MinhSec
Writer
Các hệ thống lọc email hiện nay đóng vai trò quan trọng trong việc ngăn chặn các cuộc tấn công lừa đảo trực tuyến, nhưng chúng không thể loại bỏ hoàn toàn rủi ro. Nhiều chiến dịch tấn công mới được thiết kế tinh vi để vượt qua lớp phòng thủ ban đầu bằng cách sử dụng tên miền mới, trang đăng nhập giả mạo, kiểm tra CAPTCHA hay thậm chí lợi dụng các công cụ điều khiển từ xa hợp pháp.
Theo các chuyên gia an ninh mạng, vấn đề lớn nhất không chỉ nằm ở email độc hại mà còn ở hậu quả sau khi người dùng nhấp vào liên kết. Chỉ một email bị bỏ sót cũng có thể khiến doanh nghiệp mất khả năng kiểm soát tài khoản, làm gián đoạn hoạt động và gây khó khăn cho quá trình xác định dữ liệu nào đã bị truy cập.
Đó là lý do các trung tâm điều hành an ninh mạng (SOC) hiện nay tập trung nhiều hơn vào việc phát hiện hành vi đáng ngờ sau khi email được mở, thay vì chỉ dựa vào bước quét ban đầu.
Tuy nhiên, nhiều chiến dịch lừa đảo hiện đại được xây dựng theo kiểu “nhiều lớp”, trong đó phần nguy hiểm thực sự chỉ xuất hiện sau khi nạn nhân tương tác với liên kết bên trong trình duyệt.
Điều này tạo ra khoảng trống giữa thời điểm email được nhận và lúc cuộc tấn công thực sự diễn ra.
Theo giới chuyên gia, có nhiều nguyên nhân khiến các hệ thống lọc thư khó phát hiện sớm, như liên kết sử dụng tên miền mới chưa có lịch sử cảnh báo, trang web ban đầu trông vô hại hoặc chuỗi chuyển hướng liên tục thay đổi để che giấu đích đến cuối cùng.
Ngoài ra, nhiều email không đính kèm mã độc nên rất khó bị chặn ở bước đầu tiên. Một số chiến dịch còn tập trung đánh cắp thông tin đăng nhập, mã OTP hoặc dữ liệu xác thực đa yếu tố thay vì phát tán phần mềm độc hại truyền thống.
Một cuộc điều tra gần đây của công ty an ninh mạng ANY.RUN cho thấy kẻ tấn công đã sử dụng thư mời sự kiện giả mạo làm mồi nhử. Sau khi nạn nhân nhấp vào liên kết, hệ thống sẽ hiển thị CAPTCHA và dẫn tới trang web giả mạo có giao diện giống thật nhằm đánh cắp thông tin đăng nhập hoặc mã OTP.
Trong một số trường hợp, chiến dịch còn phát tán công cụ quản lý từ xa hợp pháp để duy trì quyền truy cập vào thiết bị của nạn nhân.
Thay vì chỉ quét email, các nhóm bảo mật mở liên kết đáng ngờ trong môi trường sandbox cô lập để quan sát toàn bộ quá trình tấn công như chuyển hướng, trang đăng nhập giả, tải xuống tự động hay hoạt động mạng bất thường.
Theo ANY.RUN, việc sử dụng môi trường thử nghiệm tương tác giúp các nhóm an ninh mạng xác định mối đe dọa nhanh hơn, giảm thời gian xử lý cảnh báo và hạn chế các cuộc điều tra không cần thiết.
Nền tảng này cho biết nhiều doanh nghiệp đã giảm trung bình khoảng 21 phút thời gian xử lý cho mỗi sự cố. Khoảng 94% người dùng báo cáo quá trình phân loại mối đe dọa diễn ra nhanh hơn, đồng thời giảm đáng kể khối lượng công việc cho các nhóm vận hành SOC.
Các chuyên gia cho rằng trong bối cảnh các cuộc tấn công lừa đảo ngày càng tinh vi, việc chỉ dựa vào bộ lọc email không còn đủ. Doanh nghiệp cần kết hợp nhiều lớp bảo vệ, đặc biệt là khả năng phân tích hành vi và phản ứng nhanh sau khi người dùng tương tác với email đáng ngờ.
