Microsoft 365 đối mặt chiêu thức mới: Hacker âm thầm đánh cắp token qua OAuth

Kaya · 14:21

Cộng đồng an ninh mạng cần cảnh giác về sự gia tăng nhanh chóng của một hình thức lừa đảo mới nhắm vào người dùng Microsoft 365. Thay vì đánh cắp mật khẩu hoặc vượt qua lớp xác thực đa yếu tố (MFA) bằng các trang đăng nhập giả mạo truyền thống, tin tặc đang lợi dụng chính cơ chế xác thực hợp pháp của Microsoft để chiếm đoạt tài khoản.

Phương thức tấn công này được gọi là Device Code Phishing (lừa đảo bằng mã thiết bị), đây là một kỹ thuật đang lan rộng mạnh mẽ nhờ sự xuất hiện của các bộ công cụ tấn công thương mại hóa và các nền tảng “Phishing-as-a-Service” (PhaaS).

Từ đánh cắp mật khẩu sang đánh cắp phiên xác thực

Trong nhiều năm qua, các doanh nghiệp đã đầu tư đáng kể vào các giải pháp chống phishing, bảo vệ mật khẩu và triển khai MFA. Điều này khiến những chiến dịch đánh cắp thông tin đăng nhập truyền thống trở nên khó thành công hơn.

Để thích nghi, tội phạm mạng đang chuyển sang khai thác những điểm yếu trong quy trình xác thực hợp pháp thay vì cố gắng lấy trực tiếp mật khẩu của nạn nhân. Thay vì yêu cầu người dùng nhập tên đăng nhập và mật khẩu vào một website giả mạo, kẻ tấn công tìm cách lừa họ cấp quyền truy cập cho một ứng dụng độc hại. Khi điều đó xảy ra, tin tặc có thể nhận được các mã thông báo xác thực (OAuth Token) hợp lệ và duy trì quyền truy cập vào tài khoản mà không cần biết mật khẩu thực tế.

Theo các nhà nghiên cứu bảo mật của Proofpoint, hình thức tấn công này đang được nhiều nhóm tội phạm mạng sử dụng để chiếm quyền truy cập vào tài khoản Microsoft 365, đồng thời vượt qua nhiều cơ chế phòng thủ chống phishing hiện nay.

Người dùng bị lừa đăng nhập vào chính hệ thống thật của Microsoft

Kịch bản tấn công thường bắt đầu bằng một email lừa đảo có chứa liên kết, tệp PDF hoặc mã QR. Để tăng độ tin cậy, các email này thường giả mạo những thương hiệu quen thuộc như Microsoft, DocuSign hoặc Adobe. Khi người dùng nhấp vào liên kết, họ không được chuyển tới một website giả mạo như các chiến dịch phishing thông thường. Thay vào đó, nạn nhân được dẫn tới quy trình đăng nhập thiết bị hợp pháp của Microsoft.

Tại đây, hệ thống hiển thị một mã xác thực thiết bị (Device Code) và yêu cầu người dùng nhập mã này vào trang đăng nhập chính thức của Microsoft. Do toàn bộ quá trình đều diễn ra trên hạ tầng thật của Microsoft nên nhiều người tin rằng đây chỉ là một bước xác minh thông thường và không nhận ra mình đang bị lừa.

Sau khi người dùng hoàn tất xác thực, Microsoft sẽ cấp OAuth Token hợp lệ cho phiên đăng nhập. Tin tặc sẽ thu thập token này và sử dụng để truy cập email, dữ liệu đám mây, tài liệu doanh nghiệp cùng nhiều dịch vụ liên kết khác.

Công cụ tấn công mới khiến nguy cơ bùng nổ

Một trong những nguyên nhân khiến Device Code Phishing gia tăng mạnh trong năm 2026 là sự xuất hiện của các bộ công cụ tự động hóa. Trước đây, các chiến dịch kiểu này gặp hạn chế vì mã thiết bị phải được tạo sẵn và thường hết hạn sau khoảng 15 phút. Điều đó buộc kẻ tấn công phải triển khai chiến dịch trong thời gian rất ngắn.

Tuy nhiên, các bộ công cụ hiện đại đã khắc phục hoàn toàn trở ngại này bằng cách tạo mã thiết bị theo thời gian thực ngay khi nạn nhân nhấp vào liên kết. Nhờ đó, kẻ tấn công có thể phát động chiến dịch ở bất kỳ thời điểm nào mà không lo mã xác thực bị hết hạn.

Đáng chú ý, các nền tảng như EvilTokens, xuất hiện trên các kênh Telegram từ đầu năm 2026, đã thương mại hóa toàn bộ quy trình này. Người sử dụng chỉ cần trả phí là có thể sở hữu:

Trang phishing dựng sẵn;
Hệ thống lưu trữ và vận hành chiến dịch;
Công cụ tạo mã thiết bị tự động;
Dashboard quản lý nhiều tài khoản Microsoft 365 bị xâm nhập;
Công cụ phục vụ các chiến dịch lừa đảo doanh nghiệp (BEC).

Nhiều chuyên gia nhận định việc phổ biến các bộ công cụ dạng dịch vụ đang khiến rào cản kỹ thuật đối với tội phạm mạng giảm đáng kể, cho phép ngay cả những đối tượng có trình độ hạn chế cũng có thể triển khai các cuộc tấn công quy mô lớn.

