Ngày 16 tháng 10 năm 2024

Nghiên cứu mối đe dọa đặc sắc Lừa đảo Mã QR Quishing Sophos X-Ops Thư rác lừa đảo bằng giáo mác x-ops

Các chuyên gia bảo mật luôn cảnh giác với các kỹ thuật đe dọa đang phát triển. Nhóm Sophos X-Ops gần đây đã điều tra các cuộc tấn công lừa đảo nhắm vào một số nhân viên của chúng tôi, một trong số họ đã bị lừa cung cấp thông tin của mình.

Những kẻ tấn công đã sử dụng cái gọi là quishing (một từ ghép của “mã QR” và “lừa đảo”). Mã QR là một cơ chế mã hóa có thể đọc được bằng máy, có thể đóng gói nhiều loại thông tin, từ các dòng văn bản đến dữ liệu nhị phân, nhưng hầu hết mọi người đều biết và nhận ra cách sử dụng phổ biến nhất hiện nay của chúng là một cách nhanh chóng để chia sẻ URL.

Chúng tôi trong ngành an ninh thường dạy mọi người khả năng chống lại lừa đảo bằng cách hướng dẫn họ xem kỹ URL trước khi nhấp vào trên máy tính. Tuy nhiên, không giống như URL ở dạng văn bản thuần túy, mã QR không dễ bị kiểm tra theo cùng một cách.

Ngoài ra, hầu hết mọi người sử dụng camera điện thoại để giải mã QR thay vì máy tính và việc xem xét kỹ lưỡng URL hiển thị trong giây lát trên ứng dụng camera của điện thoại có thể rất khó khăn – một phần vì URL có thể chỉ xuất hiện trong vài giây trước khi ứng dụng ẩn URL khỏi tầm nhìn và một phần vì kẻ tấn công có thể sử dụng nhiều kỹ thuật hoặc dịch vụ chuyển hướng URL khác nhau để che giấu hoặc làm tối nghĩa đích đến cuối cùng của liên kết được hiển thị trên giao diện của ứng dụng camera.

Cuộc tấn công quishing diễn ra như thế nào

Vào tháng 6 năm 2024, các tác nhân đe dọa đã gửi cho nhiều mục tiêu trong Sophos một tài liệu PDF có chứa mã QR dưới dạng tệp đính kèm email. Các email lừa đảo được tạo ra để trông giống như email hợp pháp và được gửi bằng các tài khoản email hợp pháp, bị xâm phạm và không phải của Sophos.

(Để làm rõ, đây không phải là lần đầu tiên chúng tôi thấy email lừa đảo; Nhân viên đã bị nhắm mục tiêu vào một loạt vào tháng 2 và một lần nữa vào tháng 5. Khách hàng đã bị nhắm mục tiêu bởi các chiến dịch tương tự trong ít nhất một năm trở lại đây. X-Ops quyết định tập trung vào các cuộc tấn công nhắm vào Sophos vì chúng tôi được phép điều tra và chia sẻ chúng.)

Dòng tiêu đề của tin nhắn khiến chúng có vẻ như xuất phát từ nội bộ công ty, dưới dạng một tài liệu được gửi qua email trực tiếp từ máy quét kết nối mạng trong văn phòng.

Email lừa đảo ban đầu nhắm vào một nhân viên Sophos có một số điểm không nhất quán và lỗi, bao gồm tên tệp đính kèm không khớp trong nội dung, thiếu văn bản trong chủ đề và nội dung và tên người gửi không khớp với định dạng thông thường của công ty

Một dấu hiệu đáng chú ý là tin nhắn email được cho là xuất phát từ máy quét có tên tệp cho tài liệu trong nội dung tin nhắn, nhưng trong tất cả các tin nhắn chúng tôi nhận được ngày hôm đó, tên tệp này không khớp với tên tệp của tài liệu được đính kèm trong email.

Ngoài ra, một trong những tin nhắn có dòng tiêu đề là “Đã chuyển tiền đến”, mà máy quét văn phòng tự động sẽ không sử dụng, vì đó là cách diễn giải tổng quát hơn về nội dung của tài liệu được quét. Tin nhắn còn lại có dòng tiêu đề là “ Thông tin độc quyền về phúc lợi việc làm và/hoặc kế hoạch nghỉ hưu đính kèm= ” có vẻ như bị cắt ở cuối.

Trong email thứ hai nhắm vào một nhân viên khác, tên tệp đính kèm lại không khớp với tên trong nội dung. Máy quét sẽ tạo dòng chủ đề đó như thế nào?

Tài liệu PDF có logo Sophos, nhưng ngoài ra thì rất đơn giản. Văn bản xuất hiện bên dưới mã QR có nội dung “Tài liệu này sẽ hết hạn sau 24 giờ”. Nó cũng chỉ ra mã QR trỏ đến Docusign, nền tảng chữ ký hợp đồng điện tử. Những đặc điểm này khiến thông điệp có cảm giác cấp bách giả tạo.

Tài liệu quishing gốc được gửi đến một nhân viên của Sophos

Khi mục tiêu quét mã QR bằng điện thoại của họ, mục tiêu được chuyển hướng đến một trang lừa đảo trông giống như hộp thoại đăng nhập Microsoft365, nhưng được kẻ tấn công kiểm soát. URL có một chuỗi truy vấn ở cuối chứa địa chỉ email đầy đủ của mục tiêu, nhưng kỳ lạ thay, địa chỉ email có một chữ cái viết hoa ngẫu nhiên, khác biệt được thêm vào trước địa chỉ.

Mã QR được liên kết đến một tên miền được Cloudflare bảo vệ và chứa địa chỉ email của mục tiêu, được thêm một chữ cái in hoa không mong muốn

Trang này được thiết kế để đánh cắp cả thông tin đăng nhập và phản hồi MFA bằng một kỹ thuật được gọi là Kẻ thù ở giữa (AiTM).

Trang lừa đảo đã lấy được cả mật khẩu đăng nhập và mã thông báo MFA do mục tiêu nhập vào và trông giống hệt hộp thoại đăng nhập Microsoft365 chuẩn

URL được sử dụng trong cuộc tấn công không được Sophos biết đến vào thời điểm email đến. Trong mọi trường hợp, điện thoại di động của mục tiêu không được cài đặt tính năng nào có thể lọc lượt truy cập vào một trang web độc hại đã biết, chứ đừng nói đến trang web này, vốn không có lịch sử uy tín nào liên quan đến trang web này vào thời điểm đó.

Cuộc tấn công đã xâm phạm thành công thông tin xác thực của nhân viên và mã thông báo MFA thông qua phương pháp này. Sau đó, kẻ tấn công đã cố gắng sử dụng thông tin này để truy cập vào ứng dụng nội bộ bằng cách chuyển tiếp thành công mã thông báo MFA bị đánh cắp gần như theo thời gian thực, đây là một cách mới để lách yêu cầu MFA mà chúng tôi thực thi.

Các biện pháp kiểm soát nội bộ đối với các khía cạnh khác về cách thức hoạt động của quy trình đăng nhập mạng đã ngăn chặn kẻ tấn công truy cập vào bất kỳ thông tin hoặc tài sản nội bộ nào.

Như chúng tôi đã đề cập trước đó, loại tấn công này đang trở nên phổ biến hơn trong số khách hàng của chúng tôi. Mỗi ngày, chúng tôi nhận được nhiều mẫu PDF quishing mới nhắm vào các nhân viên cụ thể tại các tổ chức.

Một tệp PDF bị đánh cắp nhận được vào tuần trước khi xuất bản bài viết này, nhắm vào một khách hàng của Sophos, có vẻ như là một liên kết đến sổ tay nhân viên và bao gồm tên doanh nghiệp, thương hiệu của khách hàng, tên và địa chỉ email của mục tiêu.

Quishing như một dịch vụ

Các mục tiêu nhận được email do một tác nhân đe dọa gửi đi rất giống với các tin nhắn tương tự được gửi bằng nền tảng dịch vụ lừa đảo (PhaaS) có tên là ONNX Store , mà một số nhà nghiên cứu khẳng định là phiên bản đổi tên của bộ công cụ lừa đảo Caffeine . ONNX Store cung cấp các công cụ và cơ sở hạ tầng để chạy các chiến dịch lừa đảo và có thể truy cập thông qua bot Telegram.

