Một tên miền mới đăng ký, chỉ tốn khoảng 12 đô la và trong vòng 72 giờ, có thể trở thành công cụ để chiếm đoạt thông tin đăng nhập của đội ngũ tài chính. Điều này nhấn mạnh rằng cơ chế xác thực chỉ cho biết ai là người gửi email, chứ không phải đích đến của liên kết, và việc phát hiện tại thời điểm người dùng nhấp vào liên kết là yếu tố then chốt để khắc phục lỗ hổng mà các cổng email không thể bù đắp.
Khoảng trống trong cơ chế bảo mật email truyền thống
Một cuộc tấn công điển hình bắt đầu bằng việc đăng ký một tên miền mới vào thứ Hai. Đến thứ Ba, tên miền này đã được sử dụng để tạo một bản sao giống hệt trang đăng nhập Microsoft 365. Đến thứ Tư, các email chứa liên kết độc hại này đã được gửi đến nhiều tổ chức.
Vai trò của SPF, DKIM, DMARC và hạn chế của chúng
Các bản ghi SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) và DMARC (Domain-based Message Authentication, Reporting & Conformance) thường được cấu hình để xác thực người gửi. Tuy nhiên, chúng gặp phải hạn chế cố hữu:
- SPF: Xác thực địa chỉ IP của máy chủ gửi thư.
- DKIM: Cung cấp một chữ ký số cho email để xác minh rằng email không bị thay đổi trong quá trình truyền tải.
- DMARC: Cho phép chủ sở hữu tên miền chỉ định cách thức xử lý các email không vượt qua kiểm tra SPF hoặc DKIM.
Các tiêu chuẩn này hoạt động tốt trong việc xác thực người gửi, nhưng chúng không được thiết kế để kiểm tra nội dung liên kết bên trong email. Điều này có nghĩa là một kẻ tấn công có thể kiểm soát một tên miền được cấu hình hợp lệ hoặc thuê cơ sở hạ tầng gửi thư uy tín, vượt qua tất cả các kiểm tra này một cách dễ dàng, trong khi liên kết độc hại lại trỏ đến một trang web lừa đảo được lưu trữ ở nơi khác.
Đây là một lỗ hổng mang tính cấu trúc. Bất kỳ nỗ lực nào để điều chỉnh các thiết lập của cổng email (email gateway) sẽ không bao giờ đóng được khoảng trống này vì nó nằm ngoài phạm vi chức năng của các giao thức xác thực này.
Cách các cổng email cố gắng bù đắp
Các cổng email an toàn (Secure Email Gateways – SEG) thường cố gắng bù đắp bằng cách sử dụng các kỹ thuật như tra cứu danh tiếng URL (URL-reputation lookups) và phân tích heuristic cho các liên kết. Tuy nhiên, phương pháp dựa trên danh tiếng này có một sự phụ thuộc không thể tránh khỏi:
Một tên miền độc hại phải được báo cáo trước đó mới có thể bị gắn nhãn tiêu cực.
Nghiên cứu từ Palo Alto Networks’ Unit 42 chỉ ra rằng, thời gian trung bình để một tên miền mới đăng ký xuất hiện trên các danh sách đen (threat-intelligence blocklists) là từ 21 đến 30 ngày. Một kẻ tấn công có thể đăng ký một tên miền, tiến hành chiến dịch thu thập thông tin đăng nhập trong vòng 48 đến 72 giờ, sau đó bỏ rơi nó. Trong khoảng thời gian ngắn ngủi này, tên miền đó sẽ không bao giờ bị phát hiện bởi các hệ thống dựa trên danh tiếng. Danh tiếng tiêu cực của nó chỉ xuất hiện sau khi chiến dịch đã kết thúc nhiều tuần.
Ví dụ về một cuộc tấn công điển hình
Ngày 1: Kẻ tấn công đăng ký tên miền sharepoint-invoice-view[.]com với chi phí khoảng 12 đô la. Tên miền này được cấu hình để hiển thị một bản sao của SharePoint Online, đóng vai trò là một trang đăng nhập Microsoft. Một chứng chỉ TLS miễn phí được cấp nhanh chóng, đảm bảo biểu tượng ổ khóa màu xanh lá cây và kết nối được báo cáo là “an toàn”. Thông tin WHOIS/RDAP cho thấy ngày tạo là hôm nay, nhưng hầu hết các cổng email không kiểm tra trường dữ liệu này.
