Các tác nhân đe dọa tham gia vào các cuộc tấn công phishing đang lợi dụng các kịch bản định tuyến và các biện pháp bảo vệ giả mạo bị cấu hình sai để mạo danh tên miền của các tổ chức và phát tán email có vẻ như được gửi từ nội bộ.
"Các tác nhân đe dọa đã tận dụng phương thức này để gửi nhiều loại tin nhắn phishing liên quan đến các nền tảng phishing-as-a-service (PhaaS) khác nhau như Tycoon 2FA," nhóm Microsoft Threat Intelligence cho biết trong một báo cáo hôm thứ Ba. "Những tin nhắn này bao gồm các chiêu trò liên quan đến thư thoại, tài liệu chia sẻ, thông báo từ phòng nhân sự (HR), đặt lại hoặc hết hạn mật khẩu, và các nội dung khác, dẫn đến credential phishing."
Mặc dù attack vector này không hẳn là mới, gã khổng lồ công nghệ cho biết họ đã chứng kiến sự gia tăng đáng kể trong việc sử dụng chiến thuật này kể từ tháng 5 năm 2025 như một phần của các chiến dịch cơ hội nhắm vào nhiều tổ chức khác nhau trên nhiều ngành và lĩnh vực. Điều này bao gồm một chiến dịch đã sử dụng email giả mạo để thực hiện các vụ lừa đảo tài chính chống lại các tổ chức.
Một cuộc tấn công thành công có thể cho phép các tác nhân đe dọa lấy cắp credentials và tận dụng chúng cho các hoạt động tiếp theo, từ đánh cắp dữ liệu đến business email compromise (BEC).
Các kịch bản định tuyến email phức tạp
Vấn đề này chủ yếu xuất hiện trong các trường hợp một tenant đã cấu hình một kịch bản định tuyến phức tạp và các biện pháp bảo vệ giả mạo không được thực thi nghiêm ngặt. Một ví dụ về định tuyến phức tạp liên quan đến việc trỏ mail exchanger record (MX record) đến môi trường Exchange on-premises hoặc một dịch vụ bên thứ ba trước khi đến Microsoft 365.
Điều này tạo ra một lỗ hổng bảo mật mà những kẻ tấn công có thể khai thác để gửi các tin nhắn phishing giả mạo trông có vẻ như bắt nguồn từ tên miền của chính tenant. Phần lớn các chiến dịch phishing tận dụng phương pháp này đều sử dụng bộ công cụ Tycoon 2FA PhaaS kit. Microsoft cho biết họ đã chặn hơn 13 triệu email độc hại liên quan đến bộ công cụ này vào tháng 10 năm 2025.
Các bộ công cụ PhaaS là các nền tảng plug-and-play cho phép những kẻ lừa đảo tạo và quản lý các chiến dịch phishing một cách dễ dàng, giúp ngay cả những người có kỹ năng kỹ thuật hạn chế cũng có thể tiếp cận. Chúng cung cấp các tính năng như mẫu phishing tùy chỉnh, cơ sở hạ tầng, và các công cụ khác để tạo điều kiện đánh cắp credentials và vượt qua multi-factor authentication bằng cách sử dụng adversary-in-the-middle (AiTM) phishing.
Các chiêu trò lừa đảo tài chính và giả mạo dịch vụ
Nhà sản xuất Windows cho biết họ cũng đã phát hiện các email nhằm lừa các tổ chức thanh toán hóa đơn giả mạo, có khả năng dẫn đến thiệt hại tài chính. Các tin nhắn giả mạo này cũng mạo danh các dịch vụ hợp pháp như DocuSign hoặc tự xưng là từ phòng HR liên quan đến thay đổi lương hoặc phúc lợi.
Các email phishing phát tán các vụ lừa đảo tài chính thường giống như một cuộc trò chuyện giữa CEO của tổ chức mục tiêu, một cá nhân yêu cầu thanh toán cho các dịch vụ đã cung cấp, hoặc bộ phận kế toán của công ty. Chúng cũng chứa ba tệp đính kèm để tạo cảm giác tin cậy giả tạo cho kế hoạch:
- Một hóa đơn giả hàng ngàn đô la để chuyển khoản vào một tài khoản ngân hàng
- Một biểu mẫu IRS W-9 liệt kê tên và số an sinh xã hội của cá nhân được sử dụng để thiết lập tài khoản ngân hàng
- Một thư ngân hàng giả mạo được cho là do một nhân viên tại ngân hàng trực tuyến được sử dụng để thiết lập tài khoản gian lận cung cấp
"Chúng có thể sử dụng các liên kết có thể nhấp trong nội dung email hoặc mã QR trong tệp đính kèm hoặc các phương tiện khác để khiến người nhận điều hướng đến một trang đích phishing," báo cáo cho biết thêm. "Sự xuất hiện của việc được gửi từ một địa chỉ email nội bộ là điểm khác biệt dễ nhận thấy nhất đối với người dùng cuối, thường với cùng một địa chỉ email được sử dụng trong các trường 'To' và 'From'."
Giải pháp phòng chống
Để chống lại rủi ro này, các tổ chức được khuyến nghị đặt các chính sách Domain-based Message Authentication, Reporting, and Conformance (DMARC) reject và Sender Policy Framework (SPF) hard fail nghiêm ngặt, đồng thời cấu hình đúng cách các connector của bên thứ ba, như các dịch vụ lọc spam hoặc công cụ lưu trữ.
Điều đáng chú ý là các tenant có MX records trỏ trực tiếp đến Office 365 không dễ bị tấn công bởi attack vector này. Ngoài ra, bạn nên tắt Direct Send nếu không cần thiết để reject các email giả mạo tên miền của tổ chức.
