Bạn có tin rằng kẻ thù nguy hiểm nhất đôi khi lại ẩn nấp trong chiếc áo choàng của đồng minh? Amazon Simple Email Service (SES) - nền tảng gửi email uy tín được hàng triệu doanh nghiệp tin dùng, đang trở thành vũ khí lợi hại trong tay tin tặc để thực hiện các cuộc tấn công phishing tinh vi. Những email lừa đảo xuất phát từ SES không chỉ có thể qua mặt các bộ lọc bảo mật tiêu chuẩn mà còn vô hiệu hóa hoàn toàn cơ chế chặn dựa trên danh tiếng (reputation-based blocking). Chúng tôi cho rằng đây là một trong những xu hướng tấn công nguy hiểm nhất trong năm 2024.

Khi 'thương hiệu' Amazon trở thành lá chắn cho tội phạm

Amazon SES vốn được thiết kế như một dịch vụ email marketing và giao tiếp doanh nghiệp đáng tin cậy. Tuy nhiên, chính danh tiếng 'vàng' này lại trở thành điểm mù của các hệ thống bảo mật. Khi một email phishing được gửi từ infrastructure của Amazon, các bộ lọc spam và anti-phishing thường 'nhắm mắt làm ngơ' do tin tưởng vào nguồn gốc uy tín. Điều này giống như việc kẻ cướp mặc đồng phục bảo vệ để xâm nhập vào ngân hàng vậy.

Chúng tôi ghi nhận rằng số lượng các cuộc tấn công phishing sử dụng SES đã tăng vọt trong 6 tháng qua. Các chuyên gia an ninh mạng quốc tế đang gióng lên hồi chuông báo động về xu hướng này. Đặc biệt đáng lo ngại, những email lừa đảo từ SES thường có tỷ lệ thành công cao hơn 40% so với các email phishing truyền thống do khả năng bypass (vượt qua) các lớp bảo vệ một cách 'êm ái'.

Giải mã chiêu thức 'núp bóng' dịch vụ đám mây

Cơ chế tấn công này hoạt động dựa trên nguyên lý lợi dụng độ tin cậy của cloud service provider (nhà cung cấp dịch vụ đám mây). Tin tặc sẽ đăng ký tài khoản SES hợp pháp, sau đó cấu hình domain và thiết lập các record DNS cần thiết như SPF, DKIM và DMARC để email của họ trông 'chính thống' hoàn toàn. Quá trình verification (xác thực) của Amazon tuy nghiêm ngặt nhưng vẫn có những kẽ hở mà kẻ xấu có thể lợi dụng.

Điều đáng quan tâm là tin tặc không cần phải hack vào hệ thống Amazon. Họ chỉ cần abuse (lạm dụng) dịch vụ một cách 'hợp pháp' bằng cách sử dụng các thông tin giả mạo để đăng ký tài khoản. Sau khi có được quyền truy cập SES, họ có thể gửi hàng nghìn email phishing mỗi ngày với chi phí cực thấp - chỉ khoảng 0.1 USD cho 1000 email. Chúng tôi đánh giá đây là một 'khoản đầu tư' cực kỳ sinh lời đối với tội phạm mạng.

Tác động nghiêm trọng đến doanh nghiệp và người dùng cá nhân

Các cuộc tấn công phishing sử dụng Amazon SES đã gây ra thiệt hại tài chính nghiêm trọng cho nhiều tổ chức trên toàn cầu. Theo thống kê từ các công ty an ninh mạng hàng đầu, tỷ lệ click-through (tỷ lệ người dùng click vào link độc hại) của email phishing từ SES cao gấp 2.5 lần so với phishing email thông thường. Nguyên nhân chính là do email này thường có đầy đủ các 'dấu hiệu' của email chính thống: header hợp lệ, digital signature đúng chuẩn, và quan trọng nhất là xuất phát từ IP address của Amazon.

Tại Việt Nam, chúng tôi ghi nhận một số doanh nghiệp trong lĩnh vực tài chính và thương mại điện tử đã trở thành mục tiêu của loại tấn công này. Mặc dù chưa có thống kê chính thức, nhưng ước tính thiệt hại có thể lên tới hàng tỷ đồng chỉ trong nửa đầu năm 2024. Đặc biệt, các email giả mạo thông báo từ ngân hàng, ví điện tử được gửi qua SES đang khiến nhiều người dùng Việt Nam 'sập bẫy'.

Chiến lược phòng chống toàn diện cho doanh nghiệp Việt

Để bảo vệ tổ chức khỏi loại tấn công này, các doanh nghiệp Việt Nam cần triển khai ngay các biện pháp sau. Đầu tiên, nâng cấp email security gateway (cổng bảo mật email) để không chỉ dựa vào reputation của sender mà còn phân tích content và behavioral pattern (mẫu hành vi) của email. Triển khai advanced threat protection (bảo vệ mối đe dọa nâng cao) với khả năng sandboxing - tức là kiểm tra email trong môi trường cách ly trước khi chuyển tới hộp thư người dùng.

Chúng tôi khuyến nghị các tổ chức nên thiết lập Zero Trust Email Policy (chính sách email không tin tưởng tuyệt đối), có nghĩa là mọi email đều phải được xác thực kỹ lưỡng bất kể nguồn gốc. Đồng thời, tăng cường đào tạo nhân viên về nhận diện phishing, đặc biệt chú ý tới các email có vẻ 'quá hoàn hảo' về mặt kỹ thuật. Cuối cùng, thiết lập incident response plan (kế hoạch ứng phó sự cố) cụ thể cho trường hợp phát hiện nhân viên click vào link hoặc tải attachment từ email đáng ngờ, kể cả khi email đó trông rất chính thống.