Nghiên cứu gần đây từ Raven AI đã phơi bày một vector tấn công mạng tinh vi. Kẻ gian đã tìm ra cách thức lợi dụng chính hạ tầng bảo mật của Cisco để thực hiện các cuộc tấn công nhắm vào người dùng. Hệ thống phát hiện theo ngữ cảnh của Raven AI đã khám phá một chiến dịch lừa đảo lấy thông tin đăng nhập. Chiến dịch này khai thác Cisco Safe Links nhằm né tránh các bộ quét email truyền thống và vượt qua bộ lọc mạng. Điều này nhấn mạnh một xu hướng nguy hiểm khi kẻ tấn công biến các công cụ bảo mật đáng tin cậy thành vũ khí, đặt ra thách thức lớn cho an ninh mạng hiện đại.

Bản Chất Cuộc Tấn Công Mạng Mới và Cơ Chế Khai Thác

Cuộc tấn công mạng này khai thác một điểm yếu cơ bản trong tâm lý con người và hệ thống bảo mật tự động: lòng tin dựa trên sự liên kết. Khi người dùng gặp các URL bắt đầu bằng “secure-web.cisco.com,” họ bản năng cho rằng các liên kết này đã được hạ tầng bảo mật của Cisco xác minh và chấp thuận. Lòng tin này cũng mở rộng đến các hệ thống bảo mật tự động, thường cho phép các miền mang thương hiệu Cisco vượt qua bộ lọc mà không cần kiểm tra nghiêm ngặt.

Cisco Safe Links Hoạt Động Như Thế Nào

Cisco Safe Links là một thành phần quan trọng của bộ giải pháp Secure Email Gateway và Web Security của Cisco. Công nghệ này được thiết kế để tăng cường bảo vệ bằng cách viết lại các URL đáng ngờ trong email. Khi người dùng nhấp vào một liên kết, nó sẽ được định tuyến qua hạ tầng phân tích mối đe dọa của Cisco. Sau khi phân tích, liên kết mới đưa người dùng đến đích cuối cùng. Mặc dù cơ chế này đã thành công trong việc ngăn chặn vô số cuộc tấn công lừa đảo, tội phạm mạng giờ đây đã phát hiện ra cách khai thác chính cơ chế bảo vệ này để tạo ra các mối đe dọa mạng mới.

Khai Thác Lòng Tin Để Thực Hiện Cuộc Tấn Công

Sự thành công của chiến thuật này nằm ở khả năng lợi dụng sự tin cậy. Các hệ thống bảo mật thường có danh sách trắng (whitelist) các miền hợp pháp, và cisco.com thường nằm trong số đó. Điều này có nghĩa là một liên kết dẫn đến “secure-web.cisco.com” sẽ ít bị nghi ngờ hơn. Kẻ tấn công lợi dụng giả định này để ngụy trang các liên kết độc hại, khiến chúng trở nên khó bị phát hiện bởi các công cụ dựa trên danh tiếng hoặc chữ ký truyền thống.

Các Phương Pháp Chính Tạo Liên Kết Cisco Safe Links Độc Hại

Các nhà nghiên cứu bảo mật đã xác định nhiều phương pháp chính mà kẻ tấn công sử dụng để tạo các liên kết Cisco Safe Links hợp pháp cho mục đích độc hại. Điều này cho phép chúng thực hiện các chiến dịch tấn công mạng lừa đảo một cách hiệu quả và đáng tin cậy.

• Chiếm quyền tài khoản tổ chức: Phương pháp phổ biến nhất bao gồm việc chiếm đoạt tài khoản trong các tổ chức được bảo vệ bởi Cisco. Kẻ tấn công, sau khi giành quyền kiểm soát một tài khoản hợp lệ, sẽ gửi email chứa liên kết độc hại cho chính họ. Hệ thống Cisco Safe Links sẽ tự động viết lại và tạo ra các Safe Links hợp lệ mà kẻ tấn công có thể thu thập và sử dụng trong các chiến dịch lừa đảo tiếp theo.
• Khai thác dịch vụ SaaS: Lợi dụng các dịch vụ SaaS (Software as a Service) hợp pháp mà các tổ chức sử dụng để gửi email qua môi trường được Cisco bảo vệ. Bằng cách thao túng các dịch vụ này, kẻ tấn công có thể tạo ra các email chứa liên kết độc hại được chuyển đổi thành Safe Links bởi hạ tầng Cisco. Điều này biến một quy trình kinh doanh hợp pháp thành một vector tấn công.
• Tái sử dụng Safe Links đã kích hoạt: Tái sử dụng các Safe Links đã hoạt động từ các chiến dịch trước đó. Những liên kết này vẫn giữ được sự tin cậy từ hạ tầng Cisco, ngay cả khi nội dung đích đã được thay đổi thành một trang phishing hoặc chứa mã độc. Phương pháp này đặc biệt nguy hiểm vì nó dựa trên tính hợp lệ đã được xác lập của liên kết.