Cửa hàng ONNX tận dụng các tính năng CAPTCHA chống bot và proxy địa chỉ IP của Cloudflare để gây khó khăn hơn cho các nhà nghiên cứu trong việc xác định các trang web độc hại, làm giảm hiệu quả của các công cụ quét tự động và làm lu mờ nhà cung cấp dịch vụ lưu trữ cơ bản.

Cửa hàng ONNX cũng sử dụng mã JavaScript được mã hóa có khả năng tự giải mã trong quá trình tải trang web, cung cấp thêm một lớp bảo mật để chống lại các trình quét chống lừa đảo.

Đánh bại mối đe dọa đang gia tăng

Những kẻ tấn công thực hiện các cuộc tấn công lừa đảo sử dụng mã QR có thể muốn bỏ qua các loại tính năng bảo vệ mạng trong phần mềm bảo mật điểm cuối có thể chạy trên máy tính. Một nạn nhân tiềm năng có thể nhận được tin nhắn lừa đảo trên máy tính, nhưng có nhiều khả năng sẽ truy cập trang lừa đảo trên điện thoại ít được bảo vệ của họ.

Vì mã QR thường được quét bằng thiết bị di động thứ cấp nên các URL mà mọi người truy cập có thể vượt qua các biện pháp phòng vệ truyền thống, chẳng hạn như chặn URL trên máy tính để bàn hoặc máy tính xách tay có cài đặt phần mềm bảo vệ điểm cuối hoặc kết nối thông qua tường lửa chặn các địa chỉ web độc hại đã biết.

Chúng tôi đã dành khá nhiều thời gian để nghiên cứu bộ sưu tập mẫu thư rác của mình để tìm ra các ví dụ khác về các cuộc tấn công quishing. Chúng tôi thấy rằng khối lượng các cuộc tấn công nhắm vào vectơ đe dọa cụ thể này dường như đang tăng lên cả về khối lượng và mức độ tinh vi của giao diện tài liệu PDF.

Bộ tệp đính kèm ban đầu vào tháng 6 là các tài liệu khá đơn giản, chỉ có một logo ở trên cùng, một mã QR và một ít văn bản nhằm tạo cảm giác cấp bách để truy cập vào URL được mã hóa trong khối mã QR.

Tuy nhiên, trong suốt mùa hè, các mẫu đã trở nên tinh tế hơn, với sự nhấn mạnh hơn vào thiết kế đồ họa và giao diện của nội dung hiển thị trong PDF. Các tài liệu Quishing hiện trông tinh tế hơn so với những gì chúng ta thấy ban đầu, với văn bản tiêu đề và chân trang được tùy chỉnh để nhúng tên của cá nhân mục tiêu (hoặc ít nhất là theo tên người dùng cho tài khoản email của họ) và/hoặc tổ chức mục tiêu nơi họ làm việc bên trong PDF.

Một trong những tài liệu quishing trông chuyên nghiệp hơn

Mã QR cực kỳ linh hoạt và một phần thông số kỹ thuật của mã QR có nghĩa là có thể nhúng đồ họa vào giữa khối mã QR.

Một số mã QR trong các tài liệu giả mạo gần đây đã lạm dụng thương hiệu Docusign như một thành phần đồ họa trong khối mã QR, gian lận bằng cách sử dụng uy tín của công ty đó để lừa đảo người dùng.

Để rõ ràng, Docusign không gửi email liên kết mã QR cho khách hàng hoặc khách hàng đang ký tài liệu. Theo sách trắng Chống lừa đảo của DocuSign (PDF), thương hiệu của công ty bị lạm dụng thường xuyên đến mức công ty đã thiết lập các biện pháp bảo mật trong email thông báo của mình .

Một tệp PDF giả mạo có tên người dùng email của mục tiêu được nhúng vào tài liệu, cũng như tên công ty nơi họ làm việc và địa chỉ email đầy đủ của họ trong phần văn bản chân trang và logo DocuSign ở giữa mã QR

Để rõ ràng, sự hiện diện của logo này bên trong mã QR không thể truyền tải bất kỳ tính hợp pháp nào cho liên kết mà nó trỏ đến và không nên mang lại cho nó bất kỳ độ tin cậy nào. Nó chỉ là một tính năng thiết kế của thông số kỹ thuật mã QR, rằng đồ họa có thể xuất hiện ở giữa chúng.

Định dạng của liên kết mà mã QR trỏ đến cũng đã phát triển. Trong khi nhiều URL dường như trỏ đến các tên miền thông thường đang được sử dụng cho mục đích xấu, kẻ tấn công cũng đang tận dụng nhiều kỹ thuật chuyển hướng khác nhau để che giấu URL đích.

Một nhân viên của Sophos đã nhận được tệp PDF này vào tháng 9 năm 2024. Tệp PDF này tham chiếu đến địa chỉ email của họ và ghi “Đây là thông báo dịch vụ bắt buộc” ở đầu và sử dụng ngữ pháp kỳ lạ ở những nơi khác

Ví dụ, một email lừa đảo được gửi đến một nhân viên Sophos khác trong tháng qua đã liên kết đến một liên kết Google được định dạng khéo léo, khi nhấp vào, sẽ chuyển hướng khách truy cập đến trang web lừa đảo. Thực hiện tra cứu URL trong trường hợp này sẽ dẫn đến trang web được liên kết trực tiếp từ mã QR (google.com) được phân loại là an toàn. Chúng tôi cũng đã thấy các liên kết trỏ đến các dịch vụ liên kết ngắn được sử dụng bởi nhiều trang web hợp pháp khác.

Mã QR trỏ đến một URL của Google quá dài để có thể xem toàn bộ từ trong ứng dụng camera trên điện thoại và sẽ chuyển hướng người dùng đến trang web lừa đảo nếu mở

Bất kỳ giải pháp nào có mục đích chặn và dừng việc tải các trang web lừa đảo đều phải giải quyết được bài toán theo dõi chuỗi chuyển hướng đến đích cuối cùng, sau đó thực hiện kiểm tra uy tín của trang web đó, cùng với việc giải quyết thêm sự phức tạp của những kẻ lừa đảo và kẻ lừa đảo ẩn trang web của chúng đằng sau các dịch vụ như CloudFlare.

Email lừa đảo gần đây nhất được gửi tới một nhân viên của Sophos có tệp đính kèm PDF với nội dung khá mỉa mai – nó có vẻ như được gửi bởi một công ty có hoạt động kinh doanh chính là đào tạo và dịch vụ chống lừa đảo.

Tệp PDF đính kèm trong email lừa đảo gần đây nhắm vào Sophos có thông tin chân trang dường như bắt chước các thông báo pháp lý từ một công ty có tên là Egress, một công ty con của công ty đào tạo chống lừa đảo KnowBe4. Tuy nhiên, tên miền mà mã QR trỏ đến thuộc về một công ty tư vấn của Brazil không liên quan gì đến KnowBe4. Có vẻ như trang web của các nhà tư vấn đã bị xâm phạm và được sử dụng để lưu trữ một trang lừa đảo.

Một tài liệu lừa đảo sử dụng ngôn ngữ pháp lý ngụ ý rằng nó xuất phát từ một công ty đào tạo chống lừa đảo và được “Hỗ trợ bởi Sophos(c)”

Tin nhắn đó cũng chứa nội dung chính khiến nó có vẻ như là một tin nhắn tự động, mặc dù có một số lỗi chính tả và lỗi rất kỳ lạ. Giống như các tin nhắn trước, nội dung chính chỉ ra tên tệp cho tệp đính kèm không khớp với tên tệp đính kèm trong email.

Email sau đó có nội dung “mọi thắc mắc xin gửi đến người liên hệ Wayne Center của bạn”, có lẽ là Batman

Chiến thuật MITRE ATT&CK được quan sát

Khuyến nghị và hướng dẫn cho quản trị viên CNTT

Nếu bạn đang phải đối phó với một cuộc tấn công lừa đảo sử dụng mã QR tương tự trong môi trường doanh nghiệp, chúng tôi có một số gợi ý về cách đối phó với các loại tấn công này.

