Microsoft cảnh báo rằng cấu hình định tuyến email sai tạo điều kiện cho tấn công

[T-800]

Các tác nhân đe dọa tham gia vào các cuộc tấn công lừa đảo đang lợi dụng các kịch bản định tuyến và các biện pháp bảo vệ chống giả mạo được cấu hình sai để mạo danh các tên miền của tổ chức và phát tán email trông như thể chúng được gửi nội bộ.

"Các tác nhân đe dọa đã lợi dụng phương thức này để phát tán nhiều loại tin nhắn lừa đảo liên quan đến các nền tảng dịch vụ lừa đảo (PhaaS) khác nhau như Tycoon 2FA," nhóm Tình báo Mối đe dọa của Microsoft cho biết trong một báo cáo hôm thứ Ba. "Chúng bao gồm các tin nhắn có chủ đề liên quan đến thư thoại, tài liệu được chia sẻ, thông tin liên lạc từ bộ phận nhân sự (HR), đặt lại hoặc hết hạn mật khẩu, và nhiều nội dung khác, dẫn đến việc đánh cắp thông tin đăng nhập."

Mặc dù phương thức tấn công này không hẳn là mới, nhưng gã khổng lồ công nghệ cho biết họ đã chứng kiến sự gia tăng mạnh mẽ việc sử dụng chiến thuật này kể từ tháng 5 năm 2025 như một phần của các chiến dịch cơ hội nhắm vào nhiều tổ chức khác nhau thuộc nhiều ngành nghề và lĩnh vực. Điều này bao gồm một chiến dịch sử dụng email giả mạo để thực hiện các vụ lừa đảo tài chính nhắm vào các tổ chức.

Một cuộc tấn công thành công có thể cho phép các tác nhân đe dọa đánh cắp thông tin đăng nhập và sử dụng chúng cho các hoạt động tiếp theo, từ đánh cắp dữ liệu đến lừa đảo qua email doanh nghiệp (BEC).

Vấn đề chủ yếu phát sinh trong các trường hợp người thuê đã cấu hình một kịch bản định tuyến phức tạp và các biện pháp bảo vệ chống giả mạo không được thực thi nghiêm ngặt. Một ví dụ về định tuyến phức tạp là việc trỏ bản ghi trao đổi thư (bản ghi MX) đến môi trường Exchange tại chỗ hoặc dịch vụ của bên thứ ba trước khi đến Microsoft 365.

Điều này tạo ra một lỗ hổng bảo mật mà kẻ tấn công có thể khai thác để gửi các tin nhắn lừa đảo giả mạo, trông như thể chúng đến từ chính tên miền của người dùng. Phần lớn các chiến dịch lừa đảo sử dụng phương pháp này đều được phát hiện là sử dụng bộ công cụ Tycoon 2FA PhaaS. Microsoft cho biết họ đã chặn hơn 13 triệu email độc hại liên quan đến bộ công cụ này vào tháng 10 năm 2025.

Bộ công cụ PhaaS là các nền tảng cắm và chạy cho phép kẻ gian lận dễ dàng tạo và quản lý các chiến dịch lừa đảo, giúp ngay cả những người có kỹ năng kỹ thuật hạn chế cũng có thể sử dụng. Chúng cung cấp các tính năng như mẫu lừa đảo có thể tùy chỉnh, cơ sở hạ tầng và các công cụ khác để tạo điều kiện thuận lợi cho việc đánh cắp thông tin đăng nhập và vượt qua xác thực đa yếu tố bằng cách sử dụng tấn công lừa đảo trung gian (AiTM).

Nhà sản xuất Windows cho biết họ cũng đã phát hiện các email nhằm mục đích lừa đảo các tổ chức thanh toán các hóa đơn giả mạo, có khả năng dẫn đến thiệt hại tài chính. Các tin nhắn giả mạo này cũng mạo danh các dịch vụ hợp pháp như DocuSign hoặc tự xưng là từ bộ phận nhân sự về những thay đổi về lương hoặc phúc lợi.

Các email lừa đảo tài chính thường có hình thức giống như cuộc trò chuyện giữa Giám đốc điều hành của tổ chức mục tiêu, một cá nhân yêu cầu thanh toán cho các dịch vụ đã cung cấp, hoặc bộ phận kế toán của công ty. Chúng cũng chứa ba tệp đính kèm để tạo cảm giác tin tưởng giả tạo:

    Hóa đơn giả trị giá hàng nghìn đô la yêu cầu chuyển khoản vào tài khoản ngân hàng.
    Mẫu đơn W-9 của IRS ghi rõ tên và số an sinh xã hội của cá nhân được sử dụng để mở tài khoản ngân hàng.
    Theo cáo buộc, một giấy xác nhận giả mạo từ ngân hàng đã được cung cấp bởi một nhân viên tại ngân hàng trực tuyến được sử dụng để mở tài khoản gian lận.

"Họ có thể sử dụng các liên kết có thể nhấp chuột trong nội dung email hoặc mã QR trong tệp đính kèm hoặc các phương tiện khác để khiến người nhận truy cập vào trang đích lừa đảo," thông báo cho biết thêm. "Dấu hiệu nhận biết rõ nhất đối với người dùng cuối là email được gửi từ một địa chỉ email nội bộ, thường sử dụng cùng một địa chỉ email trong cả trường 'Người nhận' và 'Người gửi'."

Để đối phó với rủi ro này, các tổ chức nên thiết lập các chính sách từ chối nghiêm ngặt theo Khung xác thực, báo cáo và tuân thủ tin nhắn dựa trên tên miền (DMARC) và chính sách lỗi nghiêm ngặt theo Khung chính sách người gửi (SPF), đồng thời cấu hình đúng cách các trình kết nối của bên thứ ba, chẳng hạn như các dịch vụ lọc thư rác hoặc công cụ lưu trữ.

Cần lưu ý rằng các khách hàng có bản ghi MX trỏ trực tiếp đến Office 365 sẽ không dễ bị tấn công. Ngoài ra, nên tắt tính năng Gửi trực tiếp nếu không cần thiết để từ chối các email giả mạo tên miền của tổ chức.