Các nhóm tội phạm mạng chuyên tấn công phishing xác thực hai yếu tố (2FA) đang nhanh chóng thay đổi chiến thuật, chuyển sang sử dụng kỹ thuật phishing Device Code ngày càng tinh vi. Phương thức tấn công mới này đánh dấu sự tiến hóa đáng lo ngại trong cách thức các hacker vượt qua các biện pháp bảo mật hiện đại, đặc biệt là hệ thống xác thực đa yếu tố mà nhiều tổ chức đang tin tưởng sử dụng. Sự chuyển đổi này cho thấy khả năng thích ứng nhanh chóng của các nhóm tội phạm mạng trước những thay đổi trong hệ thống bảo mật.

Chi tiết sự việc

Nhóm hacker Tycoon nổi tiếng với các cuộc tấn công phishing 2FA quy mô lớn đã bắt đầu phân tán và áp dụng kỹ thuật phishing Device Code như một chiến lược mới. Thay vì tiếp tục sử dụng các phương thức truyền thống để đánh cắp mã xác thực hai yếu tố, các thành viên của nhóm này đang khai thác quy trình đăng nhập thiết bị mới hoàn toàn hợp pháp của các dịch vụ trực tuyến. Kỹ thuật này cho phép chúng đánh lừa nạn nhân một cách tinh vi hơn, khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn đáng kể.

Trong phương thức tấn công Device Code phishing, kẻ tấn công sẽ tạo ra các trang web giả mạo hoặc gửi email lừa đảo yêu cầu nạn nhân thực hiện quy trình "xác minh thiết bị mới". Quá trình này bắt chước chính xác các bước đăng nhập thiết bị mới mà các dịch vụ như Microsoft, Google hay các nền tảng đám mây khác thường yêu cầu. Nạn nhân sẽ được hướng dẫn nhập một mã device code đặc biệt, và trong quá trình này, họ vô tình cấp quyền truy cập tài khoản cho kẻ tấn công mà không hề hay biết.

Mức độ nghiêm trọng

Kỹ thuật phishing Device Code đặc biệt nguy hiểm bởi nó lợi dụng một quy trình bảo mật hoàn toàn hợp pháp và quen thuộc với người dùng. Điều này làm cho nạn nhân dễ dàng tin tưởng và thực hiện các bước được hướng dẫn, ngay cả những người có kinh nghiệm về an ninh mạng. Tác động của loại tấn công này có thể lan rộng đến hàng triệu tài khoản cá nhân và doanh nghiệp, đặc biệt là các tổ chức đang sử dụng các dịch vụ đám mây và nền tảng SaaS phổ biến.

Sự phân tán của nhóm Tycoon cũng tạo ra một thách thức mới cho các chuyên gia an ninh mạng trong việc theo dõi và ngăn chặn các hoạt động tội phạm. Thay vì tập trung vào một nhóm lớn, giờ đây các cơ quan chức năng và các tổ chức bảo mật phải đối phó với nhiều nhóm nhỏ hơn hoạt động độc lập, mỗi nhóm có thể áp dụng các biến thể khác nhau của kỹ thuật Device Code phishing. Điều này làm tăng đáng kể độ phức tạp trong việc phát hiện và ứng phó với các mối threats mới này.

Phân tích kỹ thuật

Device Code phishing hoạt động dựa trên OAuth Device Authorization Grant flow, một cơ chế được thiết kế để cho phép các thiết bị không có trình duyệt web hoặc khả năng nhập liệu hạn chế có thể xác thực với các dịch vụ trực tuyến. Trong quy trình bình thường, thiết bị sẽ tạo ra một device code và hiển thị cho người dùng, sau đó người dùng truy cập vào một URL đặc biệt trên thiết bị khác có trình duyệt để nhập mã này và hoàn tất quá trình xác thực. Kẻ tấn công lợi dụng chính xác quy trình này bằng cách tự tạo ra device code và lừa nạn nhân thực hiện các bước xác thực thay cho chúng.

Điểm tinh vi của kỹ thuật này là nó không yêu cầu kẻ tấn công phải tạo ra các trang web phishing phức tạp hay đánh cắp thông tin đăng nhập truyền thống. Thay vào đó, chúng chỉ cần hướng dẫn nạn nhân truy cập vào các trang web chính thức của dịch vụ và thực hiện quy trình xác thực device code hoàn toàn hợp pháp. Điều này khiến cho các hệ thống phát hiện phishing truyền thống trở nên kém hiệu quả, vì toàn bộ quá trình diễn ra trên các domain chính thức và sử dụng các giao thức bảo mật chuẩn.

Khuyến nghị bảo mật

Để bảo vệ mình khỏi các cuộc tấn công Device Code phishing, người dùng cần đặc biệt cảnh giác với bất kỳ yêu cầu nào về việc xác minh thiết bị mới hay nhập device code, đặc biệt khi nhận được thông qua email hay tin nhắn không mong muốn. Các tổ chức nên triển khai các chính sách bảo mật nghiêm ngặt hơn đối với việc cấp phép thiết bị mới, bao gồm yêu cầu xác thực qua nhiều kênh và thiết lập cảnh báo tự động khi có thiết bị mới được đăng ký. Đồng thời, việc giáo dục nhân viên về các kỹ thuật tấn công mới và thường xuyên cập nhật các biện pháp bảo mật là vô cùng quan trọng để đối phó với sự tiến hóa liên tục của các mối đe dọa an ninh mạng.