Tin tặc gia tăng mục tiêu vào phần mềm cộng tác đám mây
Sự leo thang mới nhất của cuộc chạy đua vũ trang an ninh mạng cho thấy tin tặc đang nhắm mục tiêu vào đám mây, khi chúng bắt đầu khởi động các cuộc tấn công khó phát hiện, bằng cách tận dụng các miền đáng tin cậy thuộc sở hữu của các công ty như Google và Microsoft. Theo một bài đăng trên blog từ công ty phần mềm an ninh mạng Proofpoint, các công cụ cộng tác trên đám mây như Microsoft 365, Azure, OneDrive, SharePoint, G-Suite và Firebase đang được sử dụng để khởi động ngày càng nhiều cuộc tấn công mạng. Đáng lưu ý, do bản chất được lưu trữ trên đám mây, nên việc truy vết càng trở nên khó khăn.
Nhận thức về tính xác thực là một phần thiết yếu của việc lừa người dùng mở email hoặc tệp độc hại, chuyên gia Ryan Kalember của Proofpoint đã chia sẻ vấn đề này trong một bài đăng trên blog. Vào năm 2020, gần 60 triệu email độc hại được gửi từ tài khoản Microsoft 365 và hơn 90 triệu email có nguồn gốc từ Gmail. Chỉ trong quý I/2021 đã có tới 7 triệu email được gửi từ Office 365 và con số khổng lồ 45 triệu được gửi từ Gmail, vượt xa các cuộc tấn công hàng quý được phát động từ Gmail vào năm 2020.
Khối lượng email độc hại được gửi từ Gmail và Office 365 vào năm 2020 vượt quá khối lượng của bất kỳ mạng botnet nào vào năm 2020 và với danh tiếng đáng tin cậy của các miền này (bao gồm outlook.com và sharepoint.com), khiến cho việc phát hiện ra chúng ngày càng khó khăn.
Theo Proofpoint, 95% tổ chức đã bị nhắm mục tiêu bởi các cuộc tấn công thỏa hiệp đám mây vào năm 2020, với một nửa trở thành nạn nhân của một trong các cuộc tấn công. Tin tặc khi giành được quyền truy cập có thể sử dụng thông tin đăng nhập để đăng nhập vào hệ thống với tư cách là kẻ mạo danh, di chuyển ngang qua nhiều dịch vụ đám mây và môi trường kết hợp rồi gửi email thuyết phục được che giấu như một nhân viên thực sự, điều chỉnh số liệu tài chính và các dữ liệu quan trọng.
Một số ví dụ về các email độc hại bắt nguồn từ Microsoft Office 365 và tài khoản Gmail có thể kể đến như: cuộc tấn công bắt nguồn từ địa chỉ ".onmicrosoft.com", một tiện ích mở rộng phổ biến cho tài khoản Office 365 và bao gồm một liên kết đến tài liệu Sharepoint được cho là chính sách hướng dẫn COVID-19 mới của công ty. Khi được tải, tài liệu sẽ mở ra một trang xác thực giả được thiết kế để thu thập thông tin đăng nhập Office 365. Bên cạnh đó, tin tặc cũng đã sử dụng các miền đáng tin cậy để đánh cắp tài khoản Zoom với các trang xác thực giả mạo và nhiều chiến dịch sử dụng tệp đính kèm độc hại có chứa macro cũng đã được tìm thấy.
Với việc tin tặc sử dụng miền đáng tin cậy để trốn tránh bộ lọc email, điều cần thiết là các chuyên gia bảo mật phải nhận ra rằng lọc thư không phải là cách phòng tránh duy nhất cần được thực hiện để bảo vệ nhân viên và hệ thống nội bộ.
Các miền đáng tin cậy như Office 365, Gmail, Onmicrosoft và các tiện ích mở rộng không phải của công ty cụ thể khác có thể không còn được coi là an toàn hoặc đáng tin cậy nữa. Người dùng cần cảnh giác, coi bất kỳ liên kết hoặc email dịch vụ công nào có thể sẽ là mối đe dọa tiềm ẩn và cần được xác minh an toàn bằng cách liên hệ với người gửi thông qua một nền tảng giao tiếp riêng biệt và không phản hồi email đã gửi.
Trần Thanh Tùng