Microsoft Phát Hiện Chiến Dịch Phishing Tấn Công 35.000 Người Dùng Tại 13.000 Tổ Chức

Microsoft Phát Hiện Chiến Dịch Đánh Cắp Token Phishing Khổng Lồ

Microsoft đã công bố một chiến dịch phishing quy mô lớn đã xâm phạm các token xác thực của hơn 35.000 người dùng trải rộng trên 13.000 tổ chức. Những kẻ tấn công giả mạo người gửi chính thức bằng cách sử dụng các email có chủ đề "quy tắc ứng xử" được thiết kế chuyên nghiệp, một chiến thuật kỹ nghệ xã hội được thiết kế để trông có vẻ thông thường và đáng tin cậy trong hộp thư doanh nghiệp. Các công ty chăm sóc sức khỏe, dịch vụ tài chính và công nghệ phải chịu đựng nặng nề nhất từ các cuộc tấn công, khiến đây trở thành một trong những vụ tiết lộ đánh cắp thông tin xác thực có hậu quả nghiêm trọng nhất trong thời gian gần đây.

Điều phân biệt chiến dịch này với các vụ phishing thông thường là sự tập trung vào việc đánh cắp token xác thực thay vì mật khẩu trực tiếp. Token là các thông tin xác thực kỹ thuật số nhỏ chứng minh rằng người dùng đã đăng nhập, và việc chiếm được một token có thể cho phép kẻ tấn công truy cập đầy đủ vào tài khoản mà không cần biết mật khẩu. Điều này có nghĩa là ngay cả những người dùng có mật khẩu mạnh và độc đáo vẫn có thể bị xâm phạm nếu token phiên của họ bị đánh chặn.

Tại Sao Việc Đánh Cắp Token Xác Thực Lại Đặc Biệt Nguy Hiểm

Phishing truyền thống thường cố gắng lừa người dùng nhập tên đăng nhập và mật khẩu của họ vào một trang đăng nhập giả mạo. Đánh cắp token đi xa hơn một bước. Khi kẻ tấn công nắm giữ một token xác thực hợp lệ, chúng thường có thể bỏ qua hoàn toàn các kiểm tra bảo mật, bao gồm một số hình thức xác thực đa yếu tố (MFA) chỉ xác minh danh tính tại thời điểm đăng nhập. Phiên làm việc đã được xác thực từ góc độ của hệ thống, vì vậy không có gì cần xác minh lại.

Điều này đặc biệt đáng lo ngại đối với các tổ chức trong các ngành được quản lý chặt chẽ như chăm sóc sức khỏe và tài chính, nơi dữ liệu nhạy cảm, hồ sơ khách hàng và các hệ thống tài chính nằm phía sau những lần đăng nhập đó. Một token bị đánh cắp duy nhất có thể đóng vai trò như một chìa khóa vạn năng vào email, lưu trữ đám mây, các công cụ nội bộ và nền tảng liên lạc của nhân viên miễn là token đó vẫn còn hiệu lực.

Hình thức chuyên nghiệp của các email mồi nhử khiến điều này càng khó phòng thủ ở cấp độ con người. Các thông báo "quy tắc ứng xử" mang không khí của quyền hạn và tính khẩn cấp, hai yếu tố là đòn bẩy đáng tin cậy trong kỹ nghệ xã hội. Nhân viên được điều kiện hóa để coi trọng những thông điệp này, và đó chính xác là lý do tại sao những kẻ tấn công chọn cách đóng khung đó.

Điều Này Có Ý Nghĩa Gì Đối Với Bạn

Nếu bạn làm việc tại một tổ chức, đặc biệt là trong lĩnh vực chăm sóc sức khỏe, tài chính hoặc công nghệ, chiến dịch này là một lời nhắc nhở cụ thể rằng các mối đe dọa phishing đã trở nên tinh vi hơn. Nhấp vào một liên kết trong một email được thiết kế tốt và đăng nhập vào một cổng trông có vẻ hợp pháp có thể làm lộ token phiên của bạn mà bạn không nhận ra điều gì đó đã xảy ra.

