Các tác nhân đe dọa đang có những thành công đáng báo động trong việc xâm nhập có hệ thống vào các hộp thư Outlook và Google. Họ đang khai thác những kỹ thuật tinh vi, hoàn toàn né tránh các biện pháp phòng thủ email truyền thống. Theo báo cáo VIPRE Q3 2025 Email Threat Report, hơn 90% các cuộc tấn công phishing nhắm mục tiêu cụ thể vào hai hệ sinh thái email thống trị này. Điều này phản ánh một sự chuyển dịch chiến lược có tính toán của kẻ tấn công, nhằm tối đa hóa tác động trong khi giảm thiểu độ phức tạp trong vận hành.

Dữ liệu đã tiết lộ một thực tế đáng lo ngại: khi các biện pháp phòng thủ kỹ thuật được tăng cường, kẻ tấn công đã thích nghi bằng cách vũ khí hóa cơ sở hạ tầng đáng tin cậy để chống lại chính nó. Thay vì triển khai phần mềm độc hại tiên tiến hoặc các lỗ hổng zero-day, tội phạm mạng đang sử dụng các chiến thuật đơn giản một cách lừa dối, được triển khai với mức độ tinh vi chưa từng thấy.

Chiến Thuật Tấn Công Mạng Email: Sự Chuyển Dịch Trọng Tâm

Mục Tiêu Chính: Outlook và Google Mailboxes

Các dịch vụ email miễn phí, bao gồm Gmail và Outlook, chiếm 32% tổng số chiến dịch spam được ghi nhận trong Quý 3. Kẻ tấn công lợi dụng sự tin cậy vốn có của các nền tảng này và khả năng xoay vòng tài khoản dễ dàng để duy trì tỷ lệ gửi thư thành công cao.

Sự Trỗi Dậy Của Kỹ Thuật Open Redirect

Xu hướng đáng báo động nhất liên quan đến các URL bị xâm nhập hoạt động như các chuyển hướng mở (open redirects). Các cuộc tấn công này bắt đầu bằng các tên miền hợp pháp nhưng lại thêm các tham số hướng dẫn máy chủ chuyển hướng người dùng đến các đích độc hại.

Báo cáo chỉ ra rằng 90.5% các liên kết phishing sử dụng kỹ thuật chuyển hướng mở này, so với chỉ 7.3% sử dụng các liên kết độc hại trực tiếp. Sự khác biệt này rất quan trọng: chuyển hướng mở khai thác danh tiếng đáng tin cậy của các tên miền hợp pháp, khiến chúng gần như vô hình đối với các công cụ bảo mật email tiêu chuẩn chỉ quét các URL cấp bề mặt. Để hiểu rõ hơn về mức độ phức tạp của các mối đe dọa này, bạn có thể tham khảo VIPRE Q3 2025 Email Threat Report.

Các Chỉ Số Quan Trọng Và Xu Hướng Đáng Báo Động Trong An Ninh Mạng

Tăng Cường Đăng Ký Tên Miền Mới

Ngoài ra, các tác nhân đe dọa đã đăng ký tên miền mới với tốc độ chưa từng có trong Quý 3, với mức tăng gấp ba lần trong việc tạo tên miền mới được đăng ký (NRD) từ tháng 7 đến tháng 8. Các yếu tố cơ sở hạ tầng dùng một lần này cho phép khởi chạy chiến dịch nhanh chóng, sau đó là vô hiệu hóa nhanh chóng khi các nhóm bảo mật triển khai danh sách đen. Đây là một ví dụ điển hình về việc kẻ tấn công luôn đi trước các biện pháp phòng thủ phản ứng.

Sự Thống Trị Của Tấn Công Business Email Compromise (BEC)

Các cuộc tấn công Business Email Compromise (BEC) chiếm 51% tổng số email độc hại, duy trì vị trí là loại mối đe dọa nguy hiểm nhất. Điều khiến BEC trở nên nguy hiểm đặc biệt là thành phần kỹ thuật xã hội: các chiến thuật mạo danh chiếm 63% các nỗ lực BEC. Kẻ tấn công ngày càng chuyển các cuộc hội thoại sang các kênh không được giám sát như WhatsApp để hoàn toàn né tránh các hệ thống phát hiện dựa trên email.

Báo cáo ghi nhận rằng các CEO vẫn là những cá nhân bị mạo danh nhiều nhất, tiếp theo là nhân viên IT, bộ phận nhân sự và các nhà quản lý. Kẻ tấn công tạo ra các kịch bản được nhắm mục tiêu cao xung quanh các quy trình tài chính, chức năng HR và thông tin liên lạc mật. Tất cả đều là các kịch bản có tính cấp bách cao được thiết kế để vượt qua khả năng phán đoán của con người dưới áp lực.

