Hacker nâng cấp chiêu thức đứng giữa (AITM) - xuyên thủng lớp bảo mật 2 yếu tố (MFA) dễ dàng

Microsoft vừa phát hiện một chiến dịch tấn công lừa đảo quy mô lớn nhắm vào các doanh nghiệp sử dụng dịch vụ ngân hàng và tài chính. Hacker sử dụng kỹ thuật AiTM (Adversary-in-the-Middle) kết hợp với quy trình tấn công nhiều giai đoạn để qua mặt các bộ lọc email và đánh cắp phiên đăng nhập (Session Cookie) ngay cả khi nạn nhân đã nhập mã OTP chính xác.

AiTM: Khi Hacker đóng vai "Người đưa thư" gian xảo

Trước đây, lừa đảo (Phishing) thường là tạo ra một trang web giả mạo. Nếu bạn nhập mật khẩu vào đó, hacker có mật khẩu. Nhưng nếu bạn bật 2FA (nhập mã OTP gửi về điện thoại), hacker sẽ bó tay vì không có mã đó.

Tuy nhiên, với kỹ thuật AiTM (Adversary-in-the-Middle - Kẻ địch đứng giữa), câu chuyện đã khác:

1. Trang web trung gian: Hacker dựng lên một máy chủ proxy (trung gian).

2. Chuyển tiếp thời gian thực: Khi bạn truy cập vào link lừa đảo, máy chủ này sẽ hiển thị giao diện đăng nhập thật của Microsoft (được lấy trực tiếp từ trang chính chủ).

3. Lừa cả hệ thống: Bạn nhập mật khẩu và nhập cả mã OTP. Hacker đứng giữa sẽ chuyển tiếp các thông tin này đến máy chủ Microsoft thật.

4. Đánh cắp "Chìa khóa vàng": Microsoft xác nhận thông tin đúng và cấp một "Session Cookie" (bánh quy phiên đăng nhập) để bạn vào hòm thư. Hacker lập tức chặn và đánh cắp chiếc Cookie này.

5. Kết quả: Hacker có thể dùng chiếc Cookie đó để vào tài khoản của bạn mà không cần mật khẩu hay OTP nữa.

Chiến thuật "Đa giai đoạn" (Multi-stage) để né tránh Rada

Điều khiến chiến dịch mới này trở nên nguy hiểm hơn là sự tinh vi trong cách dẫn dụ nạn nhân (Multi-stage) để tránh bị các phần mềm bảo mật phát hiện:

• Giai đoạn 1: Email trông có vẻ sạch. Hacker gửi email thông báo hóa đơn hoặc tài liệu, nhưng đường link bên trong không trỏ trực tiếp đến web lừa đảo. Nó trỏ đến một dịch vụ lưu trữ uy tín (như một file HTML trên dịch vụ đám mây) hoặc sử dụng kỹ thuật "Open Redirect" từ các trang web hợp pháp.

• Giai đoạn 2: Lọc "Bot". Khi bấm vào link, hệ thống sẽ kiểm tra xem người truy cập là người thật hay là "Bot quét virus" của Google/Microsoft. Nếu là Bot, nó hiện trang trắng. Nếu là người, nó mới chuyển hướng tiếp.

• Giai đoạn 3: Cuộc tấn công chính thức. Lúc này, nạn nhân mới được đưa đến trang đăng nhập AiTM giả mạo để thực hiện màn kịch "đứng giữa".

Mục tiêu chính của chiến dịch này là các Tổ chức Ngân hàng và Dịch vụ Tài chính, nhằm thực hiện các vụ gian lận thanh toán (BEC - Business Email Compromise).

Làm sao để chống lại kẻ "Đứng giữa"?

Khi OTP truyền thống (SMS/Authenticator App) đã bị AiTM qua mặt, chúng ta cần những giải pháp mạnh mẽ hơn:

1. Soi kỹ thanh địa chỉ (URL): Dù giao diện đăng nhập giống Microsoft 100%, nhưng thanh địa chỉ sẽ KHÔNG BAO GIỜ là login.microsoftonline.com. Nó sẽ là một tên miền lạ hoắc hoặc một chuỗi ký tự vô nghĩa. Hãy tập thói quen nhìn lên thanh địa chỉ trước khi nhập bất cứ ký tự nào.

2. Chuyển sang FIDO2 / Passkeys (Khuyên dùng): Đây là "khắc tinh" của AiTM. Sử dụng khóa bảo mật vật lý (YubiKey) hoặc tính năng Passkeys (xác thực bằng vân tay/FaceID trên thiết bị). Công nghệ này gắn liền việc đăng nhập với tên miền thật, nên nếu tên miền là giả, khóa bảo mật sẽ từ chối đăng nhập.

3. Sử dụng thiết bị tuân thủ (Compliant Devices): Đối với doanh nghiệp, hãy cấu hình hệ thống (Conditional Access) để chỉ cho phép đăng nhập từ các thiết bị công ty đã được quản lý (Managed Devices). Nếu hacker ăn cắp được Cookie nhưng dùng trên máy tính của hắn, hệ thống vẫn sẽ chặn lại.

4. Cảnh giác với mọi email "Hóa đơn/Thanh toán": Bất kỳ email nào thúc giục thanh toán hoặc xem tài liệu gấp đều cần được kiểm chứng (gọi điện thoại xác nhận với người gửi) trước khi bấm vào link.

MFA vẫn rất quan trọng, nhưng nó không phải là tấm khiên bất khả xâm phạm. Hãy nâng cấp nhận thức của bạn để đi trước hacker một bước.

Hương - Theo TheHackerNews