• Nội dung tập trung vào HR, bảng lương hoặc phúc lợi : Hầu hết các email lừa đảo nhắm vào Sophos đều sử dụng giấy tờ của nhân viên như một mánh khóe kỹ thuật xã hội. Các tin nhắn có dòng tiêu đề chứa các cụm từ như “kế hoạch tài chính năm 2024”, “quyền lợi mở đăng ký”, “chi trả cổ tức”, “thông báo thuế” hoặc “thỏa thuận hợp đồng”. Tuy nhiên, không có tin nhắn nào đến từ địa chỉ email của Sophos. Hãy đặc biệt chú ý đến các tin nhắn có nội dung tương tự và đảm bảo rằng tất cả các tin nhắn hợp pháp liên quan đến các chủ đề này đều đến từ một địa chỉ email nội bộ trong tổ chức của bạn, thay vì dựa vào các công cụ nhắn tin của bên thứ ba.
• Mobile Intercept X: Intercept X dành cho thiết bị di động ( Android / iOS ) bao gồm Secure QR Code Scanner, có sẵn thông qua menu hamburger ở góc trên bên trái của ứng dụng. Secure QR Code Scanner bảo vệ người dùng bằng cách kiểm tra các liên kết mã QR với cơ sở dữ liệu về các mối đe dọa đã biết và cảnh báo bạn nếu dịch vụ danh tiếng URL của Sophos biết một trang web là độc hại. Tuy nhiên, nó có hạn chế là không theo dõi các liên kết thông qua chuỗi chuyển hướng.

Máy quét mã QR an toàn Intercept X dành cho thiết bị di động phát hiện ra điềm xấu

• Theo dõi cảnh báo đăng nhập rủi ro: Tận dụng Entra ID Protection của Microsoft hoặc công cụ quản lý danh tính cấp doanh nghiệp tương tự để phát hiện và ứng phó với các rủi ro dựa trên danh tính. Các tính năng này giúp xác định hoạt động đăng nhập bất thường có thể chỉ ra lừa đảo hoặc các hoạt động độc hại khác.
• Triển khai Truy cập có điều kiện:  Truy cập có điều kiện trong Microsoft Entra ID cho phép các tổ chức thực thi các biện pháp kiểm soát truy cập cụ thể dựa trên các điều kiện như vị trí người dùng, trạng thái thiết bị và mức độ rủi ro, tăng cường bảo mật bằng cách đảm bảo chỉ những người dùng được ủy quyền mới có thể truy cập tài nguyên. Bất cứ khi nào có thể, các quy trình phòng thủ chuyên sâu tương tự nên được xem xét như một biện pháp dự phòng cho các mã thông báo MFA có khả năng bị xâm phạm.
• Bật ghi nhật ký truy cập hiệu quả: Mặc dù chúng tôi khuyên bạn nên bật tất cả các tính năng ghi nhật ký được Microsoft mô tả ở đây , nhưng chúng tôi đặc biệt khuyên bạn nên bật kiểm tra, đăng nhập, bảo vệ danh tính và nhật ký hoạt động biểu đồ, tất cả đều đóng vai trò quan trọng trong sự cố này.
• Triển khai bộ lọc email nâng cao: Sophos đã phát hành giai đoạn 1 của Central Email QR phish protection , phát hiện mã QR được nhúng trực tiếp vào email. Tuy nhiên, trong sự cố này, mã QR được nhúng trong tệp đính kèm PDF của email, khiến việc phát hiện trở nên khó khăn. Giai đoạn 2 của Central Email QR code protection sẽ bao gồm quét tệp đính kèm để tìm mã QR và dự kiến ​​phát hành trong quý đầu tiên của năm 2025.
• Thu hồi theo yêu cầu : Sophos Central Khách hàng email sử dụng Microsoft365 làm nhà cung cấp dịch vụ email của họ có thể sử dụng tính năng có tên là thu hồi theo yêu cầu để tìm (và xóa) thư rác hoặc thư lừa đảo từ các hộp thư đến khác trong tổ chức của họ tương tự như các thư đã được xác định là độc hại.

• Sự cảnh giác và báo cáo của nhân viên: Việc nâng cao sự cảnh giác và báo cáo kịp thời của nhân viên là rất quan trọng để giải quyết các sự cố lừa đảo. Chúng tôi khuyên bạn nên triển khai các buổi đào tạo thường xuyên để nhận biết các nỗ lực lừa đảo và khuyến khích nhân viên báo cáo ngay lập tức bất kỳ email đáng ngờ nào cho nhóm ứng phó sự cố của họ.
• Thu hồi các phiên người dùng đang hoạt động đáng ngờ:  Có một sổ tay hướng dẫn rõ ràng về cách thức và thời điểm thu hồi các phiên người dùng có thể cho thấy dấu hiệu xâm phạm. Đối với các ứng dụng O365, hướng dẫn này từ Microsoft rất hữu ích.

Hãy đối xử tốt với con người của bạn

Ngay cả trong điều kiện tốt nhất và với lực lượng lao động được đào tạo bài bản như nhân viên tại Sophos, nhiều hình thức lừa đảo trực tuyến vẫn là mối đe dọa dai dẳng và ngày càng nguy hiểm hơn. May mắn thay, với mức độ bảo vệ nhiều lớp phù hợp, giờ đây có thể giảm thiểu ngay cả những thứ có khả năng nghiêm trọng như một cuộc tấn công lừa đảo trực tuyến thành công.

Nhưng cũng quan trọng như các mẹo phòng ngừa kỹ thuật nêu trên là các yếu tố con người của một cuộc tấn công. Việc xây dựng một nền văn hóa và môi trường làm việc nơi nhân viên được trao quyền, khuyến khích và cảm ơn vì đã báo cáo hoạt động đáng ngờ và nơi nhân viên an ninh thông tin có thể nhanh chóng điều tra, có thể tạo ra sự khác biệt giữa một nỗ lực lừa đảo đơn thuần và một vụ vi phạm thành công.

1. Mục đích bài viết.

Bài viết này sẽ hướng dẫn các bạn cách cấu hình nhận email backup hàng ngày

2. Hướng dẫn cấu hình.

Cấu hình gồm các bước:

• Tạo mật khẩu ứng dụng Gmail
• Cài đặt Mail server setting
• Cấu hình nhận Email Backup mỗi ngày.

1. Tạo mật khẩu ứng dụng Gmail.
   1. Mở xác thực 2 lớp

Truy cập vào trang cài đặt bảo mật của tài khoản Google của bạn.

Cuộn xuống phần “2-Step Verification” (Xác minh 2 bước) và bật xác thực 2 bước.

2. Tạo mật khẩu ứng dụng Gmail.

Trong danh sách các tùy chọn 2-Step Verification, tìm mục “App passwords” (Mật khẩu ứng dụng) ở cuối trang.

Nêu không tìm thấy, bạn có thể tạo mật khẩu ứng dụng tại đây: Create and manage your app passwords

Nhấp vào mục “App passwords” để mở trang cài đặt mật khẩu ứng dụng.

Để tạo mật khẩu mới, nhấp vào mũi tên bên phải mục “App passwords“.

Sau khi tạo xong, hệ thống sẽ cung cấp cho bạn một mật khẩu duy nhất để sử dụng cho ứng dụng và thiết bị đó.

2. Cài đặt Mail sever setting.

Điều hướng đến SYSTEM > ADMINISTRATION > NOTIFICATION SETTINGS

Trong phần “Mail server settings“: 

• Chọn “External email server” 
• Nhập địa chỉ mail server SMTP và cổng (smtp.gmail.com và  587).
• Đánh dấu vào ô “Authentication required”.
• Nhập username và password (mật khẩu ứng dụng vừa tạo phía trên) cho tài khoản email dùng để gửi thông báo.
• Chọn “STARTTLS” cho Connection security.

Cấu hình “Email settings“: 

• Nhập địa chỉ email gửi trong mục “From email address”.
• Nhập địa chỉ email nhận thông báo trong mục “Send notifications to email address”.

Sau khi điền xong thông tin, nhấn nút “Apply” để lưu cài đặt

Để kiểm tra cấu hình, nhấn nút “Test mail“.

Vào gmail kiểm tra.