AI đang góp phần nhân rộng các chiến dịch phishing

Các nhà nghiên cứu cho biết gần như mỗi tuần đều xuất hiện thêm những bộ công cụ mới phục vụ Device Code Phishing. Nhiều mẫu có dấu hiệu được phát triển hoặc chỉnh sửa bằng công cụ AI tạo mã nguồn, cho phép kẻ tấn công nhanh chóng sao chép các bộ công cụ hiện có rồi tùy biến thành những phiên bản mới với chi phí thấp.

Điều này khiến số lượng chiến dịch tăng mạnh và tạo ra hàng loạt chuỗi tấn công gần như giống hệt nhau trên quy mô toàn cầu. Tuy nhiên, sự phụ thuộc quá mức vào tự động hóa cũng để lộ nhiều sai sót. Trong một số chiến dịch gần đây, các nhà nghiên cứu phát hiện email lừa đảo không chứa nội dung hoặc vô tình làm lộ các chi tiết hạ tầng phía sau, cho thấy nhiều đối tượng đang sử dụng công cụ mà không thực sự hiểu cách chúng hoạt động.

Nhóm tin tặc liên tục đổi chiến thuật

Một nhóm đe dọa được theo dõi với mã định danh TA4903 được cho là đã gần như chuyển hoàn toàn sang Device Code Phishing trong năm 2026. Trong các chiến dịch gần đây, nhóm này giả mạo cơ quan chính phủ hoặc bộ phận nhân sự doanh nghiệp để gửi các tệp PDF chứa mã QR độc hại.

Khi người dùng quét mã, họ được chuyển hướng qua các hạ tầng đám mây trung gian tới những trang web được thiết kế tinh vi nhằm hướng dẫn hoàn tất quá trình xác thực thiết bị. Ngoài ra, tin tặc còn áp dụng chiến thuật "account-hopping" - sử dụng một tài khoản email đã bị xâm nhập để tiếp tục gửi thư lừa đảo tới đồng nghiệp hoặc các đối tác đáng tin cậy của nạn nhân. Do email đến từ địa chỉ quen thuộc nên tỷ lệ thành công của các cuộc tấn công thường cao hơn đáng kể so với phishing truyền thống.

Hậu quả không chỉ dừng ở việc mất email

Khi chiếm được OAuth Token hợp lệ, tin tặc có thể truy cập trực tiếp vào hệ sinh thái Microsoft 365 của doanh nghiệp. Điều này mở đường cho hàng loạt hoạt động nguy hiểm như:

Đánh cắp dữ liệu nội bộ;
Gian lận tài chính và lừa đảo chuyển khoản;
Theo dõi thư điện tử trong thời gian dài;
Di chuyển ngang trong mạng doanh nghiệp;
Thu thập thông tin phục vụ gián điệp mạng;
Triển khai mã độc mã hóa dữ liệu và tấn công ransomware.

Một số vụ việc được ghi nhận cho thấy quyền truy cập thu được từ các token bị đánh cắp đã được sử dụng làm bàn đạp cho các cuộc tấn công tống tiền hoặc hoạt động gián điệp kéo dài nhiều tháng trước khi bị phát hiện.

Doanh nghiệp cần làm gì để tự bảo vệ?

Các chuyên gia khuyến nghị tổ chức không nên chỉ tập trung vào bảo vệ mật khẩu mà cần kiểm soát chặt chẽ toàn bộ quy trình xác thực. Một số biện pháp giảm thiểu rủi ro bao gồm:

Hạn chế hoặc vô hiệu hóa Device Code Flow nếu không thực sự cần thiết;
Áp dụng chính sách truy cập có điều kiện;
Chỉ cho phép xác thực từ thiết bị và vị trí mạng đáng tin cậy;
Giám sát hoạt động cấp phát OAuth Token bất thường;
Đào tạo nhân viên nhận diện các yêu cầu nhập mã thiết bị đáng ngờ;
Kiểm tra thường xuyên các ứng dụng được cấp quyền truy cập vào Microsoft 365;
Triển khai cơ chế phát hiện hành vi đăng nhập bất thường sau xác thực.

Khi quy trình hợp pháp trở thành công cụ của tội phạm mạng

Sự bùng nổ của Device Code Phishing cho thấy xu hướng đáng lo ngại trong thế giới an ninh mạng hiện đại: thay vì phá vỡ cơ chế bảo mật, kẻ tấn công ngày càng tận dụng chính những tính năng hợp pháp được thiết kế để tạo thuận tiện cho người dùng.

Khi các bộ công cụ tấn công được thương mại hóa và AI giúp tự động hóa quá trình triển khai chiến dịch, ranh giới giữa một cuộc đăng nhập bình thường và một cuộc tấn công mạng ngày càng khó nhận biết hơn. Trong bối cảnh đó, hiểu rõ cách hoạt động của các cơ chế xác thực và kiểm soát chặt quyền truy cập trở thành yếu tố then chốt để bảo vệ môi trường đám mây trước các mối đe dọa mới nổi.

Có thể bạn quan tâm

Chủ đề hot