Trong bối cảnh an ninh mạng ngày càng phức tạp, các đối tượng tấn công phishing đã phát triển phương pháp tinh vi hơn. Chúng lợi dụng chính các công cụ mà các nhà phát triển và đội ngũ IT tin dùng.
Bằng cách lạm dụng tính năng thông báo tự động trên GitHub và Jira, các tác nhân đe dọa đang gửi các email phishing lừa đảo rất thuyết phục. Các email này có nguồn gốc trực tiếp từ máy chủ của các nền tảng đáng tin cậy này, gây ra một mối đe dọa mạng mới.
Kỹ Thuật Tấn Công Platform-as-a-Proxy (PaaP)
Chiến dịch tấn công phishing này đặc biệt nguy hiểm bởi sự đơn giản và hiệu quả của nó. Các cuộc tấn công phishing truyền thống thường dựa vào địa chỉ người gửi giả mạo hoặc tên miền giả mạo (spoofed domains).
Những kỹ thuật này thường bị các công cụ bảo mật email hiện đại phát hiện thông qua các kiểm tra xác thực cơ bản.
Tuy nhiên, trong trường hợp PaaP, các email được gửi từ cơ sở hạ tầng đã được xác minh. Chúng đến từ các máy chủ thực sự liên kết với GitHub và Atlassian (công ty phát triển Jira).
Điều này có nghĩa là các email này đáp ứng tất cả các yêu cầu xác thực tiêu chuẩn, bao gồm SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) và DMARC (Domain-based Message Authentication, Reporting, and Conformance).
Do đó, hầu hết các cổng bảo mật email không có cơ sở kỹ thuật để chặn chúng. Phương pháp này được các nhà nghiên cứu của Cisco Talos đã theo dõi và gọi là mô hình Platform-as-a-Proxy (PaaP).
Kẻ tấn công không cần xâm nhập bất kỳ hệ thống nào hoặc phá vỡ các nền tảng này. Chúng chỉ đơn giản sử dụng các tính năng hiện có, như tạo commit repository hay lời mời tham gia dự án, làm kênh để đẩy nội dung độc hại. Các nền tảng SaaS này tự xử lý việc gửi email, hoàn chỉnh với chữ ký đã được xác minh và thương hiệu đáng tin cậy, làm tăng độ tin cậy của tấn công phishing.
Phân Tích Cơ Chế Khai Thác Nền Tảng
Khai Thác Tính Năng Thông Báo GitHub
Trên GitHub, cuộc tấn công phishing bắt đầu bằng việc kẻ tấn công tạo một repository mới. Sau đó, chúng đẩy một commit với các trường thông báo được tải nội dung social engineering một cách cẩn thận.
Giao diện commit của GitHub có hai vùng văn bản chính:
- Một dòng tóm tắt bắt buộc ngắn gọn (summary line).
- Một mô tả tùy chọn dài hơn (extended description).
Kẻ tấn công đặt một thông điệp khẩn cấp, ví dụ như hóa đơn giả mạo hoặc cảnh báo thanh toán, vào phần tóm tắt. Phần mô tả mở rộng được điền đầy đủ bằng thông điệp lừa đảo, bao gồm số điện thoại giả hoặc các liên kết độc hại.
Khi commit được gửi, GitHub tự động thông báo cho tất cả các cộng tác viên (collaborators) qua email. Toàn bộ thông điệp lừa đảo được nhúng trong nội dung thông báo, khiến email trông rất chân thực.
Email nhận được hiển thị như một thông báo GitHub tiêu chuẩn. Các header email thô xác nhận máy chủ gửi là “out-28.smtp.github.com”, một máy chủ email GitHub hợp lệ với địa chỉ IP 192.30.252.211.
Chữ ký DKIM mang giá trị “d=github.com” và vượt qua tất cả các kiểm tra mà không gây ra bất kỳ cảnh báo bảo mật nào, khiến việc phát hiện tấn công phishing này trở nên khó khăn.
Khai Thác Tính Năng Thông Báo Jira
Cách tiếp cận với Jira sử dụng một cơ chế khác để thực hiện tấn công phishing, tập trung vào Jira Service Management. Kẻ tấn công tạo một dự án dịch vụ mới, đặt một tên giả mạo, ví dụ như “Argenta” hoặc một tên tương tự để tạo sự tin cậy.
Thông điệp phishing lừa đảo sau đó được nhúng vào các trường “Welcome Message” (Thông báo chào mừng) hoặc “Project Description” (Mô tả dự án) của dự án Jira mới tạo.
Tiếp theo, kẻ tấn công sử dụng tính năng “Invite Customers” (Mời khách hàng) để gửi địa chỉ email của mục tiêu. Hệ thống backend của Atlassian sau đó tạo ra một email mời tự động.
Email này gói gọn nội dung của kẻ tấn công trong mẫu email có chữ ký và thương hiệu của Atlassian. Kết quả là email đến nơi trông giống hệt một thông báo hệ thống Jira chính thức, hoàn chỉnh với footer thương hiệu của Atlassian, làm tăng khả năng lừa đảo thành công.
Mục Tiêu và Dữ Liệu Thống Kê
Trong hầu hết các trường hợp được quan sát, mục tiêu cuối cùng của các cuộc tấn công phishing này là thu thập thông tin đăng nhập (credential harvesting). Nạn nhân bị lôi kéo nhấp vào các cảnh báo thanh toán giả mạo, số hỗ trợ gian lận hoặc cảnh báo tài khoản đánh lừa, tất cả đều được thiết kế để đánh cắp thông tin nhạy cảm.
Một khi người dùng cung cấp thông tin đăng nhập, kẻ tấn công có được một điểm vào ban đầu. Điều này có thể dẫn đến quyền truy cập trái phép, chiếm đoạt tài khoản, và sau đó là xâm nhập mạng sâu hơn hoặc rò rỉ dữ liệu nhạy cảm, tạo ra rủi ro bảo mật nghiêm trọng cho tổ chức.
Dữ liệu từ Cisco Talos cho thấy vào ngày 17 tháng 2 năm 2026, ngày hoạt động cao điểm của chiến dịch, khoảng 2.89% trong tổng số email từ cơ sở hạ tầng của GitHub có liên quan đến hành vi lạm dụng này.
Trong khoảng thời gian năm ngày, khoảng 1.20% lưu lượng truy cập từ địa chỉ “[email protected]” bao gồm một thông điệp lừa đảo “invoice” (hóa đơn) trong tiêu đề, cho thấy mức độ phổ biến của loại tấn công phishing này.
Biện Pháp Phòng Ngừa và Giảm Thiểu Rủi Ro Bảo Mật
Để chống lại mối đe dọa mạng mới và phức tạp này, Cisco Talos khuyến nghị các tổ chức nên thay đổi cách tiếp cận đối với bảo mật email. Việc không nên tin tưởng một cách mù quáng vào các email từ các nền tảng SaaS là cực kỳ quan trọng.
Đối Với Đội Ngũ An Ninh Mạng
- Tích hợp nhật ký kiểm tra API: Đội ngũ bảo mật cần tích hợp nhật ký kiểm tra API của GitHub và Atlassian vào hệ thống SIEM (Security Information and Event Management) hoặc SOAR (Security Orchestration, Automation and Response) hiện có.
- Cảnh báo hoạt động bất thường: Thiết lập các quy tắc cảnh báo để phát hiện hoạt động bất thường. Ví dụ bao gồm việc tạo hàng loạt tài khoản hoặc dự án, mời số lượng lớn người dùng, hoặc các hoạt động khởi tạo từ các vị trí địa lý không quen thuộc. Việc phát hiện sớm các hành vi này có thể ngăn chặn tấn công phishing trước khi chúng gây ra thiệt hại.
- Kiểm tra nội dung email: Bất kỳ thông báo nào chứa nội dung liên quan đến tài chính, yêu cầu khẩn cấp, hoặc cảnh báo tài khoản từ các nền tảng như GitHub hoặc Jira cần được gắn cờ để xem xét kỹ lưỡng. Nội dung như vậy thường mâu thuẫn với mục đích sử dụng ban đầu của các công cụ phát triển và quản lý dự án.
- Báo cáo tự động: Các tổ chức được khuyến khích tự động hóa việc gửi báo cáo gỡ bỏ (takedown reports) các nội dung lừa đảo đến các nhóm Trust and Safety của nền tảng. Điều này giúp tăng chi phí hoạt động cho kẻ tấn công và làm gián đoạn các chiến dịch tấn công mạng của chúng.
Đối Với Người Dùng Cuối Cùng
- Điều hướng trực tiếp đến cổng thông tin chính thức: Đối với các tương tác nhạy cảm, đặc biệt là liên quan đến thông tin đăng nhập hoặc thanh toán, người dùng nên luôn điều hướng trực tiếp đến cổng thông tin chính thức của nền tảng (ví dụ: gõ địa chỉ vào trình duyệt) thay vì nhấp vào các liên kết trong thông báo email.
- Nâng cao nhận thức: Luôn cảnh giác với các yêu cầu khẩn cấp, các thông báo về tài chính bất thường, hoặc các cảnh báo tài khoản đòi hỏi hành động ngay lập tức, ngay cả khi chúng dường như đến từ các nguồn đáng tin cậy. Đào tạo nhận thức về an toàn thông tin thường xuyên là rất cần thiết.
Việc nâng cao nhận thức, kết hợp với triển khai các biện pháp kỹ thuật và quy trình phản ứng phù hợp, là chìa khóa để bảo vệ khỏi các cuộc tấn công mạng ngày càng tinh vi và giảm thiểu rủi ro bảo mật trong môi trường công nghệ hiện đại.