3. Cấu hình nhận emai Backup mỗi ngày

Điều hướng đến SYSTEM > BACKUP & FIRMWARE > BACKUP & RESTORE

Trong phần “Backup“: 

• Chọn “Backup mode”: Email 
• Nhập “Backup prefix” nếu cần.
• Nhập “Email address” để nhận báo gmail file backup.
• Chọn “Frequency”: Daily (Hàng ngày).
• Đặt “Schedule”: Chọn thời gian backup mỗi ngày.
• Nhập “Encryption password” để bảo vệ file backup (tùy chọn nhưng khuyến nghị sử dụng).

Sau khi điền xong thông tin, nhấn nút “Apply” để lưu cài đặt

4. Kiểm tra Gmail.

Vào Gmail và kiểm tra xem, tệp đính kèm là bản Backup 

3. Tổng kết

Trên đây là bài viết hướng dẫn cấu hình nhận Email Backup hằng ngày do Vacif biên soạn. Hy vọng với những chia sẻ trên bạn có thể dễ dàng cấu hình và đừng quên theo dõi Vacif để nhận được những thông tin, hướng dẫn mới nhất về các thiết bị mạng. Xin cảm ơn!

Như tên gọi, các cuộc tấn công spear phishing là những chiêu lừa đảo được nhắm đến một cách rất có mục tiêu. Thường xảy ra trong môi trường chuyên nghiệp, những kẻ lừa đảo này săn mục tiêu là những “con cá lớn”, như nhân viên cấp cao có quyền truy cập vào tài chính hoặc dữ liệu của công ty. Từ đó, các kẻ lừa đảo sử dụng kỹ thuật kỹ năng xã hội (còn gọi là thao túng) để lừa đảo mục tiêu chuyển tiền cho họ hoặc cung cấp truy cập vào các hệ thống quan trọng của công ty. Đôi khi, đây là sự kết hợp của cả hai phương thức.

Một trong những ví dụ đáng chú ý nhất về các cuộc tấn công spear phishing đến từ các cuộc tấn công Shamoon2 xảy ra tại Saudi Arabia vào năm 2016. Các đợt tấn công liên tiếp cuối cùng đã làm nhiễm phần mềm độc hại vào máy tính và phá hủy các hệ thống.

Vậy, cuộc tấn công spear phishing cụ thể này đã hoạt động như thế nào? Các tội phạm mạng đã nhắm mục tiêu các tổ chức cụ thể tại Saudi Arabia với các email chứa đính kèm độc hại. Khi nạn nhân nhấp và mở đính kèm, họ đã bị nhiễm phần mềm độc hại, dữ liệu quan trọng của công ty bị lấy cắp và hệ thống bị xóa sạch một cách nhanh chóng.

Cuộc tấn công spear phishing đã tồn tại từ lâu nhưng vẫn hiệu quả như ngày nào. Sự thành công của spear phishing dựa trên sự quen thuộc. Thông thường, các tội phạm mạng giả mạo thành tổ chức hoặc cá nhân mà bạn quen biết và bao gồm một nội dung nào đó, một liên kết, một tệp đính kèm email, v.v. Mà họ biết bạn sẽ muốn tương tác.

Ví dụ, các tội phạm mạng đã tận dụng các thảm họa trong các tin tức nổi bật và sử dụng email có mục tiêu, giả danh tổ chức từ thiện yêu cầu quyên góp. Trong trường hợp Shamoon2, các kẻ tấn công đã lôi kéo nạn nhân bằng đính kèm email hấp dẫn được gửi từ các tổ chức mà nạn nhân có lẽ sẽ tin tưởng. Thay vì quyên góp vào tổ chức từ thiện mà họ lựa chọn, hoặc mở một tệp đính kèm văn phòng lành mạnh, nạn nhân đã tự nhiễm malware vào hệ thống của mình.

Hơn nữa, chúng ta đã chứng kiến ​​các cuộc tấn công spear phishing đạt đến một hình thức hoàn toàn mới với sự ra đời của deepfakes AI. Bây giờ, thay vì tiếp cận nạn nhân qua email, các kẻ lừa đảo tinh vi tạo deepfakes giả mạo nhân viên trong cuộc gọi video. Tất cả diễn ra trong thời gian thực. Điều này đã xảy ra tại Hong Kong vào tháng 2 năm 2024, khi một loạt deepfakes đã áp lực lên quản lý tài chính của một công ty để chuyển khoản 25 triệu đô la cho các kẻ lừa đảo điều hành deepfakes.

Các cuộc tấn công spear phishing (và phishing thông thường) có thể rất tinh vi. Tuy nhiên, đừng lo lắng, bạn có rất nhiều cách để đối phó với mối đe dọa này.

Đầu tiên.

1. Đi thẳng đến nguồn gốc.

Các cuộc tấn công spear phishing có thể rất dễ dàng khiến bạn bị đánh lừa. Trên thực tế, các tội phạm mạng đã có thể giả mạo các tổ chức từ thiện uy tín hoặc các đối tác kinh doanh và khách hàng của nhà tuyển dụng. Vì vậy, nếu bạn nhận được một email từ một tổ chức yêu cầu quyên góp hoặc từ một đối tác yêu cầu bạn mở một tệp tin mà bạn không yêu cầu, một nguyên tắc cơ bản là hãy đi thẳng đến tổ chức thông qua một kênh liên lạc khác ngoài email. Truy cập vào trang web của công ty và tiến hành nghiên cứu thêm từ đó. Như vậy, bạn có thể đảm bảo rằng bạn nhận được thông tin chính xác và có thể tương tác với những người đúng, chứ không phải là các tay tấn công mạng.

Luôn luôn kiểm tra tính hợp pháp trước tiên. Các email spear phishing dựa vào bạn, họ muốn bạn nhấp vào một liên kết hoặc mở một tệp đính kèm. Nhưng trước khi bạn làm bất cứ điều gì, luôn luôn cần kiểm tra nội dung của email để đảm bảo tính hợp pháp. Di chuột qua một liên kết và xem nó có dẫn đến một URL đáng tin cậy không. Hoặc nếu bạn không chắc chắn về nội dung của một email hoặc nguồn gốc của nó, hãy tìm kiếm nhanh trên Google và tìm hiểu về các trường hợp khác của chiến dịch này, và những gì những trường hợp đó có thể nói với bạn về tính hợp pháp của email.

2. Những kẻ lừa đảo nghiên cứu kỹ — hãy luôn giữ cảnh giác.

Những kẻ lừa đảo lựa chọn nạn nhân của họ một cách cẩn thận trong các cuộc tấn công nhắm mục tiêu này. Họ săn đuổi nhân viên có quyền truy cập thông tin và quỹ tiền, sau đó tiến hành nghiên cứu về họ. Sử dụng các hồ sơ công khai, các trang môi giới dữ liệu, các trang tìm người và thông tin từ mạng xã hội, các kẻ lừa đảo thu thập thông tin tình báo về mục tiêu của họ. Với những thông tin này, họ có thể sử dụng các tham chiếu trong cuộc trò chuyện mà nghe có vẻ thông thạo hơn, cá nhân hơn và do đó có sức thuyết phục hơn. Nhưng chỉ vì những gì được nói có vẻ quen thuộc một chút không có nghĩa là nó luôn đến từ một nguồn đáng tin cậy.

3. Dọn dẹp hiện diện của bạn trên mạng.

Các tính năng như McAfee Personal Data Cleanup có thể giúp loại bỏ thông tin cá nhân từ một số trong những trang môi giới dữ liệu nguy hiểm nhất hiện nay. Tôi cũng luôn theo dõi những trang đó nếu thông tin cá nhân xuất hiện trên chúng sau này. Ngoài ra, nhân viên có thể đặt cấu hình cho các hồ sơ mạng xã hội của họ thành riêng tư bằng cách giới hạn truy cập chỉ cho “bạn bè và gia đình”, từ chối kẻ lừa đảo một con đường khác để thu thập thông tin. Sử dụng Social Privacy Manager của chúng tôi có thể làm điều đó dễ dàng hơn. Chỉ cần vài cú nhấp chuột, nó có thể điều chỉnh hơn 100 cài đặt riêng tư trên các tài khoản mạng xã hội của họ làm cho chúng trở nên riêng tư hơn kết quả.