Ngày 2: Các email lừa đảo được gửi đến đội ngũ tài chính, đề cập đến một hóa đơn chưa thanh toán và cung cấp một liên kết để “xem tài liệu”. Cơ sở hạ tầng gửi email sử dụng một tên miền riêng biệt, đã có tuổi đời và được cấu hình tốt, do đó email vượt qua các kiểm tra SPF, DKIM và DMARC. Liên kết độc hại trong email trỏ đến tên miền đã đăng ký vào Ngày 1.
Cuộc tấn công này không yêu cầu lỗ hổng zero-day hay xâm phạm cổng email. Nó chỉ cần một khoản đầu tư 12 đô la và 48 giờ chờ đợi.
Giải pháp: Phát hiện tại thời điểm nhấp chuột
Để ngăn chặn hiệu quả các mối đe dọa như vậy, cần phải đánh giá liên kết tại thời điểm truy cập, sử dụng các tín hiệu không phụ thuộc vào việc báo cáo mối đe dọa trước đó.
Ba lớp kiểm tra độc lập
Ba lớp kiểm tra sau đây thực hiện công việc này:
- Tra cứu danh tiếng thời gian thực: Mỗi liên kết được kiểm tra với một cơ sở dữ liệu threat intelligence trực tiếp, tổng hợp nhiều nguồn mở và thương mại. Lớp này giúp phát hiện các cơ sở hạ tầng độc hại đã biết được tái sử dụng từ các chiến dịch trước đó, đây là những cuộc tấn công tương đối rẻ để ngăn chặn và vẫn còn phổ biến.
- Kiểm tra tuổi đời tên miền: Tuổi đời đăng ký của tên miền đích được truy vấn tại thời điểm nhấp chuột thông qua WHOIS/RDAP và đối chiếu với các tín hiệu khác như ngày cấp chứng chỉ TLS. Một tên miền mới chỉ 6 ngày tuổi hiển thị một biểu mẫu đăng nhập không hẳn là độc hại, nhưng đó là một dấu hiệu bất thường có tín hiệu cao, hoàn toàn nằm ngoài phạm vi quan sát của bất kỳ danh sách đen nào. Lớp này được thiết kế để khắc phục khoảng trống 21-30 ngày mà các hệ thống khác bỏ qua. Ngưỡng có thể cấu hình cho phép mỗi nhóm xác định mức độ “quá mới” chấp nhận được.
- Phân tích nội dung trang: Khi đích đến là một trang đăng nhập, nội dung trang được phân tích. Các tín hiệu về thương hiệu, bố cục, biểu tượng, cấu trúc DOM và tên thương hiệu được khai báo sẽ được đối chiếu với tên miền lưu trữ thực tế. Một trang đăng nhập mang thương hiệu Microsoft được phục vụ từ
xz-cdn-44871[.]web[.]applà một sự không khớp có thể phát hiện được ở cấp độ nội dung, thay vì cấp độ URL, nơi một tên miền chưa từng thấy trước đó không cung cấp gì để đối chiếu. Lớp này không yêu cầu báo cáo mối đe dọa trước đó.
Hoạt động của tiện ích mở rộng trình duyệt
Tiện ích mở rộng trình duyệt cho Chrome, Firefox và Edge thực hiện ba lớp kiểm tra này một cách thụ động tại mọi lần nhấp, không yêu cầu người dùng đưa ra quyết định hay phán đoán.
Đối với quy trình phân tích email, các tiện ích bổ sung Outlook và Gmail cho phép các nhà phân tích gửi một liên kết để kiểm tra thông minh tương tự trước khi nhấp.
Khả năng quyết định về mặt hoạt động là sandboxed detonation: tiện ích bổ sung mở liên kết hoặc tệp đáng ngờ bên trong một vùng chứa đám mây, cô lập, chạy trình duyệt đầy đủ. Mã JavaScript được thực thi, các chuỗi chuyển hướng được phân giải từng bước. Các lệnh tải xuống được kích hoạt. Toàn bộ hành vi đều có thể quan sát được — bao gồm cả các bước chuyển hướng trung gian và các payload có điều kiện mà máy quét tĩnh không bao giờ thấy, với hoạt động hoàn toàn không chạm vào điểm cuối cục bộ hoặc kho lưu trữ thông tin xác thực. Vùng chứa này sẽ bị hủy sau phiên làm việc.
