Các chiến thuật tấn công phishing qua email liên tục được tội phạm mạng cải tiến, hồi sinh những phương pháp cũ đồng thời tích hợp các kỹ thuật né tránh tiên tiến. Mục tiêu là vượt qua bộ lọc tự động và sự cảnh giác của người dùng.

Vào năm 2025, các tác nhân đe dọa đang kết hợp những phương pháp đã được kiểm chứng, như tệp đính kèm được bảo vệ bằng mật khẩu và lời mời lịch, với những cải tiến mới.

Những cải tiến này bao gồm mã QR, chuỗi xác minh đa giai đoạn và tích hợp API trực tiếp, như ghi nhận từ Securelist của Kaspersky.

Những cải tiến này không chỉ kéo dài chu kỳ tấn công mà còn khai thác những lỗ hổng trong các công cụ quét và sự tin tưởng của người dùng vào các biện pháp bảo mật có vẻ hợp pháp.

Sự Tiến Hóa Của Các Phương Pháp Tấn Công Phishing

QR Code Trong Tệp PDF

Email phishing mang tệp đính kèm PDF vẫn là một chiến thuật chủ đạo trong cả các chiến dịch tấn công diện rộng và có chủ đích.

Thay vì nhúng trực tiếp các liên kết có thể nhấp, các tác nhân đe dọa giờ đây ưu tiên sử dụng mã QR bên trong tệp PDF. Người nhận thường quét các mã này bằng thiết bị di động của họ.

Các thiết bị di động thường thiếu các kiểm soát bảo mật cấp doanh nghiệp như phần mềm bảo vệ điểm cuối (Endpoint Protection), tính năng lọc URL (URL Filtering) hoặc khả năng sandbox tự động như máy trạm.

Chiến thuật này tái hiện xu hướng chèn mã QR vào nội dung email trước đây nhưng nâng cấp bằng cách che giấu các URL phishing phía sau một lớp xử lý tệp bổ sung, khiến việc phát hiện trở nên khó khăn hơn.

Tệp PDF Được Bảo Vệ Bằng Mật Khẩu

Kẻ tấn công cũng sử dụng tệp PDF được bảo vệ bằng mật khẩu để ngăn chặn quá trình quét tự động và phân tích nội dung.

Mật khẩu có thể được gửi trong cùng một email hoặc trong một tin nhắn riêng biệt, mô phỏng các phương thức liên lạc bảo mật hợp pháp của doanh nghiệp.

Người dùng, khi tin rằng họ đang xử lý các tài liệu nhạy cảm, có xu hướng tin tưởng các email này. Họ vô tình cấp thời gian cho kẻ tấn công để thu thập thông tin đăng nhập hoặc triển khai mã độc trước khi nhóm bảo mật có thể kiểm tra hoặc phân tích nội dung tệp.

Phishing Dựa Trên Lịch

Các phương pháp phishing đã “ngủ đông” từ lâu đang quay trở lại. Phishing dựa trên lịch, từng phổ biến với những kẻ gửi thư rác hàng loạt nhắm mục tiêu người dùng Google Calendar, đã tái xuất với trọng tâm vào các chiến dịch B2B.

Một email trống mang lời mời lịch chứa các liên kết độc hại trong phần mô tả. Khi nhân viên văn phòng không nghi ngờ chấp nhận sự kiện, lời nhắc từ ứng dụng lịch sẽ thôi thúc họ nhấp vào liên kết vài ngày sau đó.

Điều này làm tăng khả năng bị xâm phạm đáng kể, ngay cả khi email gốc đã bị bỏ qua, tạo ra một mối đe dọa mạng dai dẳng dưới hình thức tấn công phishing dựa trên lịch.

Kỹ Thuật Né Tránh Nâng Cao Trong Tấn Công Phishing

Nâng Cấp Trang Web Phishing và Bỏ Qua CAPTCHA

Ngoài những đổi mới trong việc phân phối, các trang web phishing cũng đang được cập nhật tinh vi để tránh bị phát hiện.

Các chiến dịch “thư thoại” đơn giản dẫn nạn nhân qua một chuỗi xác minh được bảo vệ bằng CAPTCHA trước khi trình bày biểu mẫu đăng nhập giả mạo.