Thách Thức Phát Hiện Cuộc Tấn Công Mạng Này và Giải Pháp

Các giải pháp bảo mật email truyền thống gặp khó khăn đáng kể với các cuộc tấn công mạng kiểu này. Chúng trông hoàn toàn hợp pháp ở mọi cấp độ kỹ thuật, từ tiêu đề email đến miền URL. Các yếu tố độc hại thường bị ẩn trong ngữ cảnh và hành vi của người dùng hoặc quy trình kinh doanh, thay vì các chỉ số kỹ thuật rõ ràng như chữ ký mã độc hay miền đã biết là độc hại. Nhiều cổng bảo mật tập trung phân tích các miền hiển thị trong URL, cho phép các miền cisco.com vượt qua hệ thống phát hiện mà không bị cảnh báo, bỏ qua các dấu hiệu đáng ngờ khác mà lẽ ra phải bị gắn cờ.

Bằng Chứng Từ Chiến Dịch Phishing Thực Tế

Hệ thống phát hiện theo ngữ cảnh của Raven AI gần đây đã xác định một ví dụ tinh vi về kỹ thuật tấn công mạng này đang hoạt động. Chiến dịch lừa đảo mạo danh một “Yêu cầu đánh giá tài liệu” từ một dịch vụ chữ ký điện tử. Email được thiết kế chuyên nghiệp, với thương hiệu và thuật ngữ kinh doanh chính xác, khiến người nhận khó lòng nghi ngờ về tính hợp pháp của nó. Đây là ví dụ điển hình cho thấy kẻ tấn công ngày càng tập trung vào khía cạnh xã hội và quy trình, không chỉ kỹ thuật.

Không giống như các giải pháp bảo mật truyền thống thường chỉ tập trung vào danh tiếng miền hoặc các mẫu chữ ký, AI của Raven đã xác định các điểm bất thường về ngữ cảnh trong quy trình làm việc kinh doanh. Ví dụ, việc một yêu cầu đánh giá tài liệu có cấu trúc URL bất thường hoặc chứa các tham số được mã hóa có thể là dấu hiệu của một tấn công mạng tinh vi. Điều này thể hiện khả năng của AI trong việc phân tích các yếu tố hành vi và ngữ nghĩa.

Hạn Chế Của Giải Pháp Bảo Mật Truyền Thống

Phương pháp tấn công mạng này đại diện cho một sự thay đổi cơ bản trong các mối đe dọa mạng hiện đại. Kẻ tấn công không còn chỉ khai thác các lỗ hổng kỹ thuật thuần túy mà thay vào đó, lợi dụng các mối quan hệ tin cậy và quy trình kinh doanh hợp pháp để đạt được mục đích. Điều này khiến các giải pháp bảo mật dựa trên chữ ký và danh tiếng truyền thống tỏ ra không đủ hiệu quả khi đối mặt với các cuộc tấn công chuyên nghiệp sử dụng hạ tầng đáng tin cậy. Khả năng né tránh của chúng cho thấy một khoảng trống nghiêm trọng trong khả năng phòng thủ hiện tại của nhiều tổ chức.

Để biết thêm chi tiết về cơ chế phát hiện và phân tích sâu hơn, bạn có thể tham khảo bài viết gốc của Raven AI tại RavenMail Blog.

Nâng Cao An Ninh Mạng Với AI Dựa Trên Ngữ Cảnh

Sự cố này nhấn mạnh tầm quan trọng ngày càng tăng của AI dựa trên ngữ cảnh trong lĩnh vực an ninh mạng email. Công nghệ này không chỉ phân tích các thành phần kỹ thuật của giao tiếp như tiêu đề, nội dung và URL. Nó còn xem xét các mẫu hành vi và sự phù hợp của chúng với quy trình kinh doanh thông thường. Bằng cách đó, AI có thể nhận diện những bất thường tinh vi mà các hệ thống truyền thống bỏ qua, giúp các tổ chức phản ứng nhanh hơn với các hình thức phát hiện tấn công mới nổi và chưa từng biết trước đây.

Khi kẻ tấn công tiếp tục phát triển kỹ thuật để khai thác hạ tầng bảo mật đáng tin cậy, các tổ chức phải điều chỉnh hệ thống phòng thủ của mình. Mục tiêu không còn chỉ là chặn các tác nhân xấu đã biết, mà là hiểu rõ ý định của kẻ tấn công và dự đoán các phương pháp mới. Điều này giúp tăng cường khả năng phát hiện tấn công mạng sớm và hiệu quả, bảo vệ tài sản số quan trọng và duy trì tính toàn vẹn của hệ thống.