Theo các chuyên gia an ninh mạng, vấn đề lớn nhất không chỉ nằm ở email độc hại mà còn ở hậu quả sau khi người dùng nhấp vào liên kết. Chỉ một email bị bỏ sót cũng có thể khiến doanh nghiệp mất khả năng kiểm soát tài khoản, làm gián đoạn hoạt động và gây khó khăn cho quá trình xác định dữ liệu nào đã bị truy cập.
Đó là lý do các trung tâm điều hành an ninh mạng (SOC) hiện nay tập trung nhiều hơn vào việc phát hiện hành vi đáng ngờ sau khi email được mở, thay vì chỉ dựa vào bước quét ban đầu.
Vì sao nhiều email lừa đảo vẫn vượt qua bộ lọc bảo mật?
Các hệ thống bảo mật email thường đưa ra quyết định ngay khi thư được gửi tới hộp thư người dùng. Chúng sẽ kiểm tra người gửi, liên kết, tệp đính kèm và những dấu hiệu nhận diện đã biết.
Tuy nhiên, nhiều chiến dịch lừa đảo hiện đại được xây dựng theo kiểu “nhiều lớp”, trong đó phần nguy hiểm thực sự chỉ xuất hiện sau khi nạn nhân tương tác với liên kết bên trong trình duyệt.
Điều này tạo ra khoảng trống giữa thời điểm email được nhận và lúc cuộc tấn công thực sự diễn ra.
Theo giới chuyên gia, có nhiều nguyên nhân khiến các hệ thống lọc thư khó phát hiện sớm, như liên kết sử dụng tên miền mới chưa có lịch sử cảnh báo, trang web ban đầu trông vô hại hoặc chuỗi chuyển hướng liên tục thay đổi để che giấu đích đến cuối cùng.
Ngoài ra, nhiều email không đính kèm mã độc nên rất khó bị chặn ở bước đầu tiên. Một số chiến dịch còn tập trung đánh cắp thông tin đăng nhập, mã OTP hoặc dữ liệu xác thực đa yếu tố thay vì phát tán phần mềm độc hại truyền thống.
Một cuộc điều tra gần đây của công ty an ninh mạng ANY.RUN cho thấy kẻ tấn công đã sử dụng thư mời sự kiện giả mạo làm mồi nhử. Sau khi nạn nhân nhấp vào liên kết, hệ thống sẽ hiển thị CAPTCHA và dẫn tới trang web giả mạo có giao diện giống thật nhằm đánh cắp thông tin đăng nhập hoặc mã OTP.
Trong một số trường hợp, chiến dịch còn phát tán công cụ quản lý từ xa hợp pháp để duy trì quyền truy cập vào thiết bị của nạn nhân.
Các doanh nghiệp đang dùng phân tích hành vi để đối phó ra sao?
Để đối phó với kiểu tấn công mới, nhiều trung tâm điều hành an ninh mạng và nhà cung cấp dịch vụ bảo mật đã chuyển sang sử dụng phân tích dựa trên hành vi.Thay vì chỉ quét email, các nhóm bảo mật mở liên kết đáng ngờ trong môi trường sandbox cô lập để quan sát toàn bộ quá trình tấn công như chuyển hướng, trang đăng nhập giả, tải xuống tự động hay hoạt động mạng bất thường.
Theo ANY.RUN, việc sử dụng môi trường thử nghiệm tương tác giúp các nhóm an ninh mạng xác định mối đe dọa nhanh hơn, giảm thời gian xử lý cảnh báo và hạn chế các cuộc điều tra không cần thiết.
Nền tảng này cho biết nhiều doanh nghiệp đã giảm trung bình khoảng 21 phút thời gian xử lý cho mỗi sự cố. Khoảng 94% người dùng báo cáo quá trình phân loại mối đe dọa diễn ra nhanh hơn, đồng thời giảm đáng kể khối lượng công việc cho các nhóm vận hành SOC.
Các chuyên gia cho rằng trong bối cảnh các cuộc tấn công lừa đảo ngày càng tinh vi, việc chỉ dựa vào bộ lọc email không còn đủ. Doanh nghiệp cần kết hợp nhiều lớp bảo vệ, đặc biệt là khả năng phân tích hành vi và phản ứng nhanh sau khi người dùng tương tác với email đáng ngờ.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
