Hacker lợi dụng Microsoft 365 và Teams để "giăng bẫy" dân văn phòng – chiêu thức giả mạng "chính chủ" cực tinh vi

Các chuyên gia an ninh mạng vừa phát hiện nhóm tin tặc khét tiếng (được hậu thuẫn bởi nước ngoài) đang sử dụng các tài khoản Microsoft 365 "trông có vẻ chính chủ" để gửi tin nhắn lừa đảo qua Microsoft Teams, nhắm vào nhân viên các công ty nhằm đánh cắp mật khẩu và xâm nhập hệ thống.

Khi tin nhắn từ "Sếp" hoặc "IT" trên Teams lại là... Hacker

Chúng ta thường rất cảnh giác với email lạ (Email Phishing), nhưng lại có tâm lý tin tưởng tuyệt đối vào các tin nhắn chat trên Microsoft Teams. Chúng ta mặc định rằng: "Chỉ người trong công ty hoặc đối tác uy tín mới nhắn tin được qua Teams".

Chính vì sự tin tưởng này, nhóm hacker nguy hiểm có tên Midnight Blizzard (hay còn gọi là Nobelium - nhóm từng tấn công SolarWinds) đã khai thác triệt để.

Thủ đoạn "Bình cũ rượu mới":

1. Tạo vỏ bọc hoàn hảo: Thay vì dùng nick ảo sơ sài, hacker đăng ký các tài khoản doanh nghiệp Microsoft 365 thật. Chúng tạo ra các tên miền phụ trông cực kỳ uy tín, ví dụ: hotro-kythuat.onmicrosoft.com hoặc baomat-congty.onmicrosoft.com.

2. Tấn công trực diện: Sử dụng các tài khoản này, chúng gửi tin nhắn trực tiếp qua Teams cho nhân viên mục tiêu.

3. Kịch bản lừa đảo: Chúng thường đóng giả là bộ phận Hỗ trợ kỹ thuật (IT Support) hoặc Bộ phận bảo mật.

   • Ví dụ: "Tài khoản của bạn sắp hết hạn, vui lòng xác thực ngay" hoặc "Phát hiện đăng nhập lạ, hãy nhập mã xác nhận 2 lớp (MFA) để chặn".

Vì tên miền có đuôi .onmicrosoft.com là tên miền chuẩn của Microsoft, nhiều nhân viên lầm tưởng đây là thông báo chính thức từ hệ thống và sập bẫy.

Mục tiêu của cuộc tấn công

Nếu bạn tin và làm theo hướng dẫn trong tin nhắn chat đó (nhấp vào link, hoặc cung cấp mã OTP/MFA), hacker sẽ:

• Đánh cắp tài khoản: Chiếm quyền truy cập vào email, OneDrive, SharePoint của công ty.

• Vượt rào bảo mật: Sử dụng kỹ thuật lừa đảo để vượt qua lớp bảo mật 2 bước (MFA Fatigue).

• Do thám: Âm thầm nằm vùng trong hệ thống công ty để đánh cắp dữ liệu kinh doanh bí mật.

Lời khuyên cho Nhân viên văn phòng và Quản trị viên (IT)

Để không trở thành mắt xích yếu nhất trong hệ thống bảo mật công ty, hãy áp dụng ngay các biện pháp sau:

Đối với Nhân viên:

1. Chú ý nhãn "External" (Bên ngoài): Trên Microsoft Teams, nếu người nhắn tin KHÔNG thuộc tổ chức của bạn, hệ thống thường sẽ hiện nhãn "External" bên cạnh tên họ. Nếu thấy nhãn này mà người đó lại xưng là "IT nội bộ" -> Đó là lừa đảo 100%.

2. Không duyệt MFA vô cớ: Nếu điện thoại bỗng nhiên hiện thông báo "Bạn có muốn phê duyệt đăng nhập không?" (từ ứng dụng Microsoft Authenticator) mà bạn không hề đang đăng nhập -> Tuyệt đối chọn KHÔNG/TỪ CHỐI.

3. Xác minh chéo: Nếu nhận được tin nhắn yêu cầu mật khẩu hay thao tác gấp từ "Sếp" hoặc "IT" qua Teams, hãy gọi điện thoại trực tiếp hoặc nhắn tin qua kênh khác (Zalo/Điện thoại nội bộ) để xác minh lại.

Đối với Quản trị viên (IT Admin):

1. Siết chặt cấu hình Teams: Nên hạn chế hoặc tắt tính năng cho phép giao tiếp với các miền bên ngoài (External Domains) nếu không thực sự cần thiết cho công việc.

2. Giới hạn domain: Chỉ lập danh sách trắng (Whitelist) cho phép liên lạc với các domain của đối tác tin cậy, chặn tất cả các domain .onmicrosoft.com lạ.

3. Đào tạo nhân sự: Cập nhật ngay hình thức lừa đảo qua Teams này vào chương trình đào tạo nhận thức bảo mật (Security Awareness) cho nhân viên.

Hãy nhớ: Hacker không tấn công vào bức tường lửa của Microsoft, chúng tấn công vào sự cả tin của con người. Một chút nghi ngờ sẽ giúp bảo vệ cả công ty của bạn.

Hương - Theo TheHackerNews