Trong bài đăng này, chúng ta sẽ khám phá các cách tiềm năng mà Trí tuệ Nhân tạo có thể được áp dụng để làm cho các mối đe dọa qua email trở nên nguy hiểm hơn, những gì mà các tổ chức và kênh nên chú ý, và nhấn mạnh sự cần thiết của các biện pháp chủ động để đảm bảo an ninh mạng.

1. Các Cuộc Tấn Công Lừa Đảo Tiên Tiến.

Trí tuệ nhân tạo không thể phủ nhận sẽ làm cho việc phát triển email lừa đảo có tính cá nhân và thuyết phục ở quy mô lớn trở nên dễ dàng hơn rất nhiều! Mặc dù trước đây phải phụ thuộc vào khả năng cá nhân của các tác nhân đe dọa, các thuật toán học máy có thể phân tích lượng lớn dữ liệu một cách nhanh chóng. Điều này có thể bao gồm thông tin cá nhân bị đánh cắp, hành vi trực tuyến, hồ sơ trên mạng xã hội, và thậm chí là hồ sơ công khai. Với thông tin này, các tội phạm mạng sẽ có thể tùy chỉnh email lừa đảo của họ một cách rộng rãi, khiến chúng trở nên có vẻ chân thực hơn nhiều với việc sử dụng thông tin cá nhân, hoặc thậm chí là bắt chước phong cách viết của một người mà họ biết. Những cuộc tấn công lừa đảo tiên tiến được định hình bởi trí tuệ nhân tạo có thể tăng đáng kể tỉ lệ thành công của các chiến dịch độc hại này.

2. Các Cuộc Tấn Công Email Tự Động.

Trí tuệ nhân tạo có thể tạo điều kiện cho các cuộc tấn công email tự động ở quy mô chưa từng có. Sử dụng bot được điều khiển bởi trí tuệ nhân tạo, các tội phạm mạng sẽ có khả năng gửi hàng loạt các chiến dịch độc hại đến các người nhận không nghi ngờ. Những bot này có thể thậm chí làm giả hành vi của con người, chẳng hạn như trả lời email hoặc tham gia vào các cuộc trò chuyện, khiến chúng khó phân biệt được với người dùng hợp pháp. Sự khổng lồ và tốc độ của những cuộc tấn công email tự động này có thể làm quá tải các máy chủ email, gây ra sự cản trở cho doanh nghiệp và làm chậm các kênh giao tiếp, đặt tổ chức vào tình trạng nguy cơ bị xâm nhập hơn nữa.

3. Lừa Đảo Bắn Mũi Tên Tự Động.

Bằng cách kết hợp những chiến thuật tiên tiến này với tự động hóa, các tác nhân đe dọa sẽ có khả năng triển khai các chiến dịch spear phishing dễ dàng hơn nhiều. Spear phishing là một hình thức lừa đảo được định hướng cụ thể, trong đó các kẻ tấn công tập trung vào cá nhân hoặc tổ chức cụ thể. Với trí tuệ nhân tạo, các tội phạm mạng có thể tự động hóa và mở rộng các cuộc tấn công spear phishing, nhắm vào một lượng lớn cá nhân cùng một lúc và hiệu quả. Sự tự động hóa và tính mở rộng này sẽ làm tăng sự lan rộng và hiệu quả của các cuộc tấn công spear phishing, đe dọa nghiêm trọng đến cả cá nhân và tổ chức.

4. Email Giả Mạo Sâu.

Công nghệ Deepfake, sử dụng trí tuệ nhân tạo để tạo ra các video, hình ảnh hoặc bản ghi âm được tinh chỉnh và thực tế, có thể được áp dụng vào các email. Tại Cofense, chúng tôi đã nhận thấy một xu hướng tăng lên trong các cuộc tấn công dựa trên hình ảnh do sự khó nhận biết của chúng, và với việc áp dụng trí tuệ nhân tạo, các tội phạm mạng có thể tạo ra nội dung trong tương lai không chỉ khó phát hiện mà còn thuyết phục hơn. Với tổ chức là mục tiêu chính, họ có thể sử dụng công nghệ này để giả mạo các cá nhân cấp cao. Ví dụ, một đoạn video được tạo bởi trí tuệ nhân tạo của CEO yêu cầu chuyển khoản vốn cấp bách hoặc tiết lộ thông tin nhạy cảm. Email Deepfake đặt ra một mối nguy rất lớn về việc làm mờ niềm tin và cũng làm cho việc phân biệt giữa các thông điệp chính thống và gian lận ngày càng khó khăn hơn đối với các cá nhân.

5. Tránh Xa Hệ Thống Phát Hiện.

Trí tuệ nhân tạo có thể được sử dụng để phát triển các phần mềm độc hại và chiến lược tinh vi hơn nhằm mục đích tránh né các hệ thống bảo mật truyền thống. Học máy có thể phân tích các công nghệ bảo mật hiện có và các biện pháp đã biết của chúng để xác định các điểm yếu, cho phép các tội phạm mạng tiến hóa các chiến dịch lừa đảo có khả năng vượt qua các cổng SEG, phần mềm diệt virus và hệ thống phát hiện xâm nhập. Trí tuệ nhân tạo sẽ giúp cho các tác nhân đe dọa trở nên linh hoạt hơn trong những nỗ lực tiến hóa của họ, luôn ở trước một bước.

6. Giảm Thiểu Các Yếu Tố Nhận Dạng.

Một đặc điểm nhận dạng nổi tiếng cho các chiến dịch độc hại lịch sử đã là kiểm tra về ngữ pháp kém hoặc chính tả sai. Với việc sử dụng trí tuệ nhân tạo và nội dung được tạo bởi máy, đặc điểm nhận dạng này có thể bị ảnh hưởng nghiêm trọng. Nó có thể cải thiện đáng kể chất lượng văn bản và làm cho nó ít phân biệt được so với các tin nhắn hợp lệ.

Trong khi chúng ta đã có thể nhìn thấy một số khả năng tích cực rộng lớn của trí tuệ nhân tạo, chúng ta cũng phải nhận thức về những khả năng mà nó tạo ra cho các tội phạm mạng để tăng cường các mối đe dọa. Với công nghệ này, chúng ta không thể phủ nhận sự gia tăng liên tục về sự tinh vi và khối lượng lớn của các chỉ số đa dạng, mang lại các chiến dịch lừa đảo tiên tiến, thuyết phục và thậm chí tự động hóa. Để bảo vệ chống lại những cuộc tấn công ở cấp độ tiếp theo này, cách mà tổ chức phát triển bản thân sẽ rất quan trọng đối với sự thành công của họ và kênh cần phải cung cấp các công cụ và khả năng để làm điều này. Việc tiếp cận và sử dụng thông tin về mối đe dọa sẽ rất quan trọng để theo kịp các chiến thuật phát triển, và do đó điều này sẽ cần được cung cấp cho mọi yếu tố của bộ cơ sở an ninh của một tổ chức. Chỉ bằng cách truyền thông tin này vào các quy trình, cơ chế phòng thủ và đào tạo và mô phỏng cho nhân viên, kênh mới có thể giúp tổ chức chống lại các mối đe dọa tiến triển. Bằng cách giữ tinh thần cảnh giác và chủ động, chúng ta có thể làm việc để giảm thiểu các rủi ro liên quan đến mặt tối của trí tuệ nhân tạo và đảm bảo một môi trường kỹ thuật số an toàn hơn cho tất cả mọi người.

Mỗi chiến dịch lừa đảo mà Cofense Intelligence phân tích đều được đặt tiêu đề bao gồm một chủ đề. Chủ đề này quan trọng vì nó đặc trưng hóa chiến dịch và cung cấp thông tin về ý định của tác nhân đe dọa. Việc biết rằng một email lừa đảo nhắm vào ngành du lịch được thiết kế với chủ đề Hỗ trợ Du lịch thay vì một chủ đề Tài chính chung chung là quan trọng vì nó giúp tạo ra một phản ứng có tập trung hơn. Nó cũng giúp các công ty lựa chọn các mô phỏng lừa đảo phù hợp hơn để sử dụng cho nhân viên của họ. Chúng tôi sẽ đề cập đến một số chủ đề phổ biến hơn, những gì chúng bao gồm, và những xu hướng chúng ta có thể quan sát được với chúng.

