Tin tức bảo mật mới nhất cho thấy một chiến dịch tấn công mạng lừa đảo (phishing) tinh vi đang nhắm mục tiêu vào các tổ chức. Chiến dịch này khai thác sự tin cậy vào hệ thống an ninh nội bộ bằng cách giả mạo thông báo gửi email, hiển thị dưới dạng cảnh báo bộ lọc thư rác (spam-filter) hợp pháp.

Các email lừa đảo này được thiết kế để đánh cắp thông tin đăng nhập, có thể dẫn đến việc chiếm đoạt tài khoản email, lưu trữ đám mây và các hệ thống nhạy cảm khác. Đây là một mối đe dọa mạng nghiêm trọng đòi hỏi sự cảnh giác cao độ.

Chi tiết Chiến dịch Lừa đảo Phishing

Cơ chế Khởi đầu và Giả mạo

Cuộc tấn công mạng bắt đầu bằng một email thông báo rằng các bản nâng cấp gần đây cho hệ thống Secure Message của tổ chức đã khiến một số thư bị giữ lại và không thể đến hộp thư đến của người nhận.

Thông báo hiển thị một báo cáo gửi thư chuyên nghiệp, bao gồm địa chỉ email của mục tiêu, chủ đề thư chung chung nhằm tránh gây nghi ngờ, và thông tin trạng thái được trình bày theo định dạng có cấu trúc.

Người nhận được yêu cầu nhấp vào nút “Move to Inbox” để khôi phục các thư được cho là đang bị giữ, cùng với lời cam đoan rằng thư sẽ được gửi trong vòng một đến hai giờ sau khi xác nhận.

Kỹ thuật Chuyển hướng và Trang Lừa đảo

Cả nút hành động chính và liên kết hủy đăng ký đều sử dụng cơ chế chuyển hướng thông qua cbssports[.]com để che giấu đích đến thực sự. Trang đích thực chất là một trang lừa đảo (phishing site) được lưu trữ trên tên miền mdbgo[.]io.

Các nhà nghiên cứu bảo mật tại Unit42 ban đầu đã xác định loại chiến dịch này, thúc đẩy một cuộc điều tra sâu hơn về cơ chế hoạt động của chúng.

Chỉ số Tổn thương (IoCs)

Các chỉ số tổn thương liên quan đến chiến dịch tấn công mạng lừa đảo này bao gồm các tên miền được sử dụng cho chuyển hướng và lưu trữ trang lừa đảo:

• Chuyển hướng (Redirector): cbssports[.]com
• Trang lừa đảo (Phishing Site): mdbgo[.]io

Mức độ Tinh vi của Hạ tầng Phishing và Thu thập Thông tin

Kỹ thuật Cá nhân hóa và Che giấu

Hạ tầng lừa đảo thể hiện sự tinh vi đáng chú ý. Các liên kết trong email giả mạo truyền địa chỉ email của mục tiêu dưới dạng chuỗi được mã hóa Base64 đến trang lừa đảo.

Trang lừa đảo sau đó hiển thị màn hình đăng nhập giả mạo với tên miền của nạn nhân đã được điền sẵn. Sự cá nhân hóa này tạo ra một ảo giác về tính hợp pháp, có thể đánh lừa ngay cả những người dùng thận trọng.

Phân tích gần đây tiết lộ biến thể tấn công mạng này đã trở nên tiên tiến hơn so với báo cáo ban đầu. Trang lừa đảo sử dụng mã nguồn được mã hóa nặng nề và thu thập thông tin đăng nhập thông qua công nghệ Websocket.

Exfiltration Dữ liệu qua WebSocket

Websocket tạo ra một kết nối liên tục giữa trình duyệt và máy chủ, hoạt động giống như một cuộc gọi điện thoại liên tục. Điều này khác biệt so với các biểu mẫu web truyền thống chỉ gửi dữ liệu khi người dùng nhấp vào nút gửi.

Với Websocket, thông tin được truyền đi ngay lập tức khi nạn nhân nhập liệu. Khả năng xuất dữ liệu theo thời gian thực này cho phép kẻ tấn công nhận thông tin đăng nhập ngay khi chúng được nhập.

Kẻ tấn công thậm chí có thể gửi các lời nhắc bổ sung yêu cầu mã xác thực hai yếu tố (2FA). Một khi kẻ tấn công có được những chi tiết này, họ có thể ngay lập tức truy cập tài khoản email, các tệp được lưu trữ trên đám mây, đặt lại mật khẩu cho các dịch vụ khác, và mạo danh nạn nhân trên nhiều nền tảng, dẫn đến đánh cắp dữ liệu nghiêm trọng.

Biện pháp Phòng ngừa và Nâng cao An toàn Thông tin

Quy tắc Cơ bản để Tự Bảo vệ

Các chuyên gia bảo mật nhấn mạnh hai quy tắc cơ bản để tránh những mối đe dọa mạng này. Đầu tiên, không bao giờ mở các tệp đính kèm không mong muốn hoặc từ nguồn không rõ ràng.

Thứ hai, luôn xác minh địa chỉ trang web trong trình duyệt của bạn trước khi nhập thông tin đăng nhập. Đảm bảo rằng địa chỉ khớp với trang web hợp pháp mà bạn mong đợi.

Nếu bạn đã vô tình nhập thông tin đăng nhập vào một trang web đáng ngờ, hãy thay đổi mật khẩu của mình ngay lập tức. Đây là bước quan trọng để bảo vệ an toàn thông tin cá nhân và tổ chức.

Các Biện pháp Bảo mật Toàn diện

Các giải pháp bảo mật như Malwarebytes Browser Guard có thể cung cấp một lớp phòng thủ bổ sung. Chúng giúp chặn quyền truy cập vào các trang lừa đảo đã biết trước khi thông tin đăng nhập được nhập.

Các biện pháp bảo vệ bổ sung bao gồm xác minh địa chỉ email người gửi để đảm bảo tính xác thực. Đồng thời, cần xác nhận các tệp đính kèm hoặc liên kết không mong muốn thông qua các kênh liên lạc thay thế.

Duy trì phần mềm bảo mật cập nhật với khả năng bảo vệ web, giữ tất cả thiết bị và phần mềm được cập nhật là yếu tố then chốt. Kích hoạt xác thực đa yếu tố (MFA) trên tất cả các tài khoản và sử dụng trình quản lý mật khẩu sẽ không tự động điền thông tin đăng nhập trên các trang web gian lận, góp phần nâng cao an toàn thông tin tổng thể.

Đào tạo và Nhận thức Người dùng

Các tổ chức nên giáo dục nhân viên về các chiến thuật giả mạo (spoofing). Đây là kỹ thuật mà tội phạm mạng mạo danh các thực thể đáng tin cậy để chiếm được lòng tin, truy cập hệ thống, đánh cắp dữ liệu, hoặc phát tán phần mềm độc hại.

Giả mạo email (email spoofing) liên quan đến việc gửi các tin nhắn với địa chỉ người gửi giả mạo một cách rõ ràng. Đây là một phần của các cuộc tấn công mạng lừa đảo được thiết kế để đánh cắp thông tin hoặc cài đặt phần mềm độc hại.