Các nhà nghiên cứu bảo mật tại Cofense Phishing Defense Center (PDC) đã phát hiện một làn sóng mới của các tấn công phishing nhằm thu thập thông tin đăng nhập. Những chiến dịch này lợi dụng dịch vụ email đám mây uy tín SendGrid để phát tán lừa đảo qua email.

Kẻ tấn công khai thác trạng thái đáng tin cậy của SendGrid, vốn thường được sử dụng cho các thông tin giao dịch và tiếp thị, để tạo ra các thông điệp có khả năng né tránh các cổng bảo mật email tiêu chuẩn. Bằng cách giả mạo địa chỉ người gửi và bắt chước các thông báo hợp pháp từ SendGrid, các tác nhân đe dọa này phát tán payload phishing dưới dạng cảnh báo xác thực, làm tăng đáng kể tỷ lệ thành công trong việc xâm phạm thông tin đăng nhập của người dùng.

Kỹ Thuật Tấn Công Phishing và Chiêu Trò Lừa Đảo

Lợi Dụng Uy Tín SendGrid

Các chiến dịch này tận dụng sự tin cậy mà người dùng dành cho SendGrid để lừa đảo. Đây là một dạng tấn công phishing tinh vi, kẻ tấn công sử dụng các kỹ thuật giả mạo tinh vi để làm cho email có vẻ như đến từ một nguồn đáng tin cậy, vượt qua các lớp bảo mật email ban đầu.

Các Chủ Đề Email Phishing Phổ Biến

Chiến dịch triển khai ba chủ đề email riêng biệt, mỗi chủ đề được thiết kế để khai thác các yếu tố tâm lý như khẩn cấp, tò mò và lòng tham. Sự đa dạng trong chủ đề giúp kẻ tấn công tiếp cận được nhiều đối tượng nạn nhân hơn và tối đa hóa hiệu quả của các cuộc tấn công phishing.

Chủ Đề 1: “Địa Điểm Đăng Nhập Mới”

Biến thể đầu tiên có dòng tiêu đề cảnh báo về “New Login Location”. Email được thiết kế với thương hiệu chuyên nghiệp, logo kích thước chính xác và một nỗ lực đăng nhập đáng ngờ bịa đặt từ một địa chỉ IP và địa điểm giả mạo.

Nó trấn an người nhận bằng những cụm từ như “If this was you, no further action is needed”, ngầm giảm bớt cảnh giác trước khi yêu cầu nhấp vào một liên kết độc hại được dán nhãn “access by clicking this link”.

Liên kết này, được nhúng trong một cơ chế chuyển hướng mở (open redirect), dẫn người dùng đến một cổng đăng nhập SendGrid giả mạo được thiết kế để đánh cắp thông tin đăng nhập.

Chủ Đề 2: “Nâng Cấp Gói Cao Cấp Miễn Phí”

Dựa trên các kỹ thuật giả mạo tương tự, email thứ hai thu hút nạn nhân bằng lời hứa nâng cấp miễn phí lên “Elite Tier” với các lợi ích cao cấp, tận dụng sự hấp dẫn của các đặc quyền độc quyền.

Nội dung email kết thúc bằng lời nhắc “Activate Elite Tier Benefits” chứa liên kết độc hại, một lần nữa khai thác các chuyển hướng mở để che giấu bản chất thực sự của trang phishing.

Chủ Đề 3: “Thay Đổi Số Điện Thoại Trái Phép”

Chủ đề thứ ba làm tăng mức độ hoảng loạn bằng cách tuyên bố có một thay đổi trái phép đối với số điện thoại của người dùng. Email thúc giục hành động ngay lập tức thông qua một liên kết “Access Account Settings” chuyển hướng đến cùng một miền thu thập thông tin đăng nhập, là mục tiêu cuối cùng của các tấn công phishing.

Cơ Chế Khai Thác: Lỗ Hổng Open Redirect

Cách Thức Che Giấu Liên Kết Độc Hại

Cốt lõi của chuỗi tấn công phishing này là các lỗ hổng chuyển hướng mở (open redirect) bị lạm dụng, chẳng hạn như những gì được quan sát thấy trong các miền như url6849[.]destinpropertyexpert[.]com/ls/click?. Các lỗ hổng này chấp nhận các URL tùy ý làm tham số và chuyển hướng tương ứng.