Những Điểm Chính.

• Các chủ đề dựa trên nội dung email bao gồm tiêu đề, nội dung email, các tệp đính kèm, v.v.
• Biến thể chủ đề cao nhất xuất hiện trong Q3 và Q4 của năm 2023.
• Email có chủ đề Lợi ích là phổ biến nhất trong Q1 và Q4 của năm 2023.
• Email có chủ đề Fax và Tài liệu là phổ biến nhất trong Q1 của năm 2023.
• Email có chủ đề Pháp lý là phổ biến nhất trong Q3 và Q4 của năm 2023.
• Email có chủ đề Thuế và Thông báo là phổ biến nhất trong Q3 của năm 2023.
• Email có chủ đề Đóng (như đóng gói một giao dịch bất động sản) là phổ biến nhất trong Q1 và Q3 của năm 2023.
• Trong số các chủ đề chính, Tài chính chiếm 54%, Thông báo chiếm 35%, Vận chuyển chiếm 7%, và Phản ứng chiếm 3%.
• Trong số các chủ đề Trung bình, Tài liệu chiếm 38%, Tin nhắn thoại chiếm 25%, Hỗ trợ Du lịch chiếm 24%, Fax chiếm 8%, và Pháp lý chiếm 6%.
• Trong số các chủ đề Nhỏ, Lợi ích chiếm 37%, Thuế chiếm 32%, Đơn ứng tuyển công việc chiếm 21%, và Đóng chiếm 10%.

Ý Nghĩa của Các Chủ Đề Email Lừa Đảo.

Các chủ đề quan sát được trong báo cáo này đặc biệt là chủ đề tổng thể của email, không chỉ là tiêu đề hoặc thông tin đăng nhập nhắm mục tiêu. Điều này bao gồm cả thương hiệu bị giả mạo, tên tệp đính kèm, tệp đính kèm hiển thị trong trường hợp các tài liệu hoặc tệp HTM(L), và nội dung thân email. Tuy nhiên, một phần lớn của chủ đề của một email liên quan đến tiêu đề của nó vì đó, sau tất cả, là phần đầu tiên mà một nạn nhân thấy, vì vậy thường được thiết kế để thu hút sự chú ý của họ.

Các Chủ Đề Theo Thời Gian.

Quan sát các xu hướng trong các chủ đề email lừa đảo của các chiến dịch trong năm 2023 giúp chúng tôi hiểu được những gì mà các tác nhân đe dọa nghĩ là có khả năng gây tương tác từ các nạn nhân tại thời điểm đó. Chúng tôi sẽ xem xét một số thay đổi trong số lượng chủ đề dựa trên thời gian trong năm, ví dụ như email có chủ đề Lợi ích tăng đột ngột trong các giai đoạn thích hợp. Tổng thể, chúng tôi đã thấy số lượng lớn nhất của các chiến dịch có chủ đề nhất quán trong Q3, số lượng thấp nhất trong Q2 và sự biến đổi cao nhất về các chủ đề trong Q3 và Q4.

Các Chủ Đề Chính

Các chủ đề email lừa đảo “Chính” ở đây là những chủ đề có số lượng lớn nhất và thường là những chủ đề phổ biến nhất vì nhân viên có khả năng cao hơn để thấy chúng. Các chủ đề trong danh mục này bao gồm Tài chính, Thông báo, Vận chuyển và Phản ứng.

Tài chính – Các email có chủ đề thường có tiêu đề liên quan đến hóa đơn, thanh toán, biên lai lương, báo cáo, đơn hàng, chuyển khoản hoặc biên nhận. Chủ đề Tài chính khá ổn định trong năm 2023, nhìn chung có một sự giảm nhẹ từ Q1 đến Q4 mà không có sự giảm đột ngột hoặc tăng lớn. Điều này có thể là do Tài chính là chủ đề phổ biến nhất và gặp phải sự suy giảm về số lượng tương tự như hầu hết các chiến dịch khác thấy vào cuối năm.

Thông báo – Các email có chủ đề thông báo thường có tiêu đề liên quan đến việc hết hạn mật khẩu, nhắc nhở, tin nhắn, hành động cần thiết, hoạt động gần đây, hoặc cuộc hẹn. Chủ đề Thông báo tăng dần cho đến Q3 và sau đó giảm đột ngột vào Q4. Điều này là một phần của xu hướng tổng thể trong lĩnh vực lừa đảo khi Q4 chứng kiến một sự giảm tổng thể trong các chiến dịch.

Giao hàng – Các email có chủ đề giao hàng thường có tiêu đề liên quan đến vận chuyển, thông tin cảng, thông báo đến, hàng hóa, hoặc bất cứ điều gì liên quan đến DHL, FedEx, UPS và USPS. Chủ đề Giao hàng cao nhất trong Q1, cụ thể là vào tháng Hai, và tiếp tục giảm cho đến Q4. Theo phân tích chiến lược của chúng tôi “Email có Chủ Đề Giao Hàng: Không Chỉ Dành Cho Ngày Lễ” bao gồm dữ liệu từ năm 2021-2023, số lượng email có chủ đề giao hàng thường chỉ tăng một cách nhẹ vào Q4, điều này chúng tôi chỉ thấy vào cuối Q4 trong năm 2023.

Phản hồi – Các email có chủ đề phản ứng thường có tiêu đề liên quan đến bất kỳ loại phản hồi nào hoặc đôi khi là các tin nhắn được chuyển tiếp cũng như các chuỗi email bị chiếm đoạt và giả mạo. Trong khi nhiều tác nhân đe dọa giả mạo các chuỗi trả lời, những tác nhân đe dọa tiên tiến nhất chiếm đoạt các chuỗi email đã tồn tại trước đó. Chủ đề Phản ứng đạt đỉnh vào Q2, cụ thể là vào tháng Năm với tỉ lệ cao nhất 25% so với mỗi tháng khác. Điều này hợp lý vì tháng Năm chứng kiến sự gia tăng mạnh mẽ trong các chiến dịch QakBot sử dụng các chủ đề phản ứng hoặc thậm chí là tiêm vào các chuỗi trả lời đã tồn tại trước đó.

Figure 1: Major campaign themes in 2023.

Các Chủ Đề Trung Bình.

Các chủ đề email lừa đảo “Trung bình” ở đây là những chủ đề không phải là phổ biến nhất nhưng vẫn thường xuyên xuất hiện và thường được sử dụng trong các chiến dịch có tính cơ động hoặc phức tạp hơn. Các chủ đề trong danh mục này bao gồm Tài liệu, Tin nhắn thoại, Hỗ trợ Du lịch, Fax và Pháp lý.

Tài liệu – Các email có chủ đề tài liệu thường có tiêu đề liên quan đến các tài liệu đã được phê duyệt, chữ ký tài liệu, tài liệu hoàn thành, tài liệu được chia sẻ, hoặc chúng giả mạo DocuShared và DocuSign. Các email có chủ đề tài liệu là duy nhất trong các chủ đề trung bình không giảm trong Q2.

Tin nhắn thoại – Các email có chủ đề tin nhắn thoại thường có tiêu đề liên quan đến thư thoại, tin nhắn thoại, âm thanh cuộc gọi, cuộc gọi thoại, chi tiết người gọi, ghi chú người gọi, cuộc gọi nhỡ, các bản ghi, hoặc bản ghi cuộc gọi. Chủ đề Tin nhắn thoại đạt đỉnh vào đầu Q1 và cuối Q3 trước khi ổn định trong Q4.

Hỗ trợ du lịch – Các email có chủ đề hỗ trợ du lịch thường có tiêu đề liên quan đến phản ứng với các email điều tra về đặt phòng, đặt chỗ, hỗ trợ với du lịch, đặt chỗ, các điều kiện y tế, yêu cầu phòng. Email có chủ đề Hỗ trợ Du lịch nhắm vào ngành dịch vụ khách hàng từ Q3 đến Q4 nhưng suy giảm vào cuối Q4. Cụ thể trong tháng Mười Hai có sự giảm 66% trong số lượng email có chủ đề Hỗ trợ Du lịch.

