Có một điều mình thấy rất đáng chú ý trong các chiến dịch lừa đảo gần đây: email không còn là "chiến trường" chính nữa. Trước đây, chúng ta thường đánh giá một email có an toàn hay không bằng cách kiểm tra đường link, tên miền, tệp đính kèm hoặc dựa vào hệ thống lọc thư rác. Nếu mọi thứ đều "sạch", nhiều người sẽ mặc nhiên cho rằng email đó không có vấn đề. Nhưng chiến dịch EvilTokens lại cho chúng ta thấy một hướng đi khác đáng lo ngại hơn nhiều.
Email chỉ là chiếc vé đưa nạn nhân vào bẫy
Điểm nguy hiểm của chiến dịch này không nằm ở việc phát tán mã độc hay đánh cắp mật khẩu theo cách truyền thống. Thay vào đó, kẻ tấn công lợi dụng cơ chế Microsoft Device Code Authentication - đây là một tính năng hợp pháp của Microsoft dành cho những thiết bị khó nhập tài khoản như TV, máy in, thiết bị IoT...
Nạn nhân được dẫn đến một trang đăng nhập Microsoft hoàn toàn thật. Họ tự đăng nhập, tự xác thực và tự cấp quyền cho ứng dụng mà không hề biết rằng mình đang trao quyền truy cập tài khoản Microsoft 365 cho kẻ tấn công.
Điều này khiến nhiều giải pháp bảo mật truyền thống gần như không nhìn thấy dấu hiệu bất thường, bởi toàn bộ quá trình xác thực đều diễn ra trên hạ tầng chính thức của Microsoft.
Nạn nhân được dẫn đến một trang đăng nhập Microsoft hoàn toàn thật. Họ tự đăng nhập, tự xác thực và tự cấp quyền cho ứng dụng mà không hề biết rằng mình đang trao quyền truy cập tài khoản Microsoft 365 cho kẻ tấn công.
Điều này khiến nhiều giải pháp bảo mật truyền thống gần như không nhìn thấy dấu hiệu bất thường, bởi toàn bộ quá trình xác thực đều diễn ra trên hạ tầng chính thức của Microsoft.
Điều đáng sợ hơn là trang lừa đảo... chưa tồn tại khi bị kiểm tra
Phần khiến mình thực sự thấy đáng lo là kỹ thuật mà nhiều chuyên gia gọi là Ghost Phishing. Thông thường, khi một hệ thống bảo mật hoặc chuyên gia phân tích mở một URL đáng ngờ, họ sẽ xem được mã HTML của trang web để xác định nội dung có độc hại hay không.
Nhưng trong trường hợp này, trang web ban đầu gần như "rỗng". Toàn bộ nội dung lừa đảo được mã hóa bằng AES-GCM. Chỉ sau khi trình duyệt của nạn nhân tải trang, thực thi JavaScript và giải mã dữ liệu thì giao diện lừa đảo mới xuất hiện.
Nói cách khác:
- Hệ thống quét URL thấy một trang gần như vô hại.
- Gateway email cũng không phát hiện dấu hiệu rõ ràng.
- Proxy hoặc firewall chỉ thấy dữ liệu đã được mã hóa.
- Chỉ trình duyệt của người dùng mới nhìn thấy nội dung thật.
Điều này tạo ra một "điểm mù" rất lớn trong chuỗi phòng thủ hiện nay. Nếu nhìn rộng hơn, mình nghĩ đây là xu hướng rất đáng lưu ý. Trong nhiều năm, các doanh nghiệp đầu tư rất nhiều cho:
- Secure Email Gateway
- URL Filtering
- Sandbox kiểm tra file
- Antivirus
- Threat Intelligence
Nhưng ngày càng nhiều chiến dịch tấn công chuyển phần nguy hiểm nhất sang phía trình duyệt. Tức là mọi lớp bảo vệ trước đó đều chỉ nhìn thấy một phần của cuộc tấn công. Khi người dùng mở trang web, JavaScript mới bắt đầu tải thêm dữ liệu, giải mã nội dung, tạo giao diện lừa đảo, thực hiện các yêu cầu đến máy chủ và kích hoạt toàn bộ chuỗi tấn công. Nếu không quan sát được những gì thực sự diễn ra bên trong trình duyệt, đội ngũ SOC sẽ rất khó biết người dùng đã nhìn thấy gì và đã tương tác với những gì.
Theo mình, đã đến lúc doanh nghiệp nên thay đổi cách nhìn, chúng ta không nên chỉ đặt câu hỏi:
Theo mình, đã đến lúc doanh nghiệp nên thay đổi cách nhìn, chúng ta không nên chỉ đặt câu hỏi:
"Email này có độc hại không?"
Mà cần hỏi thêm:
"Điều gì sẽ xảy ra sau khi nhân viên mở liên kết?"
Đây là hai câu hỏi hoàn toàn khác nhau. Một URL "sạch" ở thời điểm quét không có nghĩa là trang web sẽ tiếp tục vô hại sau khi JavaScript được thực thi.
Việc quan sát hành vi của trang web trong môi trường trình duyệt ngày càng trở nên quan trọng, đặc biệt với những chiến dịch sử dụng mã hóa, tải động hoặc kỹ thuật trì hoãn hiển thị nội dung.
Có lẽ những người dùng như chúng ta cần ghi nhớ một số nguyên tắc nếu muốn giảm thiểu rủi ro trước các hình thức tấn công mới:
Việc quan sát hành vi của trang web trong môi trường trình duyệt ngày càng trở nên quan trọng, đặc biệt với những chiến dịch sử dụng mã hóa, tải động hoặc kỹ thuật trì hoãn hiển thị nội dung.
Có lẽ những người dùng như chúng ta cần ghi nhớ một số nguyên tắc nếu muốn giảm thiểu rủi ro trước các hình thức tấn công mới:
- Không nhập mã Device Code hoặc xác nhận cấp quyền Microsoft nếu không hiểu rõ ứng dụng đang yêu cầu điều gì.
- Kiểm tra kỹ màn hình "Permissions requested" trước khi bấm Accept.
- Cảnh giác với email yêu cầu "xác thực Microsoft", "kích hoạt tài khoản", "xem tài liệu" hoặc "đăng nhập để tiếp tục", ngay cả khi chúng dẫn đến trang Microsoft thật.
- Nếu nhận được yêu cầu xác thực bất thường từ đồng nghiệp hoặc đối tác, nên xác minh qua một kênh liên lạc khác trước khi thực hiện.
Trong bối cảnh phishing ngày càng tinh vi, khả năng quan sát hành vi của trang web sau khi được tải trong trình duyệt, cùng với việc nâng cao nhận thức của người dùng về các cơ chế xác thực và cấp quyền, sẽ trở thành những yếu tố quan trọng giúp giảm thiểu rủi ro trước các hình thức tấn công thế hệ mới.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview