Vì sao hacker chuyển sang tấn công phishing ngoài email và cách phòng tránh

Nếu trước đây email là con đường chính để tin tặc phát động các cuộc tấn công lừa đảo, thì giờ đây, xu hướng đã thay đổi. Ngày càng nhiều đường dẫn phishing được gửi qua các kênh ngoài email như mạng xã hội, ứng dụng nhắn tin, SMS, hay thậm chí quảng cáo độc hại trên công cụ tìm kiếm. Điều này đặt ra thách thức mới cho các đội ngũ an ninh mạng vốn đã quen với việc “chặn đứng” mọi thứ ngay từ hộp thư đến.

Nguyên nhân của sự dịch chuyển này xuất phát từ chính môi trường làm việc hiện đại. Nhân viên ngày nay không chỉ làm việc qua email mà còn kết nối, chia sẻ tài liệu, giao tiếp bằng hàng loạt ứng dụng phân tán khác. Sự thay đổi đó khiến phạm vi tiếp xúc với nội dung độc hại trở nên rộng hơn nhiều. Trong khi trước kia, email là “cửa ngõ” duy nhất để hacker tìm đến, thì giờ đây bất kỳ nền tảng nào có tính năng nhắn tin, trò chuyện, hay chia sẻ liên kết cũng có thể bị lợi dụng.

Một điểm đáng chú ý là các cuộc tấn công ngoài email thường ít được nhắc tới, đơn giản vì phần lớn dữ liệu ngành an ninh mạng hiện nay đến từ các nhà cung cấp dịch vụ bảo mật email. Khi email không còn là trung tâm, những vụ tấn công thông qua mạng xã hội hay tin nhắn tức thời dễ dàng bị bỏ qua. Ngay cả khi doanh nghiệp có biện pháp bổ sung như proxy web, các bộ công cụ phishing hiện đại với kỹ thuật che giấu mã nguồn tinh vi cũng có thể vượt qua một cách dễ dàng.

Thực tế, khi phát hiện một vụ phishing trên mạng xã hội, doanh nghiệp hầu như không có cách nào xử lý triệt để. Không thể thu hồi tin nhắn đã gửi như email, cũng không thể đưa ra quy tắc chặn người gửi. Cùng lắm, bạn chỉ có thể báo cáo tài khoản vi phạm, nhưng thường thì đến khi nền tảng xử lý thì kẻ tấn công đã đạt được mục đích và chuyển sang “con mồi” khác.

Đáng lo ngại hơn, ranh giới giữa cá nhân và doanh nghiệp ngày càng mờ nhạt. Nhân viên thường xuyên dùng thiết bị công ty để đăng nhập tài khoản cá nhân như LinkedIn, WhatsApp, hay thậm chí Google. Điều đó khiến một cú lừa tưởng như “vô hại” trên mạng xã hội cũng có thể trở thành điểm khởi đầu cho sự cố nghiêm trọng. Vụ tấn công Okta năm 2023 là một minh chứng, khi hacker lợi dụng dữ liệu đăng nhập được đồng bộ từ tài khoản Google cá nhân của một nhân viên, dẫn đến hậu quả lan rộng sang hệ thống doanh nghiệp.

Những chiến dịch phishing hiện đại còn tinh vi hơn nhờ khả năng cá nhân hóa. Quảng cáo độc hại có thể được tùy chỉnh theo vị trí địa lý, loại thiết bị hoặc thậm chí tên miền email của nạn nhân. Các trang phishing cũng được thiết kế để chỉ hiển thị với những đối tượng cụ thể, khiến việc phát hiện càng trở nên khó khăn.

Hậu quả của một tài khoản bị chiếm quyền có thể nghiêm trọng hơn nhiều so với tưởng tượng. Tin tặc không chỉ xâm nhập dữ liệu trong ứng dụng gốc, mà còn lợi dụng đăng nhập một lần (SSO) để mở rộng quyền truy cập sang hàng loạt dịch vụ khác. Từ đó, chúng có thể dễ dàng phát động các cuộc tấn công nội bộ, sử dụng chính Slack, Teams hay những ứng dụng doanh nghiệp khác như một bàn đạp lây nhiễm.

Có thể thấy, các giải pháp chống phishing truyền thống vốn tập trung vào email giờ đây không còn đủ sức. Để đối phó, doanh nghiệp cần một lớp phòng vệ mới có khả năng giám sát trực tiếp các tương tác web theo thời gian thực, phát hiện và chặn tấn công ngay khi người dùng tải trang. Những nền tảng bảo mật dựa trên trình duyệt với khả năng nhận diện tấn công AiTM, chiếm quyền phiên đăng nhập hay tiện ích độc hại sẽ là hướng đi cần thiết trong cuộc chiến chống lại các hình thức phishing ngoài email đang ngày càng tinh vi.