Cách tiếp cận phân lớp này loại bỏ hiệu quả các công cụ quét bảo mật tự động có thể gắn cờ một trang phishing tĩnh. Bằng cách nối tiếp các trang và yêu cầu nhập liệu thủ công nhiều lần, kẻ tấn công đảm bảo chỉ những người dùng thật mới truy cập giao diện thu thập thông tin đăng nhập cuối cùng.

Điều này khiến các dịch vụ kiểm tra danh tiếng URL gặp khó khăn, vì các trang trung gian có thể không chứa nội dung độc hại trực tiếp.

Bỏ Qua MFA Bằng Kỹ Thuật Proxy Trực Tiếp

Xác thực đa yếu tố (MFA) từ lâu đã là bức tường thành chống lại các cuộc tấn công chỉ dựa vào mật khẩu. Tuy nhiên, những kẻ phishing đã áp dụng kỹ thuật proxy trực tiếp để đánh cắp mã dùng một lần (OTP).

Trong một chiến dịch gần đây, các email mạo danh nhà cung cấp dịch vụ lưu trữ đám mây đã mời người dùng xem xét chất lượng dịch vụ, mở đường cho một phương pháp tấn công phishing cực kỳ hiệu quả.

Các liên kết trong email chuyển hướng đến một miền giả mạo có giao diện giống hệt dịch vụ thật. Miền giả mạo này hoạt động như một máy chủ proxy, chuyển tiếp tất cả các tương tác người dùng đến dịch vụ thật thông qua các cuộc gọi API.

Khi người nhận nhập địa chỉ email của họ, trang web giả mạo sẽ xác thực thông tin này với cơ sở dữ liệu người dùng chính hãng thông qua API, sau đó yêu cầu nhập OTP.

Mã OTP này được chuyển tiếp theo thời gian thực đến cơ sở hạ tầng của kẻ tấn công ngay khi nạn nhân nhập vào.

Ngay khi nạn nhân nhập mã, tin rằng họ đang tương tác với dịch vụ hợp pháp, kẻ phishing sẽ có được cả mật khẩu và yếu tố thứ hai được tạo động, cấp cho chúng toàn quyền truy cập tài khoản.

Sự bắt chước có độ chân thực cao này thường bao gồm các thư mục mặc định hoặc các yếu tố giao diện người dùng quen thuộc, kéo dài ảo ảnh hợp pháp và trì hoãn sự nghi ngờ của người dùng.

Bằng cách chuyển tiếp mọi đầu vào thông qua dịch vụ thật, kẻ tấn công bỏ qua cả kiểm tra URL truyền thống và các công cụ phòng thủ dựa trên miền. Điều này khiến các bộ lọc email thông thường trở nên kém hiệu quả và đặt ra một rủi ro đáng kể đối với bảo mật thông tin của các tổ chức.

Phòng Chống Các Chiến Thuật Tấn Công Phishing Đang Biến Đổi

Các chiến thuật tấn công phishing qua email trong năm 2025 kết hợp sự trở lại của các phương pháp cũ với sự lừa đảo tiên tiến.

Từ các tệp PDF chứa QR code và tệp đính kèm được bảo vệ bằng mật khẩu, đến việc phân phối dựa trên lịch và bỏ qua MFA thông qua API, các tác nhân đe dọa không ngừng tinh chỉnh cách thức hoạt động của chúng.

Để bảo vệ chống lại những chiến thuật đang phát triển này, các tổ chức và người dùng nên đối xử với các tệp đính kèm bất thường một cách hoài nghi sâu sắc.

Cần xác minh kỹ lưỡng các liên kết và tên miền trước khi nhấp, đồng thời triển khai các công cụ săn lùng mối đe dọa nâng cao. Các công cụ này phải có khả năng kiểm tra các tệp được mã hóa và phân tích tương tác web đa giai đoạn.

Chỉ bằng cách hiểu bản chất bền bỉ và thích ứng của các cuộc tấn công mạng này, các nhà phòng thủ mới có thể đi trước một bước so với các đối thủ ngày càng tháo vát. Điều này đặc biệt quan trọng để duy trì an ninh mạng hiệu quả và bảo vệ tài sản số.