-
09/04/2020
-
122
-
1.269 bài viết
Tin tặc lợi dụng thư mời Microsoft Entra để khởi động các cuộc tấn công TOAD
Một chiến dịch lừa đảo giả mạo (phishing) mới đang khiến cộng đồng an ninh mạng lo ngại khi kẻ tấn công lợi dụng chính tính năng mời người dùng bên ngoài của Microsoft Entra để đánh lừa nạn nhân. Thay vì gửi email giả như thông thường, tin tặc lần này sử dụng hạ tầng Microsoft thật, gửi thư từ địa chỉ thật, khiến người dùng và hệ thống bảo mật hầu như “không nghi ngờ gì”. Đây được xem là bước tiến mới của mô hình tấn công TOAD (Telephone Oriented Attack Delivery) - lừa đảo qua điện thoại kết hợp thủ thuật công nghệ.
Chiến dịch được các nhà nghiên cứu bảo mật phát hiện khi đang quan sát nhiều cuộc tấn công sử dụng tính năng “guest user invitation” của Microsoft Entra - hệ thống quản lý danh tính trên đám mây của Microsoft. Bình thường, tính năng này được dùng để mời đối tác hoặc người ngoài tham gia tài liệu, dự án… Tuy nhiên, tin tặc đã biến nó thành công cụ lừa đảo tinh vi.
Kẻ tấn công tạo ra những tenant Microsoft giả với tên nghe rất “chuyên nghiệp” như: Unified Workspace Team, CloudSync, Advanced Suite Services. Sau đó, chúng gửi lời mời Entra từ địa chỉ email chính thức" "invites@microsoft[.]com". Vì email được gửi từ máy chủ thật của Microsoft, các bộ lọc spam gần như không thể nhận biết.
Khi người nhận mở email, họ thấy thông báo rất thuyết phục rằng gói Microsoft 365 của họ cần gia hạn, kèm thông tin hóa đơn, mã giao dịch và số tiền khoảng 446,46 USD.
Email hướng dẫn người dùng gọi tới “Hỗ trợ thanh toán Microsoft” nhưng thực tế lại kết nối thẳng tới tin tặc. Tại đây, kẻ xấu giả danh nhân viên Microsoft và dụ nạn nhân cung cấp thông tin tài khoản, mật khẩu, mã xác thực… nhằm chiếm đoạt quyền truy cập. Chiến dịch này kết hợp lừa đảo qua điện thoại với lợi dụng hạ tầng thật của Microsoft, tạo mức độ tin cậy gần như tuyệt đối.
Điểm yếu nằm ở cách Microsoft Entra thiết kế trường “Message” trong thư mời. Trường này cho phép nội dung rất dài, và Microsoft không giới hạn dạng thông tin được đưa vào. Tin tặc nhét toàn bộ nội dung lừa đảo vào đây mà không bị hệ thống cảnh báo.
Hơn nữa, do email được gửi từ tenant thật do Microsoft cấp cho mọi tổ chức dùng dịch vụ, nên chúng gần như qua mặt tất cả bộ lọc.
Tin tặc còn lập nhiều tenant phụ như:
Chiến dịch được các nhà nghiên cứu bảo mật phát hiện khi đang quan sát nhiều cuộc tấn công sử dụng tính năng “guest user invitation” của Microsoft Entra - hệ thống quản lý danh tính trên đám mây của Microsoft. Bình thường, tính năng này được dùng để mời đối tác hoặc người ngoài tham gia tài liệu, dự án… Tuy nhiên, tin tặc đã biến nó thành công cụ lừa đảo tinh vi.
Kẻ tấn công tạo ra những tenant Microsoft giả với tên nghe rất “chuyên nghiệp” như: Unified Workspace Team, CloudSync, Advanced Suite Services. Sau đó, chúng gửi lời mời Entra từ địa chỉ email chính thức" "invites@microsoft[.]com". Vì email được gửi từ máy chủ thật của Microsoft, các bộ lọc spam gần như không thể nhận biết.
Khi người nhận mở email, họ thấy thông báo rất thuyết phục rằng gói Microsoft 365 của họ cần gia hạn, kèm thông tin hóa đơn, mã giao dịch và số tiền khoảng 446,46 USD.
Email hướng dẫn người dùng gọi tới “Hỗ trợ thanh toán Microsoft” nhưng thực tế lại kết nối thẳng tới tin tặc. Tại đây, kẻ xấu giả danh nhân viên Microsoft và dụ nạn nhân cung cấp thông tin tài khoản, mật khẩu, mã xác thực… nhằm chiếm đoạt quyền truy cập. Chiến dịch này kết hợp lừa đảo qua điện thoại với lợi dụng hạ tầng thật của Microsoft, tạo mức độ tin cậy gần như tuyệt đối.
Điểm yếu nằm ở cách Microsoft Entra thiết kế trường “Message” trong thư mời. Trường này cho phép nội dung rất dài, và Microsoft không giới hạn dạng thông tin được đưa vào. Tin tặc nhét toàn bộ nội dung lừa đảo vào đây mà không bị hệ thống cảnh báo.
Hơn nữa, do email được gửi từ tenant thật do Microsoft cấp cho mọi tổ chức dùng dịch vụ, nên chúng gần như qua mặt tất cả bộ lọc.
Tin tặc còn lập nhiều tenant phụ như:
- x44xfqf.onmicrosoft.com
- woodedlif.onmicrosoft.com
- xeyi1ba.onmicrosoft.com
- Email hoàn toàn không giả mạo, xuất phát từ hệ thống Microsoft hợp pháp.
- Người dùng tưởng rằng đây là thông báo thật về dịch vụ Microsoft 365.
- Khi gọi điện, họ nói chuyện với “tổng đài viên” nghe rất chuyên nghiệp.
- Một tổ chức bị lừa có thể mất quyền truy cập toàn bộ hệ thống Microsoft 365, dẫn đến rò rỉ tài liệu, email, dữ liệu nội bộ.
Các chuyên gia WhiteHat khuyến cáo người dùng:
- Không gọi vào số điện thoại xuất hiện trong email bất kỳ, kể cả khi email đến từ địa chỉ Microsoft thật hay email lạ.
- Luôn kiểm tra thông báo gia hạn, email lạ hoặc yêu cầu thanh toán trên trang chính thức: portal.office.com hoặc account.microsoft.com hay từ [email protected]...
- Tổ chức nên quét log email với các dấu hiệu bất thường: Chủ đề thư mời Entra, tên tenant lạ, các domain onmicrosoft.com không quen thuộc.
- Giám sát, chặn số điện thoại liên quan, các số điện thoại từng xuất hiện trong chiến dịch và tăng cường cảnh báo bảo mật nội bộ.
- Huấn luyện nhân viên nhận biết TOAD dạng lừa đảo kết hợp công nghệ và điện thoại.
WhiteHat