Cảnh báo: Tính năng Microsoft 365 có thể bị lợi dụng để đánh cắp mật khẩu của bạn

Một tính năng ít được chú ý trong Microsoft 365, gọi là Direct Send, vốn được thiết kế để máy in hoặc máy quét trong nội bộ tổ chức gửi email như thể từ miền chính doanh nghiệp, đang bị các hacker lợi dụng để thực hiện tấn công lừa đảo (phishing).

Cách hacker thực hiện:

• Họ cấu hình Direct Send sao cho các email độc hại xuất hiện như được gửi từ địa chỉ bạn quen — làm tăng niềm tin người nhận.

• Email gửi chứa liên kết dẫn đến biểu mẫu giả mạo, yêu cầu người nhận nhập thông tin đăng nhập Microsoft 365 của họ. Khi làm theo, thông tin bị hacker thu thập.

• Từ tháng 5 năm 2025, đã có ít nhất vài chục tổ chức bị ảnh hưởng bởi chiến dịch phishing sử dụng phương thức này.

Microsoft khẳng định Direct Send là tính năng an toàn nếu được cấu hình đúng, nhưng nhiều tổ chức không khóa chặt “smart host” (máy chủ gửi) hoặc để cấu hình lỏng lẻo dẫn tới bị lợi dụng. Microsoft khuyến nghị chỉ dùng Direct Send nếu bạn thực sự hiểu về quản trị email và cam kết quản lý bảo mật chặt chẽ.

Để giảm rủi ro, Microsoft đã thêm tùy chọn “Reject Direct Send” trong Exchange Admin Center từ tháng 4 năm 2025 — cho phép chặn các email gửi qua Direct Send nếu không hợp lệ hoặc nghi ngờ.