Trong bối cảnh các mối đe dọa an ninh mạng ngày càng tinh vi, những kẻ tấn công đang tích cực khai thác link wrapping – một tính năng bảo mật tưởng chừng vô hại từ các nhà cung cấp uy tín như Proofpoint và Intermedia. Mục tiêu của chúng là che giấu các payload độc hại, lợi dụng niềm tin vốn có của người dùng vào các công cụ an ninh mạng này để triển khai các cuộc tấn công lừa đảo.
Bản Chất của Link Wrapping và Mục Đích Bảo Vệ
Link wrapping là một tính năng được thiết kế để tăng cường bảo mật email. Nó hoạt động bằng cách chuyển hướng các URL qua các dịch vụ quét của nhà cung cấp, ví dụ như urldefense.proofpoint.com của Proofpoint hoặc url.emailprotection.link của Intermedia. Quá trình này giúp kiểm tra và chặn các mối đe dọa tiềm ẩn ngay tại thời điểm người dùng nhấp vào liên kết.
Mục đích chính của link wrapping là bảo vệ người dùng khỏi các liên kết độc hại bằng cách phân tích chúng theo thời gian thực. Điều này giúp ngăn chặn việc truy cập vào các trang web lừa đảo hoặc chứa mã độc trước khi chúng có thể gây hại.
Kỹ Thuật Lạm Dụng Link Wrapping trong Các Chiến Dịch Phishing
Chiếm Đoạt Tài Khoản và Ngụy Trang Payload
Kẻ tấn công thường bắt đầu bằng việc chiếm quyền truy cập vào các tài khoản email được bảo vệ. Sau đó, chúng sử dụng các tài khoản hợp pháp này để “làm sạch” các liên kết lừa đảo. Điều này được thực hiện bằng cách nhúng chúng vào các URL được gói (wrapped URLs) có vẻ ngoài hợp pháp.
Kỹ thuật này cho phép các liên kết độc hại vượt qua các bộ lọc dựa trên danh tiếng và khai thác độ trễ trong quá trình phát hiện mối đe dọa. Bằng cách trình bày các miền đáng tin cậy của nhà cung cấp bảo mật, hiệu quả của các chiến dịch tấn công phishing được nâng cao đáng kể.
Nâng Cao Hiệu Quả Tấn Công bằng Chuyển Hướng Đa Tầng
Các nhóm tấn công đã kết hợp các lớp chuyển hướng đa tầng với việc sử dụng các công cụ rút gọn URL như Bitly. Điều này tạo ra một chuỗi phức tạp: từ các liên kết rút gọn ban đầu, chuyển tiếp qua các URL được gói bởi dịch vụ bảo mật, và cuối cùng dẫn đến các trang đích lừa đảo (phishing landing pages).
Kiến trúc này giúp tăng cường khả năng che giấu nguồn gốc và đích đến thực sự của cuộc tấn công. Các trang đích thường được thiết kế để bắt chước giao diện của Microsoft Office 365 hoặc Teams, lừa người dùng nhập thông tin xác thực của họ.
Các Chiến Dịch Khai Thác Link Wrapping Tiêu Biểu
Nhóm Cloudflare Email Security đã theo dõi sát sao các cụm tấn công này và ghi nhận nhiều mô hình lạm dụng khác nhau.
Chiến Dịch Lạm Dụng Proofpoint
Trong trường hợp Proofpoint, các tác nhân đe dọa thường giành được quyền truy cập trái phép vào các tài khoản email đã được bảo vệ. Chúng sử dụng các tài khoản này để phân phối các liên kết được gói, ngụy trang dưới dạng thông báo thư thoại hoặc tài liệu Teams được chia sẻ.
Một ví dụ cụ thể liên quan đến một URL rút gọn dẫn đến một liên kết được Proofpoint gói. Liên kết này sau đó chuyển hướng qua miền gojo.lci-nd.com trước khi đến một trang phishing của Microsoft. Tại đây, kẻ tấn công thu thập thông tin xác thực thông qua các biểu mẫu đăng nhập giả mạo.
Chiến Dịch Lạm Dụng Intermedia
Tương tự, các cuộc khai thác Intermedia xuất phát từ các tài khoản tổ chức đã bị xâm nhập. Các email gửi đi từ các tài khoản này tự động gói các liên kết độc hại, ví dụ như những liên kết giả mạo tin nhắn an toàn của Zix hoặc tài liệu Word được chia sẻ.
Các liên kết này thường chuyển hướng qua các dịch vụ như Constant Contact để dẫn người dùng đến các trang đánh cắp thông tin xác thực. Kỹ thuật này lợi dụng quy trình tự động của hệ thống email để phát tán mã độc hoặc liên kết lừa đảo một cách hiệu quả.
Tác Động và Hậu Quả Của Việc Khai Thác Link Wrapping
Tác động của việc khai thác link wrapping là rất sâu rộng. Theo báo cáo từ Cloudflare, các rủi ro bao gồm:
- Thiệt hại tài chính trực tiếp: Dữ liệu từ FTC cho thấy gian lận qua email đã gây ra tổng cộng 502 triệu USD thiệt hại trong năm 2024.
- Tăng đột biến đánh cắp danh tính: Hơn 1.1 triệu báo cáo đánh cắp danh tính đã được ghi nhận, với thời gian giải quyết kéo dài trung bình 22 tháng cho các trường hợp liên quan đến thuế.
- Thúc đẩy các vụ vi phạm dữ liệu lớn hơn: Nghiên cứu của Comcast chỉ ra rằng phishing là nguyên nhân khởi phát của 67% các sự cố an ninh mạng. Điều này dẫn đến sự gia tăng 300% trong các vụ đánh cắp thông tin xác thực, theo Picus Security.
Những kỹ thuật này đã làm tăng đáng kể tỷ lệ thành công của các cuộc tấn công, đặc biệt là các cuộc tấn công phishing, bằng cách che giấu payload độc hại trong các trình bao bọc hợp pháp.
Biện Pháp Giảm Thiểu và Phát Hiện Nâng Cao
Để giảm thiểu rủi ro từ việc khai thác link wrapping, cần có các phương pháp phát hiện nâng cao vượt xa các bộ lọc truyền thống. Các giải pháp dựa trên máy học (Machine Learning) đang trở nên cần thiết để nhận diện các mối đe dọa này.
Cloudflare đã phát triển các quy tắc dựa trên Machine Learning như SentimentCM.HR.Self_Send.Link_Wrapper.URL và SentimentCM.Voicemail.Subject.URL_Wrapper.Attachment. Các quy tắc này phân tích các mẫu lịch sử và tín hiệu trong các tin nhắn chứa liên kết được gói để dự đoán và ngăn chặn các mối đe dọa tiềm ẩn.
Việc triển khai các hệ thống bảo mật email thông minh, có khả năng học hỏi và thích nghi với các kỹ thuật tấn công mới, là yếu tố then chốt để bảo vệ người dùng và tổ chức khỏi các hình thức lừa đảo tinh vi này. Các tổ chức cần liên tục cập nhật các giải pháp bảo mật của mình để chống lại sự phát triển không ngừng của các mối đe dọa mạng.
Để tìm hiểu thêm về các chiến dịch này và cách Cloudflare phát hiện chúng, bạn có thể tham khảo báo cáo chi tiết từ Cloudflare tại Cloudflare Threat Intelligence Report.