Tấn Công Tập Trung Vào File Đính Kèm và AI

Các tệp đính kèm phishing tiết lộ một lỗ hổng quan trọng khác. Báo cáo phát hiện rằng 90% các tệp đính kèm phishing nhắm mục tiêu cụ thể vào Outlook hoặc Google. Kẻ tấn công ưa chuộng tệp đính kèm PDF vì chúng mang tính hợp pháp ngầm định như các tài liệu kinh doanh. Một phần đáng kể các email được phân tích được tạo ra bởi AI, cho thấy các tác nhân đe dọa ngày càng sử dụng tạo nội dung tự động để làm cho các tin nhắn spam và phishing trở nên thuyết phục hơn.

Kỹ Thuật Exfiltration Dữ Liệu Nâng Cao

Thu thập thông tin xác thực là trọng tâm của các chiến dịch này. Các tác nhân đe dọa ngày càng sử dụng phương pháp Fetch API để lấy cắp dữ liệu, thay vì các yêu cầu POST tiêu chuẩn. Đây là một sự phát triển kỹ thuật cho thấy các tác nhân đe dọa tinh vi hơn đang gia nhập không gian này.

Thách Thức Đối Với Hệ Thống Bảo Mật Kế Thừa và Nguy Cơ Rủi Ro Bảo Mật

Hạn Chế Của Phát Hiện Dựa Trên Chữ Ký

Khoảng cách về cơ sở hạ tầng là rất lớn. Các email độc hại đã tăng 13% so với cùng kỳ năm trước. VIPRE xử lý 1.8 tỷ email hàng quý và phát hiện 234 triệu email là spam. Tuy nhiên, một tập hợp con thực sự nguy hiểm – khoảng 150.000 tệp đính kèm độc hại mới được phát hiện chỉ thông qua sandboxing – đại diện cho các cuộc tấn công sẽ vượt qua các bộ lọc dựa trên nội dung và liên kết truyền thống.

Các tổ chức dựa vào các công cụ bảo mật email cũ đang đối mặt với một sự thật khó chịu: phát hiện dựa trên chữ ký và danh sách đen tĩnh đã trở nên lỗi thời. Cảnh quan tấn công hiện nay đòi hỏi phân tích hành vi, sandboxing thời gian thực và phát hiện dựa trên AI có khả năng xác định các mối đe dọa ngay tại thời điểm nhấp chuột.

Vai Trò Của Vị Trí Địa Lý IP

Sự phân bố địa lý làm trầm trọng thêm vấn đề. Hơn 60% spam có nguồn gốc từ các địa chỉ IP của Hoa Kỳ. Điều này không nhất thiết có nghĩa là các cuộc tấn công đến từ Mỹ, mà là do kẻ tấn công cố tình thuê các máy chủ ở Mỹ có điểm danh tiếng mạnh, giúp vượt qua các bộ lọc bảo mật được thiết kế để gắn cờ các nguồn quốc tế đáng ngờ. Ngoài ra, các tác nhân đe dọa đang lợi dụng nền tảng phân phối beta TestFlight của Apple để phân phối các bản dựng iOS độc hại cho người dùng mục tiêu.

Chiến Lược Phòng Thủ Toàn Diện Chống Lại Tấn Công Mạng

Áp Dụng Xác Thực Đa Yếu Tố (MFA)

Các công ty phải triển khai xác thực đa yếu tố (MFA) bắt buộc để ngăn chặn việc bị xâm phạm thông tin xác thực leo thang thành chiếm quyền điều khiển tài khoản. Đây là điểm thất bại quan trọng nơi kẻ tấn công có được quyền truy cập vĩnh viễn vào các hệ thống của tổ chức.

Kết Hợp Công Nghệ và Giáo Dục Người Dùng Để Tăng Cường An Ninh Mạng

Với dữ liệu Quý 3 cho thấy các cuộc tấn công thành công khai thác tâm lý con người thay vì các lỗ hổng kỹ thuật, một phương pháp phòng thủ nhiều lớp kết hợp công nghệ và giáo dục người dùng đã chuyển từ thực hành được khuyến nghị thành một yêu cầu tổ chức cần thiết. Việc nâng cao nhận thức về an ninh mạng cho toàn bộ nhân viên là yếu tố then chốt để giảm thiểu các rủi ro bảo mật từ các cuộc tấn công email ngày càng tinh vi.