Các cuộc tấn công chiếm đoạt tài khoản (Account Takeover - ATO) mới được tiến hành gần đây được cho là đã gây ảnh hưởng đến khoảng 4.000 tài khoản Office 365. Hầu hết các tài khoản này đều bị chiếm đoạt và sau đó được sử dụng để thực hiện nhiều hoạt động độc hại khác nhau.
Thông tin chi tiết về các cuộc tấn công kéo dài cả tháng này đã được các nhà nghiên cứu bảo mật tại Barracuda Networks đưa ra trong một báo cáo xuất bản vào ngày 2 tháng 5 năm 2019. Theo thông tin được nêu chi tiết trong báo cáo bảo mật này thì: “Đã có một sự gia tăng đến mức đáng báo động trong số lượng tài khoản Office 365 bị chiếm đoạt, biến nó trở thành một trong những mối đe dọa bảo mật email có diễn biến nhanh và khó lường nhất kể từ đầu năm 2019 đến nay. Ngoài ra, một phân tích mới được tiến hành gần đây đối với các cuộc tấn công chiếm đoạt tài khoản nhắm vào khách hàng của Barracuda Networks cũng cho thấy có đến 29% tổ chức, doanh nghiệp sở hữu những tài khoản Office 365 đã bị tin tặc xâm nhập vào khoảng tháng 3 năm 2019”.
Bên cạnh đó, báo cáo của Barracuda Networks cũng tiết lộ rằng chỉ trong vòng 1 tháng (tháng 3 năm 2019), đã có tới hơn 1.5 triệu email độc hại và spam được gửi từ các tài khoản Office 365 bị chiếm đoạt trước đó bởi những cuộc tấn công ATO.
Các nhà nghiên cứu của Barracuda Networks giải thích rằng những tên tội phạm đứng sau các cuộc tấn công ATO về cơ bản đã sử dụng nhiều phương thức khác nhau để thực hiện các cuộc tấn công, bao gồm việc tận dụng thông tin đăng nhập đánh cắp được trong những vụ vi phạm dữ liệu trước đó, cũng như một số cuộc tấn công được thực hiện thông qua các ứng dụng kinh doanh và web (bao gồm cả SMS).
Chuyên gia bảo mật Asaf Cidon, phó chủ tịch dịch vụ bảo mật nội dung của Barracuda Networks đã giải thích chi tiết về cách thức tin tặc tiến hành các cuộc tấn công trong 1 bài đăng trên blog như sau: “Đầu tiên, tội phạm mạng sẽ sử dụng các email mạo danh thương hiệu uy tín, kỹ thuật xã hội và lừa đảo để đánh cắp thông tin đăng nhập và truy cập tài khoản Office 365 của nạn nhân. Sau khi đã xâm nhập được vào tài khoản nhắm mục tiêu, tin tặc sẽ tiến hành theo dõi hoạt động để tìm hiểu cách thức hoạt động cụ thể của một cá nhân hoặc tổ chức, đồng thời thu thập thông tin về chữ ký email mà nạn nhân sử dụng cũng như cách thức họ xử lý các giao dịch tài chính… từ đó có thể khởi động các cuộc tấn công với khả năng thành công cao hơn, bao gồm cả việc thu thập thông tin đăng nhập bổ sung cho nhiều tài khoản khác”.
Như vậy, nhìn chung thì các cuộc tấn công thường bắt đầu bằng sự xâm nhập (tin tặc thường mạo danh Microsoft, cứ 3 cuộc tấn công ATO được thực hiện thì có 1 đi theo hướng này) và sử dụng các mánh khóe kỹ thuật xã hội để dụ người dùng truy cập vào những trang web lừa đảo khiến họ tiết lộ thông tin đăng nhập của mình. Tin tặc sẽ hiếm khi khởi động một cuộc tấn công ngay lập tức sau khi xâm phạm tài khoản mà thay vào đó, chúng sẽ bắt tay vào theo dõi các email cũng như chi tiết hoạt động của tổ chức, điều này sẽ giúp tối đa hóa cơ hội thực hiện các cuộc tấn công nói chung, giúp đem lại tỉ lệ thành công cao hơn đáng kể.
