Thủ đoạn tấn công lừa đảo (Phishing) với Microsoft Office

15:32 | 11/05/2021

Kiểm soát Email doanh nghiệp (BEC – Business Email Compromise) là hình thức tin tặc sử dụng kỹ thuật xã hội để có quyền truy cập vào một tài khoản Email của doanh nghiệp và sau đó, tin tặc có thể dùng tài khoản Email này giả mạo doanh nghiệp để gửi thư lừa đảo, thư rác hoặc các chương trình độc hại đến người nhận. Đó là lý do tại sao chúng ta thấy có quá nhiều thư giả mạo nhắm tới người dùng của các tổ chức với mục đích lừa đảo họ đăng nhập vào các trang được tái thiết kế giống với trang đăng nhập của MS Office. Việc chú ý tới đường dẫn trong Email là vô cùng quan trọng.

Tội phạm mạng đánh cắp thông tin định danh của tài Microsoft Office không phải là điều mới. Tuy nhiên, phương thức mà tin tặc sử dụng ngày càng tiên tiến hơn. Bài viết này sẽ trình bày một trường hợp thực tế, một email lừa đảo mà tác giả nhận được, từ đó mô tả các phương thức tấn công lừa đảo qua email tinh vi nhất và phác thảo một số thủ đoạn lừa đảo mới.

Thủ đoạn lừa đảo mới: đính kèm HTML

Một bức thư giả mạo thông thường sẽ chứa đường dẫn tới một website giả mạo. Người dùng thường được khuyến nghị rằng, đường dẫn cần được kiểm tra cẩn thận cả văn bản chúng hiển thị và địa chỉ Web thực sự mà chúng dẫn tới (đưa con trỏ chuột lên đường dẫn URL để làm hiển thị ra địa chỉ thực sự). Chắc chắn rằng,  khi người dùng đã hiểu được biện pháp phòng ngừa đơn giản đó, những kẻ lừa đảo bắt đầu tìm kiếm phương pháp mới, đó là thay thế các liên kết trong Email bằng các tệp tin HTML đính kèm, mục đích duy nhất là tự động chuyển hướng.

Khi click vào HTML đính kèm này sẽ mở ra một trình duyệt mới. Về khía cạnh lừa đảo, tệp chỉ có một dòng mã (javascript:window.location.href) với địa chỉ trang web lừa đảo dưới dạng là một biến. Nó buộc trình duyệt mở trang web trong cùng một cửa sổ.

Những câu hỏi cần đặt ra khi nhận được một bức thư giả mạo

Dưới đây là một email lừa đảo thực tế mà tác giả nhận được. Trong trường hợp này, đó là thông báo giả mạo rằng có một tin nhắn thoại được gửi đến.

Trước khi click vào đính kèm, cần đặt ra một số câu hỏi như sau:

  1. Bạn có biết người gửi này không? Liệu người dùng này có khả năng để lại tin nhắn thoại cho bạn không?
  2. Việc gửi tin nhắn thoại qua email có phải là thường thấy tại doanh nghiệp của bạn không? Thực sự đây không phải là phương thức trao đổi thông tin được sử dụng nhiều, vì Microsoft 365 đã ngừng hỗ trợ thư thoại kể từ tháng 01/2020.
  3. Bạn có biết thông tin gì về ứng dụng gửi thông báo này không? MS Recorder không phải là một phần của gói Office – mà thực tế, Microsoft sử dụng ứng dụng tên là Voice Recorder để ghi lại âm thanh có thể dùng để gửi thư thoại, chứ không phải ứng dụng MS Recorder.
  4. Liệu tệp tin đính kèm trông có giống tệp tin âm thanh không? Voice Recorder có thể chia sẻ bản ghi âm nhưng dưới định dạng .m3a. Thậm chí, nếu bản ghi được gửi từ một ứng dụng không hề biết và nó được lưu trữ trên một máy chủ, thì nên có một đường dẫn tới máy chủ này chứ không phải một tệp tin HTML đính kèm.

Tóm lại, khi nhận được một bức thư từ một người gửi không quen biết gửi đến mà trong đó là thư thoại (một tính năng hiểm khi sử dụng) được ghi âm bởi một chương trình không biết tên và được gửi đến dưới định dạng một trang Web đính kèm. Điều này là hoàn toàn đáng nghi ngờ và được kết luận là không được mở tệp tin đính kèm này.

Cách thức nhận diện một trang web giả mạo

Giả sử người dùng đã nhấp chuột vào tệp đính kèm và truy cập tới trang lừa đảo. Làm sao để có thể biết nó không phải là một trang hợp lệ?

Đây là những câu hỏi mà người dùng cần chú ý suy ngẫm:

  1. Nội dung trong thanh dẫn chứa địa chỉ có chính xác là địa chỉ của Microsoft không?
  2. Đường dẫn “Can’t access your account?” và “Sign in with a security key” có điều hướng đến đúng nơi không? Ngay cả với một trang lừa đảo, có thể vẫn sẽ dẫn đến trang Microsoft chính thức, mặc dù trong trường hợp của của tác giả thì đường dẫn không hoạt động, một dấu hiệu rõ ràng của sự lừa đảo.
  3. Liệu cửa sổ trang web trông có hợp lệ không? Microsoft thông thường sẽ không có vấn đề với các chi tiết trên trang web như tỷ lệ ảnh nền.

Cách thức để tránh bị mắc bẫy

Để tránh bị lừa đảo và giao mật khẩu tài khoản Office cho những kẻ tấn công, người dùng cần chú ý những điều sau:

- Cần tự đặt ra các câu hỏi như trên để tránh các hình thức lừa đảo đơn giản nhất.

- Bảo vệ email nhân viên bằng tính năng của Office 365 để ngăn chặn các nỗ lực lừa đảo bằng siêu liên kết hoặc với tệp tin HTML đính kèm, và giải pháp bảo vệ thiết bị đầu cuối để ngăn chặn việc mở các trang lừa đảo.