Báo cáo an ninh mạng mới nhất đã hé lộ một thực tế đáng báo động về tình hình các hoạt động phishing trực tuyến. Nghiên cứu gần đây đã phát hiện hơn 42.000 URL và tên miền hợp lệ đang hoạt động để cung cấp các bộ công cụ phishing (phishing kits), hạ tầng điều khiển và kiểm soát (command-and-control), cùng các hệ thống phân phối mã độc. Quy mô và sự tinh vi của các hoạt động này cho thấy một sự khác biệt đáng kể so với các nỗ lực phishing truyền thống, đặt ra những thách thức lớn cho an ninh mạng.

Sự Chuyển Đổi Trong Hạ Tầng Tấn Công Mạng

Các chiến dịch phishing hiện đại không còn chỉ dừng lại ở các tên miền sai chính tả đơn giản hay thông điệp được viết kém chất lượng. Thay vào đó, chúng hoạt động với hiệu quả và sự tổ chức của các công ty công nghệ hợp pháp.

Bối cảnh mối đe dọa mạng đã chuyển đổi cơ bản từ các cuộc tấn công cá nhân, tạm thời thành các tổ chức tội phạm có sự phối hợp chuyên nghiệp.

Những hoạt động này tận dụng việc quản lý hạ tầng chuyên nghiệp, cam kết thời gian hoạt động mạnh mẽ và các kỹ thuật né tránh được thiết kế tinh vi, có thể cạnh tranh với các hệ thống bảo mật cấp doanh nghiệp.

Hạ Tầng Ổn Định và Khả Năng Giải Quyết DNS Cao

Các nhà phân tích bảo mật từ SicuraNext đã xác định rằng hạ tầng hỗ trợ các chiến dịch này thể hiện sự trưởng thành trong hoạt động đáng chú ý. Tỷ lệ giải quyết DNS trung bình đạt 96,16%, cho thấy các tên miền độc hại này được duy trì rất ổn định và hoạt động hiệu quả. Đây là một yếu tố quan trọng giúp duy trì các chiến dịch tấn công mạng liên tục và khó bị phát hiện.

Sự ổn định này đảm bảo rằng các nạn nhân có thể truy cập các trang phishing một cách nhất quán, tăng tỷ lệ thành công của các cuộc tấn công và gây ra rủi ro bảo mật nghiêm trọng.

Cloudflare và Vai Trò Trung Tâm Trong Hạ Tầng Phishing

Nghiên cứu của SicuraNext cũng chỉ ra rằng Cloudflare đóng vai trò là nhà cung cấp hạ tầng chính cho các hoạt động phishing trên toàn thế giới. Phân tích tiết lộ rằng 17.202 trong số 25.305 tên miền độc hại được theo dõi, tương đương 68% tổng số hạ tầng phishing, hoạt động thông qua mạng lưới của Cloudflare.

Sự tập trung này xuất phát từ việc gói dịch vụ miễn phí của Cloudflare mang lại cho các tác nhân đe dọa nhiều lợi ích đáng kể:

• Không có chi phí trả trước.
• Bảo vệ DDoS đẳng cấp thế giới.
• Dịch vụ proxy giúp che giấu hiệu quả các máy chủ lưu trữ thực sự.

Hàng ngàn tên miền độc hại tập trung trên AS13335, số hệ thống tự trị chính của Cloudflare, đã biến nền tảng này thành ‘căn cứ địa’ trên thực tế cho các hoạt động phishing toàn cầu. Nguồn chi tiết từ SicuraNext cung cấp phân tích sâu hơn về vấn đề này.

Nguy Hiểm Từ Phishing-as-a-Service (PhaaS)

Sự phát triển nguy hiểm nhất liên quan đến các nền tảng Phishing-as-a-Service (PhaaS), điển hình là EvilProxy và Tycoon 2FA. Không giống như các bộ công cụ phishing truyền thống chỉ đơn giản đánh cắp mật khẩu, các dịch vụ này hoạt động như các proxy tấn công trung gian (adversary-in-the-middle proxies), tự định vị giữa nạn nhân và các dịch vụ hợp pháp.

Khi người dùng xác thực, bộ công cụ sẽ chặn phiên của họ trong khi chuyển tiếp thông tin đăng nhập đến dịch vụ thật. Sau đó, nó sẽ thu giữ cookie phiên kết quả. Cách tiếp cận này hoàn toàn vượt qua các biện pháp bảo vệ xác thực đa yếu tố (MFA).

Sự xuất hiện của PhaaS làm gia tăng đáng kể rủi ro bảo mật cho các tổ chức và cá nhân, khi các biện pháp bảo vệ truyền thống trở nên vô hiệu. Đây là một hình thức tấn công mạng cực kỳ hiệu quả và khó phát hiện.

Kỹ Thuật Né Tránh Nâng Cao Của PhaaS

Các nền tảng PhaaS tinh vi này tích hợp nhiều công nghệ né tránh để tránh bị phát hiện bởi các nhà nghiên cứu bảo mật và hệ thống an ninh:

• Geofencing: Chặn các nhà nghiên cứu bảo mật dựa trên phạm vi địa chỉ IP. Các trang độc hại chỉ hiển thị ở các khu vực địa lý cụ thể.
• User-agent-based cloaking: Hạn chế khả năng hiển thị nội dung cho các loại thiết bị cụ thể. Các trang độc hại thường chỉ hiển thị trên trình duyệt di động để tránh bị kiểm tra trên máy tính.
• Developer tools detection: Ngay lập tức ngừng chức năng của trang khi các nhà nghiên cứu bảo mật mở công cụ kiểm tra (inspection tools) của trình duyệt.
• Cloudflare CAPTCHA filters: Tự động lọc các máy quét bảo mật tự động, chỉ cho phép người dùng thật truy cập trang.

Những kỹ thuật này làm cho việc phân tích và chống lại các cuộc tấn công mạng phishing trở nên phức tạp hơn, đòi hỏi các giải pháp bảo mật phải liên tục được cập nhật và cải tiến.

Dấu Hiệu Hoạt Động Phối Hợp và Chuyên Nghiệp

Phân tích đã xác định 20 cụm phishing riêng biệt chia sẻ các dấu vân tay hạ tầng giống hệt nhau, các dải IP được luân chuyển, cùng một nhà đăng ký và các mẫu né tránh trùng khớp. Điều này chứng minh các hoạt động này được quản lý chuyên nghiệp và có sự phối hợp, chứ không phải là các cuộc tấn công cơ hội đơn lẻ.

Các nhóm đe dọa đứng sau những cụm phishing này hoạt động với một mức độ tinh vi cao, áp dụng các chiến thuật thường thấy ở các tổ chức tội phạm có tổ chức. Khả năng phối hợp này cho thấy một sự thay đổi trong cách thức các cuộc tấn công mạng được thực hiện, từ các cá nhân riêng lẻ sang các nhóm có nguồn lực đáng kể.

Việc nhận diện các mẫu né tránh và hạ tầng chia sẻ này là cực kỳ quan trọng để phát triển các chiến lược phòng thủ hiệu quả, giúp ngăn chặn các chiến dịch phishing phức tạp và bảo vệ người dùng khỏi rủi ro bảo mật.