Phishing attacks vẫn tiếp tục thay đổi để vượt qua các lớp kiểm tra tự động, và tin tức bảo mật mới nhất này cho thấy cách kẻ tấn công lợi dụng các dịch vụ Google hợp lệ để che giấu đường dẫn độc hại trong một chuỗi chuyển hướng nhiều lớp.
Chuỗi chuyển hướng hợp lệ được dùng để né kiểm tra
Chiến dịch này sử dụng một chuỗi redirect gồm nhiều miền đáng tin cậy của Google, khiến hệ thống lọc email chỉ nhìn thấy các địa chỉ hợp lệ thay vì đích đến thật sự. Khi công cụ quét thư phân tích liên kết, chúng chỉ thấy các domain có uy tín cao, trong khi trang phishing cuối cùng chỉ xuất hiện sau khi người dùng thật nhấp vào.
Điểm đáng chú ý của tin tức an ninh mạng này là sự lệch pha giữa điều máy quét nhìn thấy và trải nghiệm thực tế của nạn nhân. Chính khoảng trống đó giúp chiến dịch vượt qua nhiều lớp kiểm soát ở cổng email.
Nested Delivery Matrix
Nhà nghiên cứu mô tả cơ chế này là Nested Delivery Matrix. Chuỗi liên kết đi qua ba dịch vụ của Google trước khi tới hạ tầng do kẻ tấn công kiểm soát:
SafeLinks → meet.google.com/linkredirect → google.com/url → adservice.google.com.ph → trang phishingTrong quá trình kiểm tra, Secure Email Gateway chỉ thấy các hop thuộc về Google, nên điểm uy tín vẫn sạch và thư được chuyển vào hộp thư người nhận. Đây là cách một cuộc tấn công mạng có thể vượt qua bộ lọc dựa trên reputation mà không cần dùng miền độc hại lộ diện ngay từ đầu.
Các mồi nhử thường gặp trong chiến dịch phishing
Kẻ tấn công tạo email có cảm giác khẩn cấp để thúc ép người nhận hành động nhanh. Nội dung giả mạo được thiết kế giống các thông báo quen thuộc nhằm tăng độ tin cậy của phishing attack.
- Thông báo giao hàng giả mạo kiểu FedEx.
- Yêu cầu tài liệu giả mạo DocuSign và AutoSign.
- Cảnh báo hết hạn mật khẩu Microsoft 365.
- Thông báo thanh toán giả.
- Email chứa QR code độc hại.
Các mồi nhử này đều nhằm kích hoạt phản xạ hành động ngay lập tức, từ đó dẫn người dùng vào trang thu thập thông tin đăng nhập hoặc quy trình chiếm quyền phiên làm việc.
Hai hướng khai thác sau khi nạn nhân nhấp liên kết
Sau khi người dùng tương tác, chiến dịch phân nhánh thành hai kịch bản khác nhau. Cả hai đều phục vụ mục tiêu chiếm quyền truy cập tài khoản doanh nghiệp.
1. Trang đăng nhập Microsoft 365 giả
Nhánh đầu tiên đưa nạn nhân tới một trang đăng nhập Microsoft 365 giả mạo, được dựng gần như giống hệt giao diện thật. Địa chỉ email của nạn nhân đã được điền sẵn, tạo cảm giác hợp lệ và giảm mức nghi ngờ khi người dùng nhập mật khẩu.
Đây là dạng credential harvesting cổ điển, nhắm trực tiếp vào tên người dùng và mật khẩu. Nếu thành công, kẻ tấn công có thể dùng thông tin này để xâm nhập trái phép vào tài khoản làm việc.
2. OneDrive giả và device code phishing
Nhánh thứ hai tinh vi hơn. Nạn nhân nhìn thấy bản xem trước tài liệu OneDrive giả, bên trong chứa một mã xác thực thiết bị do hệ thống tạo sẵn. Nếu người dùng nhập mã này vào trang đăng nhập Microsoft hợp lệ, kẻ tấn công có thể chiếm phiên truy cập mà không cần biết mật khẩu.
Kỹ thuật này được gọi là device code phishing. Trong trường hợp này, cơ chế xác thực đa yếu tố có thể bị vượt qua vì kẻ tấn công tận dụng mã thiết bị hợp lệ thay vì đánh cắp trực tiếp thông tin xác thực.
Tại sao chuỗi Google khiến bộ lọc email khó phát hiện
Điểm cốt lõi của chiến dịch là việc lồng nhiều domain đáng tin cậy trong cùng một URL. Khi Secure Email Gateway hoặc hệ thống phát hiện tấn công kiểm tra từng bước chuyển hướng, mỗi hop đều trông bình thường vì đều thuộc hệ sinh thái Google.
Do đó, hệ thống đánh giá email là an toàn và cho phép thư đi qua. Chỉ khi người dùng mở liên kết, đích đến thật mới hiện ra. Đây là một ví dụ điển hình của rủi ro bảo mật khi cơ chế lọc phụ thuộc quá nhiều vào reputation domain thay vì đánh giá toàn bộ chuỗi điều hướng.
IOC và dấu hiệu nhận biết
Trong nội dung được cung cấp, không có danh sách IOC cụ thể như IP, domain hoặc hash được công bố rõ ràng. Vì vậy, phần IOC chỉ có thể ghi nhận ở mức hành vi và kỹ thuật:
- Chuỗi chuyển hướng nhiều lớp qua các miền Google hợp lệ.
- Liên kết đi từ SafeLinks sang meet.google.com/linkredirect.
- Chuyển tiếp qua google.com/url rồi adservice.google.com.ph.
- Email giả mạo thông báo giao hàng, tài liệu ký số, hoặc cảnh báo hết hạn mật khẩu.
- Trang đăng nhập Microsoft 365 giả với email đã được điền sẵn.
- Trang OneDrive giả hiển thị Microsoft device code.
Biện pháp giảm thiểu ở lớp email và danh tính
Đối với an toàn thông tin, nhóm kỹ thuật nên coi các email chứa chuỗi chuyển hướng lồng nhau là rủi ro cao, kể cả khi domain trung gian đều đáng tin cậy. Việc kiểm tra cần tập trung vào đích cuối cùng của URL, không chỉ reputation của các hop trung gian.
Tại cổng email, có thể block các mẫu chuyển hướng không xác định và giám sát các URL có nhiều tầng redirect. Trong môi trường Microsoft, việc bật conditional access giúp giảm thiểu thiệt hại nếu tài khoản bị chiếm phiên.
Người dùng nội bộ cần được yêu cầu xác minh liên kết trước khi nhấp, đặc biệt khi trang đăng nhập có email được điền sẵn hoặc xuất hiện lời nhắc mã thiết bị không mong đợi. Bất kỳ yêu cầu nhập device code nào cũng cần được báo cáo ngay cho đội vận hành.
Tài liệu tham khảo
Nội dung phân tích về chiến dịch này được nhắc đến trong báo cáo của KnowBe4 ThreatLabs và được tổng hợp thêm trên Cyber Security News. Tham khảo nguồn gốc tại: https://cybersecuritynews.com/hackers-abuse-google-services/
Chuỗi redirect, device code phishing và phishing attack là ba điểm cần chú ý nhất trong chiến dịch này, đặc biệt khi các liên kết trung gian đều đi qua dịch vụ hợp lệ và khiến bộ lọc tự động khó nhận diện.