Một số lớp phòng thủ kết hợp với nhau để giảm thiểu rủi ro này:

Xác thực đa yếu tố vẫn là điều cần thiết. Mặc dù các kỹ thuật đánh cắp token nâng cao có thể bỏ qua một số triển khai MFA, khóa bảo mật phần cứng và xác thực dựa trên passkey khó bị phá vỡ hơn đáng kể so với mã SMS hoặc mã dựa trên ứng dụng. Các tổ chức nên ưu tiên các tiêu chuẩn MFA chống phishing như FIDO2 bất cứ khi nào có thể.

Các biện pháp bảo vệ cấp mạng bổ sung thêm một lớp nữa. VPN mã hóa lưu lượng truy cập giữa thiết bị của bạn và internet rộng hơn, điều này hạn chế khả năng kẻ tấn công đánh chặn dữ liệu trong quá trình truyền tải trên các mạng không đáng tin cậy. Khi nhân viên làm việc từ xa hoặc kết nối qua Wi-Fi công cộng, lưu lượng không được mã hóa dễ bị đánh chặn. Hiểu cách các giao thức VPN khác nhau xử lý mã hóa và đường hầm có thể giúp các tổ chức và cá nhân chọn các cấu hình thực sự tăng cường kết nối của họ thay vì chỉ tạo ra vẻ ngoài của bảo mật.

Việc kiểm tra email quan trọng hơn bao giờ hết. Ngay cả những người dùng có kỹ thuật tinh thông cũng nên dừng lại trước khi nhấp vào các liên kết trong các thông báo email bất ngờ, đặc biệt là những thông báo mang tính khẩn cấp hoặc quyền hạn hành chính. Xác nhận các yêu cầu qua một kênh riêng biệt, truy cập trực tiếp vào một cổng chính thức thay vì sử dụng các liên kết email, là một thói quen ít tốn công sức nhưng có giá trị phòng thủ thực sự.

Thời gian tồn tại của token và quản lý phiên xứng đáng được chú ý. Các nhóm bảo mật nên xem xét thời gian token xác thực còn hiệu lực và thực thi các cửa sổ phiên ngắn hơn cho các ứng dụng nhạy cảm. Token càng hoạt động lâu, token bị đánh cắp càng có thể được sử dụng lâu hơn.

Bài Học Cho Các Tổ Chức Và Cá Nhân

Thông báo của Microsoft này là một lời nhắc hữu ích để kiểm tra các thực hành bảo mật hiện tại hơn là lý do để hoảng loạn. Các chiến dịch đánh cắp thông tin xác thực ở quy mô này thành công vì chúng khai thác khoảng cách giữa nhận thức và hành động. Một vài bước cụ thể đáng thực hiện ngay bây giờ:

• Xem xét các cài đặt MFA và chuyển sang các phương pháp xác thực chống phishing khi có thể.
• Đảm bảo nhân viên làm việc từ xa sử dụng VPN trên các mạng không đáng tin cậy để mã hóa lưu lượng trong quá trình truyền tải. Nếu bạn không chắc giao thức nào phù hợp nhất với mô hình mối đe dọa của mình, việc xem xét cách mỗi giao thức xử lý bảo mật và hiệu suất là một điểm khởi đầu thực tế.
• Đào tạo nhân viên để nhận biết các mồi nhử kỹ nghệ xã hội, bao gồm các email dựa trên quyền hạn như thông báo chính sách và nhắc nhở quy tắc ứng xử.
• Hỏi các nhóm IT hoặc bảo mật về các chính sách token phiên và liệu các cửa sổ hết hạn ngắn hơn có khả thi đối với các hệ thống quan trọng hay không.

Không có biện pháp kiểm soát đơn lẻ nào loại bỏ hoàn toàn rủi ro, nhưng việc kết hợp vệ sinh xác thực, kết nối mạng được mã hóa và nhận thức của người dùng tạo ra ma sát có ý nghĩa đối với những kẻ tấn công. Các tổ chức không bị ảnh hưởng bởi chiến dịch này có thể đã có ít nhất một số biện pháp này. Những tổ chức bị ảnh hưởng hiện có một bức tranh rõ ràng về nơi cần tập trung.