Tín nhắnFax – Các email có chủ đề fax thường có tiêu đề liên quan đến tin nhắn fax, tài liệu đã fax, fax bí mật, hoặc chúng giả mạo eFax hoặc MyFax. Chủ đề Fax đạt đỉnh vào Q3, giảm xuống mức thấp nhất vào Q2, và tăng dần trong phần còn lại của năm.

Pháp lý – Các email có chủ đề pháp lý có một số lượng đề tài liên quan rộng lớn và thường có các tiêu đề liên quan đến bắt giữ, thách thức quyền giám hộ, lệnh triệu tập, các vụ án, các biện pháp trừng phạt, phạt về phương tiện, cáo buộc, vụ kiện hình sự, hoặc vụ kiện dân sự. Chủ đề Pháp lý tăng từ Q1 đến Q4 trong năm 2023. Đa số trong số này là bằng tiếng Tây Ban Nha. Từ Q1 đến Q3 chủ yếu là Remcos nhưng Q4 thấy sự đa dạng hóa vào XWorm RAT, njRAT, và Async RAT.

Figure 2: Moderate campaign themes in 2023.

Các Chủ Đề Phụ.

Các chủ đề email lừa đảo “Nhỏ” ở đây ít được nhìn thấy nhất nhưng có thể liên quan đến một thời điểm cụ thể trong năm. Các chủ đề trong danh mục này bao gồm Đóng cửa (thường là mua nhà), Lợi ích, Thuế và Đơn Ứng tuyển Việc làm.

Email có chủ đề Đóng cửa (thường là mua nhà) thường có tiêu đề liên quan đến tài liệu đóng cửa, gói đóng cửa, báo cáo thanh toán, khoản thanh toán đóng cửa, hoặc các tiết lộ đóng cửa. Chủ đề Đóng cửa giảm dần theo thời gian và không xuất hiện chút nào trong Q2, điều này làm ngạc nhiên vì Q2-Q3 thường là thời điểm bán nhà sôi động nhất.

Lợi ích – Các email có chủ đề Lợi ích thường có tiêu đề liên quan đến bảo hiểm, điều chỉnh lương, chính sách thanh toán, gói lợi ích, lợi ích hàng năm, sửa đổi lương, đăng ký, bảo hiểm y tế, lợi ích nhân viên, bảo hiểm sức khỏe, đăng ký mở cửa, W2s, hoặc phê duyệt nghỉ phép. Chủ đề Lợi ích cao nhất trong Q1 và Q4, điều này hợp lý vì thời gian này là thời điểm mà hầu hết các công ty thực hiện các chương trình lợi ích.

Thuế – Các email có chủ đề Thuế thường có tiêu đề liên quan đến hóa đơn thuế, VAT, biên nhận thuế, giấy phép thuế, đánh giá thuế, thuế bán hàng, điều chỉnh thuế, e-filling, hoặc Cơ quan Thuế Liên bang Mỹ (IRS). Chủ đề Thuế đạt đỉnh vào Q3 và Q4, có lẽ sử dụng ngày đáo hạn thuế để làm cho người ta hoang mang (Thuế cho các công ty đặt trụ sở tại Hoa Kỳ thường phải nộp vào tháng Tư ở đầu Q2).

Đơn ứng tuyển việc làm – Các email có chủ đề Đơn Ứng tuyển Việc làm thường có tiêu đề liên quan đến sơ yếu lý lịch, CV (lý lịch trích ngang), đề nghị việc làm, đơn ứng tuyển, vị trí công việc trống, tìm kiếm việc làm, hoặc một tên vị trí như “cố vấn tài chính”. Chủ đề Đơn Ứng tuyển Việc làm ổn định trong Q1 và Q2 nhưng giảm dần vào nửa sau của năm.

Figure 3: Minor campaign themes in 2023.

Bảo mật email luôn là một trong những vấn đề quan trọng và cấp bách trong thế giới kỹ thuật số ngày nay. Trong môi trường trực tuyến phức tạp, các phương pháp tấn công email ngày càng trở nên phổ biến và tinh vi hơn, khiến cho việc bảo vệ thông tin cá nhân và doanh nghiệp trở nên ngày càng khó khăn. Chính vì vậy, điều cần thiết là hiểu rõ các mối đe dọa tiềm tàng và nắm vững cách phòng chống hiệu quả để duy trì tính bảo mật cho hộp thư điện tử của chúng ta.

Trong bài viết này, chúng ta sẽ đi sâu vào tìm hiểu về các phương pháp tấn công email phổ biến mà các kẻ xâm nhập thường sử dụng. Chúng ta cũng sẽ khám phá những biện pháp phòng ngừa đáng tin cậy mà bạn có thể áp dụng để bảo vệ email của mình khỏi các mối đe dọa tiềm ẩn. Đồng hành cùng chúng tôi và hãy trang bị cho mình những kiến thức cần thiết để giữ cho hộp thư điện tử của bạn an toàn và bảo mật trong thời đại số hóa ngày nay.

Mục lục :

I. Bảo mật email là gì?

II. Các mối đe dọa phổ biến đối với email

III. Phương pháp hay nhất bảo mật email cho doanh nghiệp

Nội dung bài viết :

I. Bảo mật email là gì?

1. Email là gì ?

Email là một phần không thể thiếu trong việc giao tiếp trong tổ chức và được sử dụng rộng rãi bởi hầu hết các công ty trên nhiều thiết bị và môi trường khác nhau. Ngoài việc trao đổi thông điệp văn bản, email còn hỗ trợ việc gửi và nhận các loại phương tiện khác nhau, bao gồm cả ảnh, video và tệp đính kèm. Các cuộc trao đổi qua email có thể được theo dõi, lưu trữ và sắp xếp dựa trên nhiều yếu tố khác nhau.

Để đảm bảo an toàn cho tài khoản email và các cuộc trao đổi, bảo mật email đòi hỏi sử dụng các quy trình và công nghệ bảo mật. Email trở thành một điểm tấn công quan trọng trong môi trường tổ chức và thường là mục tiêu chính cho các cuộc tấn công lừa đảo và các hình thức xâm hại xã hội. Một lý do khác là vì email có thể chứa thông tin cực kỳ nhạy cảm, là mục tiêu mà các kẻ tấn công và nhân viên nội phạm có thể tìm cách thu thập và lợi dụng.

2. Tại sao cần bảo mật email ?

Bảo mật email là một yếu tố cực kỳ quan trọng trong việc bảo vệ thông tin cá nhân và dữ liệu quan trọng của người dùng và tổ chức.

Dưới đây là một số lý do vì sao cần bảo mật email:

• Bảo vệ thông tin cá nhân: Email thường chứa thông tin cá nhân quan trọng, chẳng hạn như tên, địa chỉ, số điện thoại, thông tin tài chính và thông tin đăng nhập. Nếu email bị xâm nhập hoặc rơi vào tay những kẻ xấu, thông tin này có thể bị lộ và dẫn đến việc xảy ra các hình thức lừa đảo hay vi phạm quyền riêng tư.
• Ngăn chặn cuộc tấn công email: Email là một phương tiện phổ biến để tiến hành các cuộc tấn công mạng như phishing, trong đó kẻ tấn công giả mạo thông tin để lừa người nhận email thực hiện hành động không mong muốn, chẳng hạn như cung cấp thông tin đăng nhập hoặc thông tin tài khoản. Bảo mật email giúp ngăn chặn các cuộc tấn công này.
• Chống thất thoát dữ liệu: Email thường chứa thông tin nhạy cảm và dữ liệu doanh nghiệp quan trọng. Nếu không bảo mật, thông tin này có thể bị đánh cắp hoặc rò rỉ, gây ra những hậu quả nghiêm trọng cho tổ chức.
• Bảo vệ danh tiếng: Nếu tài khoản email của bạn bị lừa đảo hoặc bị xâm nhập, kẻ tấn công có thể gửi email giả mạo từ tài khoản của bạn và gây tổn hại đến danh tiếng cá nhân hoặc doanh nghiệp.
• Tuân thủ quy định và luật pháp: Trong một số quốc gia và ngành công nghiệp, tổ chức phải tuân thủ các quy định và luật pháp về bảo mật dữ liệu và thông tin. Bảo mật email là một yêu cầu cần thiết để đảm bảo tuân thủ các quy định này.
• Ngăn chặn tấn công malware: Email là một phương tiện phổ biến để phát tán các phần mềm độc hại (malware), như virus, trojan và ransomware. Bảo mật email giúp ngăn chặn việc nhận và truyền tải malware qua email.

