Tin tặc đang sử dụng gói liên kết để đánh cắp thông tin đăng nhập Microsoft 365 của bạn

Cloudflare‘s nhóm bảo mật email gần đây phát hiện ra một kỹ thuật lừa đảo mới. Những kẻ tấn công đang sử dụng các tài khoản email bị xâm nhập để ngụy trang các liên kết độc hại thông qua các dịch vụ gói liên kết hợp pháp. Các dịch vụ như các dịch vụ từ Proofpoint hoặc Intermedia viết lại các liên kết đến các tên miền đáng tin cậy và quét chúng tự động, một cơ chế bảo vệ, trong trường hợp này, trở thành một cổng.

Các liên kết trông có vẻ chân thực

Những kẻ tấn công rút ngắn liên kết của họ bằng cách sử dụng các công cụ rút ngắn URL và gửi chúng qua các tài khoản bị tấn công. Các giải pháp bảo mật cung cấp các liên kết với miền “secure”, khiến chúng có vẻ hợp pháp. Nhưng đằng sau các URL ẩn giấu các trang lừa đảo bắt chước các trang đăng nhập Microsoft 365 một cách lừa đảo. Các dòng chủ đề như “Thư thoại mới,” “Tài liệu an toàn để truy xuất,” hoặc “Tin nhắn mới trong Microsoft Teams” được thiết kế để thu hút người dùng không nghi ngờ. Một số email thậm chí còn đóng giả là tin nhắn “Zix” được mã hóa, một hệ thống nổi tiếng để liên lạc an toàn.

Nhấp vào các nút dường như vô hại như “Reply” sẽ dẫn trực tiếp đến các trang đăng nhập giả mạo được thiết kế để đánh cắp thông tin xác thực. Theo Cloudflare, những kẻ tấn công sử dụng độ tin cậy của các liên kết được viết lại để vượt qua các bộ lọc bảo mật. Những phương pháp như vậy không phải là mới. Các dịch vụ như Google Drive cũng đã bị lạm dụng tương tự, nhưng việc khai thác gói liên kết có mục tiêu là một chương mới trong sổ chơi lừa đảo.

Cloudflare viết về điều này trong báo cáo của mình:

Gói liên kết được sử dụng bởi các nhà cung cấp như Proofpoint để bảo vệ người dùng. Điều này liên quan đến việc định tuyến tất cả các URL đã nhấp thông qua dịch vụ quét để các mục tiêu độc hại đã biết có thể bị chặn tại thời điểm nhấp chuột. [...] Phương pháp phòng thủ này khá hiệu quả trước các mối đe dọa đã biết. Tuy nhiên, các cuộc tấn công vẫn có thể thành công nếu liên kết được bọc vẫn chưa được gắn cờ là nguy hiểm bởi máy quét tại thời điểm nhấp chuột.

Các công ty cần phải suy nghĩ lại về an ninh

Đây là một lời cảnh tỉnh cho người dùng và tổ chức: tự động phát hiện các liên kết độc hại là không đủ nữa. Quản trị viên CNTT nên cập nhật tường lửa và bộ lọc email, tăng cường đào tạo nhân viên và yêu cầu xác thực đa yếu tố cho tài khoản Microsoft 365. Những cuộc tấn công này làm nổi bật việc tội phạm mạng có thể dễ dàng biến các công cụ bảo vệ thành lỗ hổng.