Telephone-oriented attack delivery (TOAD) đang trở thành một biến thể đáng chú ý trong tin bảo mật mới nhất, khi kẻ tấn công chuyển trọng tâm từ liên kết và tệp đính kèm sang số điện thoại VoIP để lừa người dùng gọi lại và cung cấp thông tin nhạy cảm.
TOAD Và Sự Dịch Chuyển Trong Tin Tức Bảo Mật
Các chiến dịch này thường xuất hiện qua email, trong đó số điện thoại được chèn trực tiếp vào nội dung thư, dòng tiêu đề hoặc tệp đính kèm. Mục tiêu là khiến nạn nhân gọi vào một số giả mạo và tiết lộ dữ liệu cá nhân hoặc tài chính. Trong bối cảnh tin tức bảo mật, TOAD cho thấy cách kênh thoại đang bị khai thác song song với email để vượt qua các bộ lọc dựa trên liên kết.
So với một URL hoặc một tệp đơn lẻ, cuộc gọi trực tiếp giúp kẻ tấn công tương tác thời gian thực với nạn nhân. Điều này làm tăng khả năng thao túng và khiến các cơ chế phát hiện tự động khó đánh giá rủi ro hơn.
Hạ Tầng VoIP Trong Các Chiến Dịch Lừa Đảo
Nghiên cứu của Cisco Talos cho thấy sự chuyển dịch sang phone-oriented attack delivery đã trở thành một trong những kỹ thuật chủ đạo của các chiến dịch email hiện đại. Nguồn tham khảo gốc có thể xem tại Cisco Talos.
Trong khoảng thời gian khảo sát từ cuối tháng 2 đến cuối tháng 3 năm 2025, các chiến dịch lớn nhất đều dựa trên hạ tầng VoIP để triển khai với chi phí thấp và khả năng mở rộng cao. Đây là một điểm quan trọng trong threat intelligence, vì số điện thoại có thể được tạo ra và hủy bỏ hàng loạt trước khi hệ thống đánh giá uy tín kịp cập nhật.
Việc cấp phát số qua API từ một số nhà cung cấp CPaaS giúp kẻ tấn công tạo ra hàng trăm số mới trong thời gian ngắn. Số điện thoại trung vị được ghi nhận chỉ tồn tại khoảng 14 ngày, đủ để phục vụ một chiến dịch rồi bị bỏ đi trước khi bị gắn cờ.
Sequential Number Grouping Và DID Blocks
Scammer không chọn số ngẫu nhiên. Họ mua các khối số Direct Inward Dialing (DID) theo chuỗi liên tiếp từ nhà cung cấp, sau đó luân phiên sử dụng số kế tiếp khi một số đã bị đánh dấu. Kỹ thuật này được gọi là sequential number grouping.
Trong thực tế, khi một số bị chặn, chiến dịch sẽ chuyển sang số tiếp theo trong dãy mà không gián đoạn. Đây là cơ chế giúp duy trì hoạt động liên tục và giảm hiệu quả của các hệ thống chặn dựa trên danh tiếng số điện thoại.
Phân Tích Tái Sử Dụng Số Điện Thoại Trong TOAD
Cisco Talos ghi nhận rằng 6 trên 10 chiến dịch lớn nhất trong giai đoạn khảo sát phụ thuộc hoàn toàn vào hạ tầng VoIP. Nhà cung cấp CPaaS bị lạm dụng nhiều nhất là Sinch, do mô hình API lập trình cho thoại và nhắn tin phù hợp với tự động hóa và lưu lượng gọi lớn.
Trong số 1.962 số điện thoại duy nhất được phân tích, có 68 số được tái sử dụng trong nhiều ngày liên tiếp. Kẻ tấn công thường áp dụng một khoảng “cool-down”, tạm dừng một số trong vài ngày rồi đưa nó trở lại vào chiến dịch mới.
Cách làm này được thiết kế để vượt qua chu kỳ cập nhật của các dịch vụ uy tín bên thứ ba, vốn có thể mất vài ngày để phân phối thông tin mới. Trong ngữ cảnh phát hiện xâm nhập, đây là một dấu hiệu quan trọng vì số điện thoại không còn là định danh tĩnh.
