Macro đã trở lại và lợi hại hơn xưa – làm gì để tự bảo vệ bản thân?

Microsoft đã huỷ quyết định chặn Macro mặc định. Vậy Macro này có thể ảnh hưởng gì đến bảo mật an ninh mạng đối với doanh nghiệp.

Một trong những cách phổ biến nhất để phát tán phần mềm độc hại là thêm các lệnh độc hại vào macro trong tài liệu. Trong phần lớn các trường hợp, điều này có nghĩa là macro cho các tệp Microsoft Office. Đó là, đối với tài liệu Word, bảng tính Excel hoặc bản trình bày Power Point. Nhân viên công ty trung bình xử lý nhiều tệp như vậy mỗi ngày.

Tháng 2 này, Microsoft đã công bố ý định chặn việc thực thi macro trong các tài liệu được tải xuống từ internet. Tuy nhiên, vào đầu tháng 7, người dùng Microsoft Office đã nhận thấy rằng sự đổi mới này đã bị lùi lại. Vào thời điểm đăng bài, công ty vẫn chưa đưa ra tuyên bố chính thức về quyết định này, mặc dù một người phát ngôn lưu ý rằng đó là tạm thời và “dựa trên phản hồi”. Trong mọi trường hợp, đây là thời điểm tốt để nhớ lại chính xác các macro là gì, chúng có thể ảnh hưởng xấu đến an ninh mạng của công ty như thế nào và cách đề phòng mối đe dọa này.

Macro là gì và tại sao chúng lại nguy hiểm?

Thông thường, người dùng Microsoft Office cần tự động hóa các quy trình khác nhau. Để làm như vậy, bạn có thể lập trình một thuật toán hoặc chuỗi hành động nhất định, được gọi là macro. Một ví dụ đơn giản: một kế toán lập một báo cáo tiêu chuẩn hàng tháng; để tiết kiệm thời gian, họ tạo một macro để tự động tô đậm tên của khách hàng trong cột thứ hai.

Macro được tạo trong VBA (Visual Basic for Applications), được đơn giản hóa đôi chút, nhưng vẫn là một ngôn ngữ lập trình. Như thường lệ, những kẻ tấn công có thể sử dụng nó cho các mục đích riêng của họ.

Điều đáng chú ý ở đây là sự quen thuộc với macro ngụ ý kiến thức khá sâu về bộ Office mà không phải nhân viên nào cũng có, bất kể họ viết gì trong sơ yếu lý lịch. Một số thậm chí không biết rằng macro tồn tại. Mặt khác, tội phạm mạng sử dụng macro không phải để tạo ra các thuật toán vô hại để tự động hóa các quy trình, mà là các lệnh độc hại.

Một cuộc tấn công điển hình vào một công ty bắt đầu bằng việc gửi hàng loạt e-mail độc hại cho nhân viên. Những thông báo này có thể giống như thư mời làm việc, tin tức công ty, hóa đơn nhà thầu, thông tin về đối thủ cạnh tranh, v.v. Mức độ tinh vi chỉ bị giới hạn bởi trí tưởng tượng của kẻ tấn công. Mục đích chính là để người nhận mở tệp đính kèm hoặc tải xuống tài liệu bằng cách nhấp vào liên kết được cung cấp rồi mở tệp đó.

Những gì tội phạm mạng cần là để chạy macro độc hại trong tệp. Nhiều tuần trước, các macro được nhúng sẽ tự động chạy, nhưng Microsoft đã giới hạn chức năng này để giờ đây, khi mở một tệp được tải xuống trực tuyến, người dùng được thông báo rằng macro đã bị vô hiệu hóa.

Nhiều người dùng nhấp vào nút Enable Content mà không cần suy nghĩ, do đó cho phép thực hiện tự động các macro nói trên, mở ra cánh cửa cho phần mềm độc hại. Đây là cách mà những kẻ tấn công thường giành được quyền truy cập vào cơ sở hạ tầng của công ty mục tiêu. Hơn nữa, như đã đề cập ở trên, hầu hết nhân viên không biết những vấn đề gì mà một cú nhấp chuột vô tội vào nút Enable Content  có thể gây ra.

Làm thế nào để bảo vệ bản thân?

Hãy nhớ quy tắc sau:

Không bao giờ tải xuống và sau đó mở các tệp không mong muốn, ngay cả khi chúng dường như đến từ một người hoặc tổ chức mà bạn tin tưởng. Có thể chúng đã được gửi bởi những kẻ lừa đảo.

Đừng mù quáng đồng ý cho phép nội dung trong các tệp được tải xuống từ internet hoặc nhận qua e-mail. Để xem nội dung thông thường, điều này không cần thiết.

Nếu ai đó trong e-mail hoặc trên một trang web yêu cầu bạn bật nội dung, hãy đặc biệt nghi ngờ.

Hương