Cảnh quan an ninh mạng đang chứng kiến một chiến dịch tấn công phishing mới, tận dụng nền tảng không cần mã (no-code) AppSheet của Google để thu thập thông tin đăng nhập của người dùng. Bằng cách lạm dụng hạ tầng email đáng tin cậy của AppSheet, những kẻ tấn công đang vượt qua các kiểm soát bảo mật truyền thống và phân phối nội dung độc hại từ các tên miền hợp pháp. Diễn biến này nhấn mạnh nhu cầu cấp thiết về các hệ thống phát hiện theo ngữ cảnh, có khả năng phân tích ý định của thông điệp chứ không chỉ dựa vào tính xác thực của người gửi.

AppSheet: Nền Tảng Được Tin Cậy và Nguy Cơ Lạm Dụng

AppSheet, được Google mua lại vào năm 2020, cho phép người dùng xây dựng các ứng dụng di động và web từ nhiều nguồn dữ liệu khác nhau như Google Sheets, tệp Excel và cơ sở dữ liệu đám mây. Do tích hợp chặt chẽ với Google Workspace, AppSheet gửi email tự động cho các thông báo ứng dụng, xác nhận đồng bộ hóa dữ liệu, yêu cầu truy cập người dùng, cảnh báo trạng thái hệ thống và cập nhật quy trình làm việc.

Các tổ chức trên toàn thế giới xem các liên lạc từ “appsheet.com” là đáng tin cậy, gắn liền với các tiêu chuẩn bảo mật nghiêm ngặt của Google. Hàng triệu doanh nghiệp tận dụng AppSheet để tối ưu hóa quy trình mà không cần viết mã. Điều này dẫn đến các môi trường doanh nghiệp nơi thông điệp AppSheet phổ biến và hiếm khi bị nghi ngờ.

Phân Tích Kỹ Thuật Chiến Dịch Tấn Công Phishing Qua AppSheet

Một làn sóng email tấn công phishing gần đây đã lạm dụng các máy chủ thư hợp pháp và giao thức xác thực của AppSheet để tránh bị phát hiện. Chiến dịch nhắm mục tiêu vào các tổ chức sử dụng Google Workspace thông qua email mang thương hiệu AppSheet. Điều này minh họa hoàn hảo cách các kiểm soát bảo mật truyền thống trở nên vô dụng khi kẻ tấn công lạm dụng cơ sở hạ tầng hợp pháp.

Kẻ tấn công đã sử dụng một công cụ rút gọn URL của Google trông giống hệt thật trong lời kêu gọi hành động. Liên kết này dẫn nạn nhân đến các trang thu thập thông tin đăng nhập. Kẻ tấn công đã triển khai ba kịch bản lạm dụng chính để thực hiện chiến dịch này.

Diễn Biến và Quy Mô Tấn Công

Chiến dịch này phát triển dựa trên một xu hướng được quan sát lần đầu vào tháng 3 năm 2025. Hoạt động tấn công phishing dựa trên AppSheet đã đạt đỉnh vào ngày 20 tháng 4, chiếm 10.88% tổng lượng email phishing toàn cầu. Gần như tất cả các email đều mạo danh Meta, với một phần nhỏ nhắm mục tiêu vào PayPal.

Những nỗ lực trước đó đã sử dụng các định danh đa hình và các nền tảng lưu trữ uy tín như Vercel để tránh bị phát hiện. Điều này cho thấy khả năng mở rộng và sự tinh vi của các cuộc tấn công sử dụng AppSheet. Chi tiết về chiến dịch này có thể được tham khảo thêm tại Ravenmail blog.

Thất Bại của Phòng Thủ Email Truyền Thống và Giải Pháp Mới cho Bảo Mật Email

Các biện pháp phòng thủ email truyền thống, vốn tập trung vào uy tín tên miền và kiểm tra xác thực, đã tỏ ra không hiệu quả đối với chiến dịch tấn công phishing này. Tuy nhiên, công cụ AI của Raven, với khả năng nhận biết ngữ cảnh, đã xác định được những điểm bất thường trong nội dung và ý định của thông điệp.

Phân tích của hệ thống này mở rộng ra ngoài việc xác minh tính hợp pháp của người gửi. Nó còn đánh giá xem chủ đề, nội dung thư và lời kêu gọi hành động của email có phù hợp với các trường hợp sử dụng AppSheet chính hãng hay không.

Các Chỉ Báo Phát Hiện Tấn Công Quan Trọng

• Nội dung email không khớp với các thông báo AppSheet thông thường.
• Sự xuất hiện của các liên kết đáng ngờ hoặc URL rút gọn không rõ nguồn gốc.
• Sự chênh lệch giữa mục đích của email và hành vi người dùng mong đợi.
• Lời kêu gọi hành động yêu cầu cung cấp thông tin nhạy cảm một cách bất thường.

Khi gắn cờ các thông điệp đáng ngờ, Raven đã khuyên các quản trị viên xác minh các liên kết và liên hệ với nhóm pháp lý của AppSheet hoặc Google Cloud trước khi thực hiện bất kỳ hành động nào. Điều này đã ngăn chặn hiệu quả việc lộ thông tin đăng nhập.

Xây Dựng Khung Tin Cậy Hành Vi và Ngăn Chặn Tấn Công Phishing Tương Lai

Chiến dịch tấn công phishing qua AppSheet chứng minh một lỗ hổng cơ bản khi chỉ dựa vào các biện pháp phòng thủ dựa trên xác thực. Kẻ tấn công ngày càng lạm dụng các nền tảng hợp pháp để phân phối nội dung độc hại, vượt qua các kiểm tra SPF, DKIM và DMARC một cách dễ dàng. Các nhóm bảo mật phải chuyển từ mô hình nhị phân “đáng tin cậy so với không đáng tin cậy” sang các khung tin cậy dựa trên hành vi và ngữ cảnh.

Kiến Trúc Bảo Mật Email Tương Lai

Bảo mật email trong tương lai cần tích hợp các yếu tố sau:

• Phân tích ý định và ngữ cảnh của email.
• Mô hình hóa hành vi người dùng để phát hiện điểm bất thường.
• Sử dụng trí tuệ nhân tạo (AI) và học máy (ML) để phát hiện các mối đe dọa mới nổi.
• Tích hợp thông tin về mối đe dọa (threat intelligence) theo thời gian thực.
• Khả năng thích ứng với các kỹ thuật lạm dụng nền tảng mới.

Khi các đối thủ khai thác cơ sở hạ tầng của các dịch vụ được áp dụng rộng rãi như AppSheet, các tổ chức không thể chỉ dựa vào uy tín người gửi. Chỉ bằng cách áp dụng phương pháp phát hiện dựa trên ngữ cảnh và định hướng hành vi, các doanh nghiệp mới có thể tự bảo vệ mình trước thế hệ tiếp theo của các mối đe dọa tấn công phishing tinh vi.