnh vào an ninh mạng, sẽ là mục tiêu dễ dàng nhất cho loại tấn công này.

Khuyến nghị bảo vệ khẩn cấp

Trước mối đe dọa này, các doanh nghiệp Việt Nam cần triển khai ngay các biện pháp bảo vệ cụ thể. Đầu tiên, bật tính năng Conditional Access trong Microsoft 365 để hạn chế đăng nhập từ các thiết bị và vị trí địa lý không xác định. Tiếp theo, triển khai chính sách Zero Trust, yêu cầu xác thực lại cho mọi hoạt động nhạy cảm ngay cả khi đã đăng nhập thành công.

Quan trọng không kém, các IT manager cần vô hiệu hóa hoặc hạn chế tính năng device code authentication nếu doanh nghiệp không thực sự cần thiết. Đồng thời, triển khai giải pháp email security gateway để phát hiện và chặn các URL tracking bất thường, kể cả từ những dịch vụ hợp pháp như Trustifi. Cuối cùng, tổ chức đào tạo nhận thức an ninh mạng định kỳ, giúp nhân viên nhận biết các dấu hiệu của device-code phishing - một kỹ thuật mà nhiều người vẫn chưa quen thuộc.