Như vậy, bảo mật email là một phần quan trọng trong việc bảo vệ thông tin cá nhân, ngăn chặn các cuộc tấn công mạng và đảm bảo an toàn thông tin trong môi trường trực tuyến.

II. Các mối đe dọa phổ biến đối với email

Email đã trở thành một công cụ giao tiếp quan trọng và không thể thiếu trong cuộc sống cá nhân và doanh nghiệp. Tuy nhiên, đồng với sự tiện lợi và hiệu quả, email cũng mang trong mình những mối đe dọa tiềm ẩn.

1. Lừa đảo
   Lừa đảo qua email là một trong những mối đe dọa phổ biến nhất mà người dùng thường gặp phải. Tin nhắn giả mạo thường giả dạng như email từ các tổ chức đáng tin cậy nhằm lừa người nhận cung cấp thông tin cá nhân nhạy cảm, như tài khoản ngân hàng, mật khẩu hoặc thông tin thẻ tín dụng. Các phương thức lừa đảo phổ biến bao gồm lừa người dùng bấm vào liên kết độc hại hoặc tải xuống tệp đính kèm chứa mã độc.
2. Phần mềm độc hại
   Email cũng là môi trường phổ biến để lây lan phần mềm độc hại. Các tập tin đính kèm, liên kết hoặc thậm chí hình ảnh có thể được sử dụng để cài đặt virus, trojan, ransomware và các loại mã độc khác. Khi bị nhiễm phần mềm độc hại, hệ thống của người dùng có thể bị kiểm soát từ xa, thông tin cá nhân bị đánh cắp hoặc bị mã hóa để đòi tiền chuộc.
3. Thư rác:
   Thư rác, hay còn gọi là spam, là những email không mong muốn được gửi đến một lượng lớn người dùng. Thư rác gây phiền phức cho người nhận, làm giảm hiệu suất làm việc và chiếm không gian lưu trữ. Ngoài ra, thư rác cũng có thể chứa các liên kết độc hại hoặc dẫn đến các trang web lừa đảo.
4. Mất dữ liệu:
   Nguy cơ mất dữ liệu từ email có thể xảy ra do nhiều nguyên nhân, bao gồm việc người dùng xóa email quan trọng một cách vô tình hoặc bị tấn công và xâm nhập vào hệ thống lưu trữ email. Sự mất mát dữ liệu có thể gây hậu quả nghiêm trọng cho hoạt động kinh doanh và cá nhân.
5. Tấn công xác thực trên máy chủ email
   Các máy chủ email cũng có thể trở thành mục tiêu của các cuộc tấn công. Kẻ tấn công có thể cố gắng xâm nhập vào máy chủ email để truy cập thông tin cá nhân của người dùng, thay đổi nội dung email hoặc thậm chí chặn hoặc ngừng hoạt động hoàn toàn hệ thống email của một tổ chức.
6. Botnet và DDoS
   Botnet là một tập hợp các máy tính bị nhiễm virus và được điều khiển từ xa bởi kẻ tấn công. Email có thể được sử dụng để lây lan botnet và tạo thành các cuộc tấn công DDoS (tấn công phủ bằng dịch vụ) nhằm làm quá tải hệ thống và gây ra sự cố truy cập vào dịch vụ email.

Để bảo vệ an toàn thông tin và đối phó với những mối đe dọa trên, người dùng cần thực hiện các biện pháp bảo mật tỉ mỉ, chẳng hạn như không mở email không xác định, không bấm vào liên kết không rõ nguồn gốc và sử dụng các công cụ bảo mật email chuyên nghiệp. Sự hiểu biết về các mối đe dọa này cũng là yếu tố quan trọng để bảo vệ tài khoản và thông tin cá nhân một cách hiệu quả.

III. Phương pháp hay nhất bảo mật email cho doanh nghiệp

Dưới đây là 9 biện pháp cần thiết để tăng cường bảo mật email trong môi trường doanh nghiệp :

1. Bảo vệ tài khoản email bằng xác thực người gửi

Để đảm bảo rằng chỉ những email từ nguồn đáng tin cậy được gửi đến, doanh nghiệp nên xác thực người gửi. Sử dụng các chứng chỉ số dấu thời gian (DKIM), xác thực doanh nghiệp (SPF) và cơ chế DMARC (Domain-based Message Authentication, Reporting, and Conformance) sẽ giúp hạn chế rủi ro về email giả mạo và lừa đảo.

2. Kích hoạt bộ lọc thư rác

Bộ lọc thư rác đóng vai trò quan trọng trong việc ngăn chặn các email không mong muốn và độc hại. Doanh nghiệp nên kích hoạt và cấu hình bộ lọc thư rác để tự động phát hiện và đưa vào hộp thư rác những email có khả năng là thư rác hoặc có nội dung đáng ngờ.

3. Triển khai xác thực đa yếu tố

Xác thực đa yếu tố là một lớp bảo vệ bổ sung giúp tăng cường bảo mật tài khoản email. Ngoài mật khẩu, doanh nghiệp nên triển khai xác thực bổ sung như mã OTP (One-Time Password) thông qua ứng dụng di động hoặc mã thông qua tin nhắn SMS để đảm bảo chỉ có người dùng hợp lệ mới có thể truy cập vào tài khoản email.

4. Giữ email doanh nghiệp và cá nhân riêng biệt

Doanh nghiệp nên khuyến khích nhân viên sử dụng các tài khoản email riêng biệt cho công việc và cá nhân. Điều này giúp ngăn chặn sự pha trộn thông tin doanh nghiệp với thông tin cá nhân, giữ cho dữ liệu doanh nghiệp an toàn hơn và dễ quản lý hơn.

5. Tránh sử dụng wifi công cộng

Khi sử dụng email từ các địa điểm công cộng, nhân viên doanh nghiệp nên tránh kết nối vào các mạng Wi-Fi công cộng không được bảo mật. Sự thiếu bảo mật trong mạng Wi-Fi công cộng có thể dễ dàng cho phép kẻ xâm nhập theo dõi và đánh cắp thông tin nhạy cảm từ tài khoản email.

6. Sao lưu các tệp quan trọng

Để đảm bảo dữ liệu email quan trọng không bị mất, doanh nghiệp nên thực hiện sao lưu định kỳ. Quá trình sao lưu này nên bao gồm cả hộp thư điện tử, danh sách liên hệ và tập tin đính kèm. Sao lưu được lưu trữ ở một vị trí an toàn và dễ truy cập khi cần thiết.

7. Đào tạo nhân viên

Đào tạo nhân viên về các mối đe dọa an ninh email và cách phòng ngừa là rất quan trọng. Chương trình đào tạo an ninh thông tin định kỳ sẽ giúp nhân viên nhận biết và phản ứng đúng đắn trước các email lừa đảo và đe dọa tiềm tàng.

8. Triển Khai Giải Pháp Bảo Mật Email

Cuối cùng, doanh nghiệp nên xem xét triển khai các giải pháp bảo mật email chuyên nghiệp. Các giải pháp này bao gồm phát hiện và chặn thư rác, mã hóa email, phát hiện xâm nhập và bảo vệ chống malware. Việc sử dụng phần mềm antivirus cũng là một phần quan trọng trong việc bảo vệ khỏi các phần mềm độc hại trên email.

9. Sử dụng phần mềm diệt virut ( anivirus )

Sử dụng phần mềm antivirus cũng là một trong những biện pháp quan trọng trong việc bảo mật email cho doanh nghiệp. Phần mềm antivirus giúp ngăn chặn và phát hiện các phần mềm độc hại, virus, trojan và các mối đe dọa khác có thể tồn tại trong các tập tin đính kèm và liên kết trong email.

Một số phần mềm antivirus doanh nghiệp hay dùng : Sophos endpoint, AVG, Kaspersky , Avast.