Chiến thuật này che giấu các đích đến độc hại phía sau các miền đáng tin cậy, vượt qua khả năng phát hiện và kiểm soát bảo mật trong khi ngụy trang lưu lượng truy cập là hợp pháp.

Trang Phishing Giả Mạo

Nạn nhân nhấp vào các liên kết này sẽ được đưa đến các trang phishing, ví dụ như hXXps://loginportalsg[.]com. Các trang này tái tạo tỉ mỉ giao diện của SendGrid nhưng hoạt động dưới các miền do kẻ tấn công kiểm soát.

Các dấu hiệu đáng chú ý bao gồm các URL không chính thức, mà người dùng phải kiểm tra kỹ lưỡng trước khi nhập thông tin đăng nhập.

Các email phishing này thể hiện kỹ thuật kỹ thuật xã hội (social engineering) tiên tiến, kết hợp giả mạo email alias, biến thể chủ đề và thao túng cảm xúc để thu thập thông tin nhạy cảm.

Dấu Hiệu Nhận Biết và Chỉ Số IOC

Các Chỉ Số Thỏa Hiệp (IOCs)

Để phát hiện và ứng phó với các cuộc tấn công phishing này, các tổ chức nên chú ý đến các chỉ số thỏa hiệp (IOCs) sau:

• Miền chuyển hướng mở bị lạm dụng:url6849[.]destinpropertyexpert[.]com/ls/click?
• Miền trang phishing:hXXps://loginportalsg[.]com

Dấu Hiệu Cảnh Báo

Người dùng cần luôn cảnh giác và kiểm tra kỹ lưỡng các dấu hiệu sau trong email:

• URL không chính thức hoặc có vẻ đáng ngờ khi di chuột qua liên kết.
• Yêu cầu hành động khẩn cấp hoặc đe dọa (ví dụ: tài khoản sẽ bị khóa).
• Lỗi chính tả hoặc ngữ pháp trong email.
• Thông báo đòi hỏi cung cấp thông tin cá nhân hoặc thông tin đăng nhập.

Tác Động và Biện Pháp Phòng Ngừa

Hậu Quả Tiềm Ẩn của Mối Đe Dọa Mạng

Theo báo cáo từ Cofense PDC, các chiến dịch như vậy làm tăng nguy cơ rò rỉ dữ liệu, thiệt hại về danh tiếng và gián đoạn hoạt động cho các doanh nghiệp. Việc để lộ thông tin đăng nhập có thể dẫn đến các cuộc tấn công phishing tiếp theo hoặc xâm nhập sâu hơn vào hệ thống.

Điều này nhấn mạnh tầm quan trọng của việc duy trì một chiến lược an ninh mạng mạnh mẽ để đối phó với những mối đe dọa mạng ngày càng tinh vi.

Chi tiết hơn về chiến dịch này có thể tham khảo tại báo cáo gốc của Cofense: Phishing in the Cloud: SendGrid Campaign Exploits Account Security.

Chiến Lược Bảo Vệ Hiệu Quả

Để giảm thiểu rủi ro từ các tấn công phishing, các tổ chức nên triển khai các biện pháp sau:

• Lọc email mạnh mẽ: Sử dụng các giải pháp lọc email tiên tiến để phát hiện và chặn email lừa đảo trước khi chúng đến hộp thư của người dùng.
• Đào tạo nhận thức người dùng: Tổ chức các buổi đào tạo thường xuyên để nâng cao nhận thức của nhân viên về các kỹ thuật phishing, đặc biệt là cách xác minh URL và nhận biết các dấu hiệu lừa đảo.
• Xác thực đa yếu tố (MFA): Bắt buộc sử dụng xác thực đa yếu tố cho tất cả các tài khoản, đặc biệt là các tài khoản nhạy cảm, để thêm một lớp bảo mật ngay cả khi thông tin đăng nhập bị đánh cắp.
• Cập nhật hệ thống: Đảm bảo tất cả hệ thống và phần mềm đều được cập nhật các bản vá bảo mật mới nhất để khắc phục các lỗ hổng tiềm ẩn.