top of page

Chiến dịch lừa đảo qua điện thoại nhắm vào người dùng Microsoft 365

  • Ảnh của tác giả: Kamy Le
    Kamy Le
  • 2 ngày trước
  • 4 phút đọc

Một chiến dịch lừa đảo tinh vi qua điện thoại (vishing) đang nhắm trực tiếp vào người dùng Microsoft 365. Điều đáng nói là kẻ tấn công đã lợi dụng chính làn sóng nâng cấp bảo mật để biến nó thành cái bẫy hoàn hảo nhằm chiếm đoạt tài khoản doanh nghiệp.

Mạo danh nhân viên kỹ thuật để khuyến khích người dùng "nâng cấp bảo mật"

Vào tháng 5 vừa qua, Microsoft đã cung cấp một tính năng mới cho phép các quản trị viên hệ thống triển khai chiến dịch khuyến khích nhân viên đăng ký passkey (khóa an toàn) nhằm tăng cường bảo mật. Đáng ngại thay, nhóm tin tặc đã nhanh chân đi trước một bước khi bắt đầu thực hiện các cuộc gọi lừa đảo từ tháng 4.

Kịch bản của chúng rất bài bản: Gọi điện trực tiếp cho nhân viên trong tổ chức, tự xưng là bộ phận hỗ trợ và yêu cầu họ phải đăng ký một mã khóa Microsoft Entra mới vì lý do an toàn. Sau khi thuyết phục được nạn nhân, kẻ gian sẽ hướng dẫn họ truy cập vào các đường dẫn (URL) có chứa từ “passkey” trong tên miền để tăng độ uy tín.

Các trang web này được thiết kế tinh vi, sao chép toàn bộ giao diện và bộ nhận diện thương hiệu của chính công ty nạn nhân, khiến người dùng lầm tưởng mình đang thao tác trên hệ thống chính thống của Microsoft.

Trang tạo passkey giả
Trang tạo passkey giả

Thao túng quy trình xác thực theo thời gian thực

Không giống như các hình thức tấn công trung gian thông thường, bộ công cụ lừa đảo lần này sử dụng một bảng điều khiển PHP do tin tặc trực tiếp điều khiển. Hệ thống này hoạt động theo cơ chế gửi tín hiệu kiểm tra liên tục với tần suất mỗi giây một lần để theo dõi sát sao hành vi của nạn nhân.

Theo phân tích từ công ty quản lý danh tính Okta, kẻ tấn công có thể nhìn thấy tiến trình của nạn nhân gần như ngay lập tức. Từ đó, chúng linh hoạt thay đổi giao diện trang web giả mạo sao cho khớp với phương thức xác thực đa yếu tố (MFA) mà công ty của nạn nhân đang áp dụng, cho dù đó là mã OTP gửi qua SMS, ứng dụng tạo mã (TOTP) hay thông báo đẩy xác nhận số.

Khi người dùng nhập thông tin đăng nhập và mã MFA vào trang web giả, dữ liệu ngay lập tức được chuyển tới tay kẻ điều hành để chúng đăng nhập vào tài khoản Microsoft thật của nạn nhân. Trong khi người dùng nghĩ rằng mình đang tạo một khóa an toàn cho bản thân, thì thực chất họ đang giúp kẻ tấn công đăng ký một mã passkey do chính chúng kiểm soát.

Để tăng thêm độ chân thực và đánh lạc hướng những người ít kinh nghiệm, trang web lừa đảo còn yêu cầu nạn nhân lưu lại một chuỗi cụm từ khôi phục (chuẩn BIP-39) giả. Các chuyên gia lưu ý rằng quy trình đăng ký Microsoft Entra thật hoàn toàn không sử dụng loại cụm từ khôi phục này.

Chuỗi cụm từ khôi phục giả
Chuỗi cụm từ khôi phục giả

Chân dung băng đảng tống tiền đứng sau chiến dịch

Các chuyên gia nghiên cứu bảo mật từ Okta định danh nhóm tin tặc này là O-UNC-066, đang vận hành một chiến dịch tống tiền có tên gọi là Pink. Trong khi đó, đơn vị Unit 42 thuộc Palo Alto Networks cho biết Pink là một nhánh tống tiền mới liên kết với mạng lưới tội phạm mạng phi tập trung có tên "The Com" (The Community).

Nhóm Pink nổi tiếng với thủ đoạn giả danh nhân viên công nghệ thông tin (CNTT) và gọi điện lừa đảo để chiếm đoạt tài khoản. Mục tiêu cuối cùng của chúng là đánh cắp dữ liệu của các doanh nghiệp.

Tốc độ hành động của nhóm này cực kỳ đáng báo động: ngay sau khi chiếm được quyền truy cập vào tài khoản Microsoft 365, chúng sẽ lập tức quét và rút cạn dữ liệu từ các dịch vụ lưu trữ đám mây như SharePoint và OneDrive. Đến ngày 31 tháng 5, nhóm này thậm chí đã lập một trang web tống tiền riêng để tung ra các đoạn dữ liệu mẫu nhằm áp đặt áp lực đòi tiền chuộc từ nạn nhân.

Hiện tại, chiến dịch này không chừa một ai khi danh sách nạn nhân trải dài trên rất nhiều lĩnh vực, bao gồm:

  • Công nghệ, Y tế, Hàng không

  • Thực phẩm và đồ uống

  • Ô tô, Xây dựng

Doanh nghiệp cần làm gì để tự bảo vệ?

Trước sự tinh vi của chiến dịch lừa đảo qua giọng nói này, các chuyên gia từ Okta khuyến nghị các tổ chức và doanh nghiệp cần siết chặt lại quy trình vận hành nội bộ qua hai giải pháp cốt lõi:

  • Xác minh danh tính hai chiều: Xây dựng cơ chế rõ ràng để nhân viên có thể xác thực lại danh tính của nhân viên thuộc bộ phận hỗ trợ (helpdesk) trước khi thực hiện theo bất kỳ yêu cầu kỹ thuật nào qua điện thoại.

  • Chặn truy cập theo địa lý: Thiết lập hệ thống để từ chối thẳng các yêu cầu đăng nhập đến từ những khu vực địa lý hoặc quốc gia mà doanh nghiệp không hề có hoạt động hay cung cấp dịch vụ.

  • Nâng cao nhận thức cho nhân viên: Con người luôn là mắt xích quyết định trong hệ thống bảo mật của tổ chức. Việc thường xuyên cập nhật kiến thức an ninh mạng sẽ giúp đội ngũ nhân sự chủ động nhận diện rủi ro, bảo vệ tài sản số trước các mối đe dọa đến từ sự mất cảnh giác.


Chiến dịch lừa đảo của băng đảng Pink là một minh chứng cho thấy công nghệ bảo mật càng phát triển thì các kịch bản thao túng tâm lý của tin tặc càng trở nên tinh vi. Việc trang bị nhận thức cho nhân viên về quy trình đăng ký passkey chuẩn chỉnh và nghi ngờ các cuộc gọi yêu cầu bảo mật đột xuất là lá chắn thiết yếu nhất hiện nay.

Nguồn tham khảo: The Cyber Express

Bình luận


theo dõi ipsip việt nam trên google news.png
conact-ipsip-vietnam
zalo
đặt lịch hẹn
bottom of page