Đối phó với các kỹ thuật Adversary-in-the-Middle (AiTM)
Các framework như Evilginx không chỉ sao chép một trang; chúng đóng vai trò proxy cho trang xác thực chính hãng trong thời gian thực, chuyển tiếp nó đến nạn nhân. Điều này làm cho nội dung trang trở nên xác thực, có thể làm giảm hiệu quả phân tích thương hiệu trực quan.
Tuy nhiên, nó không vô hiệu hóa toàn bộ hệ thống. Lớp proxy vẫn phải hoạt động ở đâu đó, và nơi đó thường là một tên miền không có mối quan hệ được thiết lập với tổ chức mà nó giả mạo, gần như luôn luôn là một tên miền mới đăng ký.
Cơ chế phát hiện tuổi đời tên miền có thể phát hiện proxy AiTM tại cùng một lớp mà nó phát hiện bản sao tĩnh. Phân tích thương hiệu vẫn đóng góp tín hiệu vì danh tính của máy chủ proxy không bao giờ khớp với thương hiệu mà nó phục vụ.
Đây không phải là một biện pháp đối phó AiTM hoàn chỉnh. Tuy nhiên, nó là một lớp ma sát bổ sung, cảnh báo cơ sở hạ tầng lưu trữ trước khi token phiên được gửi — đây là cửa sổ duy nhất quan trọng trong một cuộc tấn công đánh cắp token.
“Mọi thứ trước khi nhấp chuột đều là bộ lọc xác suất,” Vinodh Kumar Balaraman, Người sáng lập CyberCheck360, cho biết. “Chúng tôi đã xây dựng cơ chế phát hiện hoạt động ở lớp xác định — trên nội dung thực tế được phục vụ, tại thời điểm truy cập.”
Các công cụ hỗ trợ
- Tiện ích mở rộng trình duyệt (Chrome / Firefox / Edge): Lớp luôn hoạt động. Nó thực hiện cả ba kiểm tra — danh tiếng, tuổi đời tên miền và phân tích thương hiệu AI — một cách thụ động ngay khi bất kỳ liên kết nào được nhấp, không có lời nhắc và không đẩy quyết định cho người dùng. Đây là công cụ bắt kịp bản sao Day-1 trong thời gian thực, trước khi trang đăng nhập có thể thu thập thông tin đăng nhập.
- Tiện ích bổ sung Outlook: Được xây dựng cho quy trình phân tích email tại hộp thư đến. Một nhà phân tích (hoặc bất kỳ người dùng nào) có thể gửi một liên kết hoặc tệp đính kèm đáng ngờ để kiểm tra thông minh toàn diện trước khi nhấp và kích hoạt nó trong một sandbox đám mây để theo dõi hành vi thực tế diễn ra mà không ảnh hưởng đến điểm cuối.
- Tiện ích bổ sung Gmail: Cung cấp chức năng phân tích và kích hoạt sandbox tương tự, tích hợp sẵn trong Gmail và Google Workspace. Gửi, kiểm tra, kích hoạt và nhận kết quả mà không cần mở liên kết trên máy của bạn.
- Công cụ kiểm tra liên kết thủ công (không cần cài đặt): Một cách không ma sát để xác minh một URL duy nhất tại chỗ. Dán một liên kết, chạy nó qua các kiểm tra danh tiếng, tuổi đời tên miền và nội dung tương tự, và nhận kết quả — hữu ích cho việc xác minh một lần hoặc cho các nhóm đánh giá công cụ trước khi triển khai tiện ích mở rộng.
Đóng khoảng trống mà cổng email của bạn không thể nhìn thấy.
Bộ lọc email của bạn có thể đang bỏ qua các tên miền lừa đảo mới đăng ký mỗi ngày — đó là do thiết kế. Các giải pháp phát hiện tại thời điểm nhấp chuột bắt chúng, dựa trên nội dung, trong thời gian thực.
Thử nghiệm một liên kết đáng ngờ ngay bây giờ: https://cybercheck360.com/link-checker/.