“Những kẻ lừa đảo thường thiết lập các quy tắc hộp thư chuyên biệt để ẩn hoặc xóa bất kỳ email nào chúng gửi từ tài khoản bị xâm nhập như một phần của kế hoạch thăm dò tinh vi. Trong bài phân tích xuất bản vào tháng 3 năm 2019 được thực hiện bởi các nhà nghiên cứu bảo mật tại Barracuda Networks, chúng tôi phát hiện ra rằng tin tặc đã thiết lập các quy tắc độc hại để che giấu hoạt động của chúng với khoảng 34% trong số gần 4.000 tài khoản Office 365 bị xâm nhập trái phép”, ông Asaf Cidon cho biết.
Sau khi hoàn tất quá trình thăm dò, tin tặc sẽ bắt đầu chọn lọc và nhắm mục tiêu đến những tài khoản có giá trị cao (ví dụ hộp thư của các giám đốc điều hành, nhân viên tài chính, quản lý cấp cao...) trong một tổ chức bằng cách sử dụng thông tin đăng nhập của những người này. Bên cạnh đó, tin tặc sẽ sử dụng cả các mánh khóe lừa đảo và mạo danh thương hiệu để thu thập thông tin đăng nhập đối với những tài khoản có giá trị cao tương tự. Thông thường, chúng sẽ sử dụng các kỹ thuật giả mạo tên miền hoặc chính những tên miền giả mạo giống nhau để khiến cho chiến dịch lừa đảo trông có vẻ thuyết phục hơn.
“Tin tặc cũng sẽ sử dụng các tài khoản bị xâm nhập để kiếm tiền từ những cuộc tấn công khác bằng cách đánh cắp dữ liệu cá nhân, tài chính và bí mật và sử dụng nó để thực hiện hành vi trộm cắp danh tính, lừa đảo và nhiều hoạt động phi pháp khác. Ngoài ra, những tài khoản bị chiếm đoạt cũng sẽ được sử dụng để khởi động các cuộc tấn công bên ngoài nhắm mục tiêu đến đối tác và khách hàng của nạn nhân. Với việc chiếm quyền điều khiển các cuộc trò chuyện, tin tặc có thể xâm nhập vào nhiều cuộc hội thoại hoặc chủ đề quan trọng, chẳng hạn như trong các hoạt động chuyển khoản hoặc giao dịch tài chính có giá trị khác”, ông Asaf Cidon giải thích.
Các tổ chức, doanh nghiệp cần phải đặc biệt lưu ý đến những cuộc tấn công như thế này bởi chúng có thể gây ra thiệt hại cực kỳ lớn về mặt tài chính. Và tin tặc thậm chí còn có thể kiếm tiền bằng cách nhắm mục tiêu đến các hoạt động thanh toán, chuyển khoản ngân hàng bằng cách chuyển hướng giao dịch đến tài khoản ngân hàng mà chúng kiểm soát.
Làm thế nào để chống lại các cuộc tấn công ATO nguy hiểm này?
Các nhà nghiên cứu bảo mật của Barracuda Networks cũng đã đưa ra một số khuyến nghị có thể giúp đảm bảo bảo vệ toàn diện đối với tổ chức, doanh nghiệp trước các cuộc tấn công chiếm đoạt tài khoản tương tự.
Bước đầu tiên có thể giúp giảm thiểu các cuộc tấn công dạng này là việc ứng dụng trí tuệ nhân tạo vào quy trình bảo mật chung. Các mô hình học máy (machine learning) hoàn toàn có thể được sử dụng để phân tích những kiểu giao tiếp bình thường trong một tổ chức và phát hiện ra sự bất thường, qua đó giúp chỉ ra các cuộc tấn công (lừa đảo), được thực hiện bằng cách bỏ qua các cổng và bộ lọc thư rác.
Bên cạnh đó, đội ngũ Barracuda Networks cũng khuyến nghị các tổ chức nên triển khai những biện pháp bảo vệ chiếm đoạt tài khoản bằng trí tuệ nhân tạo, có thể giúp xác định dấu hiệu của hành vi chiếm đoạt và đưa ra biện pháp đối phó phù hợp nhất.
Ngoài ra, sử dụng xác thực đa yếu tố, giám sát quy tắc hộp thư đến, đăng nhập đáng ngờ và đào tạo nhân viên trong việc nhận biết và báo cáo nguy cơ từ các cuộc tấn công lừa đảo cũng là những biện pháp giảm thiểu hiệu quả mà tổ chức, doanh nghiệp cần phải triển khai.