Chiếc cầu nối quen thuộc giữa điện thoại và máy tính của bạn đang trở thành con đường tấn công nguy hiểm nhất. Tin tặc đã tìm ra cách lạm dụng tính năng Phone Link của Windows để đánh cắp tin nhắn SMS và phá vỡ hệ thống xác thực hai yếu tố (2FA). Họ triển khai một loại mã độc tinh vi CloudZ RAT kết hợp với plugin mới mang tên Pheno. Điều đáng lo ngại nhất là các cuộc tấn công này gần như không thể phát hiện bằng mắt thường.

Khi cầu nối trở thành lỗ hổng chết người

Phone Link - tính năng cho phép người dùng Windows kết nối với điện thoại Android hoặc iOS để đồng bộ tin nhắn, cuộc gọi và thông báo - đang bị khai thác một cách có hệ thống. Thay vì phải tấn công trực tiếp vào điện thoại với hàng loạt rào cản bảo mật, tin tặc chọn con đường vòng qua máy tính. Chiến thuật này thông minh ở chỗ nó tận dụng lòng tin của người dùng đối với các ứng dụng chính thức từ Microsoft.

CloudZ RAT (Remote Access Trojan - mã độc điều khiển từ xa) hoạt động như một cửa ngõ bí mật trên máy tính nạn nhân. Khi đã xâm nhập thành công, nó sẽ cài đặt plugin Pheno - một công cụ chuyên biệt để theo dõi và chặn bắt mọi tin nhắn đi qua Phone Link. Chúng tôi cho rằng đây là một bước tiến nguy hiểm trong xu hướng tấn công nhắm vào các dịch vụ đồng bộ dữ liệu giữa các thiết bị.

Giải mã cơ chế tấn công tinh vi

Plugin Pheno hoạt động theo cơ chế "man-in-the-middle" (tấn công người đứng giữa) ngay trên chính máy tính của nạn nhân. Khi có tin nhắn SMS chứa mã OTP (One-Time Password - mật khẩu một lần) gửi đến điện thoại, Phone Link sẽ tự động đồng bộ lên PC. Tại đây, Pheno sẽ chặn bắt và chuyển tiếp thông tin này về server điều khiển của tin tặc trước khi người dùng kịp nhận ra.

Điều làm cho cuộc tấn công này trở nên nguy hiểm gấp bội là khả năng vượt qua xác thực hai yếu tố. Trong khi nạn nhân vẫn tin rằng mình đã được bảo vệ bởi SMS OTP, thực tế tin tặc đã có thể truy cập vào các mã xác thực này trong thời gian thực. Họ có thể đăng nhập vào tài khoản ngân hàng, email, mạng xã hội mà không cần phải chiếm quyền điều khiển điện thoại.

Mối đe dọa thực sự với người dùng Việt Nam

Theo thống kê của Cục An toàn thông tin (Bộ TT&TT), Việt Nam ghi nhận hơn 15.000 vụ tấn công mạng trong năm 2023, trong đó tỷ lệ các cuộc tấn công nhắm vào thiết bị cá nhân tăng 40% so với năm trước. Với việc ngày càng nhiều người Việt sử dụng Phone Link để làm việc từ xa, mối đe dọa từ CloudZ RAT và Pheno trở nên cấp thiết hơn bao giờ hết.

Chúng tôi đánh giá tác động của loại tấn công này có thể lan rộng với tốc độ chóng mặt tại Việt Nam. Nhiều doanh nghiệp và cá nhân đang sử dụng SMS OTP như lớp bảo vệ cuối cùng cho tài khoản ngân hàng điện tử, ví điện tử và các dịch vụ tài chính. Khi hàng rào này bị phá vỡ, thiệt hại có thể lên đến hàng tỷ đồng chỉ trong thời gian ngắn.

Phòng thủ chủ động trước khi quá muộn

Người dùng Việt Nam cần thực hiện ngay các bước bảo vệ sau đây. Đầu tiên, kiểm tra và gỡ bỏ Phone Link nếu không thực sự cần thiết thông qua Settings > Apps > Installed apps. Thứ hai, thay thế SMS OTP bằng các ứng dụng authenticator như Google Authenticator, Microsoft Authenticator hoặc sử dụng khóa bảo mật vật lý (hardware security key).

Đối với những trường hợp bắt buộc phải sử dụng Phone Link, hãy đảm bảo Windows Defender luôn được cập nhật và bật tính năng Real-time Protection. Định kỳ quét hệ thống bằng Malwarebytes hoặc các công cụ anti-malware chuyên nghiệp khác. Quan trọng nhất, tuyệt đối không tải và cài đặt phần mềm từ các nguồn không rõ ràng, đặc biệt là những file được gửi qua email hoặc tin nhắn đáng ngờ.