Tái Sử Dụng Số Điện Thoại Ở Nhiều Mồi Nhử Khác Nhau
Talos cũng ghi nhận một số điện thoại có thể xuất hiện trong nhiều mồi nhử không liên quan, như xác nhận đơn hàng, gia hạn dịch vụ hoặc cảnh báo tài chính. Việc thay đổi loại mồi nhử giúp giảm nguy cơ bị hệ thống phát hiện theo mẫu cố định.
Đây là một đặc trưng của mối đe dọa mạng kiểu TOAD: cùng một hạ tầng số điện thoại nhưng được dùng luân phiên cho nhiều chủ đề khác nhau để tránh tạo ra dấu hiệu nhận diện rõ ràng.
Đa Dạng Hóa Định Dạng Tệp Đính Kèm
Trong một chiến dịch, cùng một số điện thoại được nhúng vào cả tệp HEIC và PDF. HEIC, vốn thường gắn với ảnh từ iPhone, được sử dụng để né các cơ chế nhận diện định dạng tệp truyền thống nhưng vẫn giữ chất lượng ảnh cao.
Talos cho biết họ còn quan sát thấy sự đa dạng rộng hơn về loại tệp đính kèm. Điều này cho thấy TOAD không phụ thuộc vào một đường phát tán duy nhất mà kết hợp nhiều kỹ thuật để duy trì hiệu quả lừa đảo.
IOC Và Dấu Hiệu Cần Theo Dõi
Vì nội dung gốc không cung cấp mã độc, CVE hay exploit, các IOC chính trong trường hợp này tập trung vào hạ tầng liên lạc và mẫu triển khai chiến dịch.
- Số điện thoại VoIP dùng trong email lừa đảo.
- Khối số DID liên tiếp được dùng luân phiên.
- Chu kỳ tái sử dụng số sau vài ngày ngưng hoạt động.
- Miền email dùng ngắn hạn để thay đổi sender liên tục.
- Tệp HEIC và PDF chứa cùng số điện thoại trong nhiều chiến dịch.
Biện Pháp Giám Sát Và Phát Hiện TOAD
Nhóm an ninh và viễn thông được khuyến nghị vượt qua cách lọc theo sender email, vì phương pháp này kém hiệu quả khi tên miền gửi thay đổi liên tục. Trong an toàn thông tin, số điện thoại cần được coi là chỉ báo chính để ghép nối các chiến dịch có vẻ rời rạc.
Talos đề xuất áp dụng kỹ thuật clustering để liên kết các email khác nhau nhưng dùng chung hạ tầng số điện thoại. Cách tiếp cận này giúp phát hiện cuộc tấn công mạng mà bề ngoài không có điểm giống nhau ở địa chỉ gửi hoặc nội dung thư.
Việc giám sát uy tín theo thời gian thực trên nhiều kênh liên lạc cũng rất quan trọng. Khi dữ liệu uy tín được cập nhật chậm, các chiến dịch TOAD có thể tận dụng khoảng trễ này để tiếp tục hoạt động.
Hướng Tiếp Cận Cho Hệ Thống Phòng Thủ
Đối với đội ngũ vận hành, ưu tiên nên là tương quan số điện thoại với metadata email, thời điểm xuất hiện và mẫu tái sử dụng. Đây là cách thực tế hơn so với chỉ dựa vào dấu vân tay của domain hoặc header gửi thư.
Trong các môi trường cần tăng cường bảo mật mạng, việc phối hợp giữa nhà cung cấp viễn thông và nhóm giám sát là yếu tố then chốt để giảm hiệu quả của hạ tầng VoIP dùng cho lừa đảo.
Nguồn bổ sung về cảnh báo và phân loại lỗ hổng có thể tham khảo từ CISA và NVD để đối chiếu quy trình theo dõi rủi ro bảo mật trong các chiến dịch email và thoại.
Tin tức bảo mật về TOAD cho thấy hạ tầng VoIP, DID blocks và CPaaS đang bị khai thác như một lớp ẩn danh bổ sung cho lừa đảo qua email. Khi số điện thoại trở thành chỉ báo chính, các cơ chế phát hiện xâm nhập cần kết hợp tương quan dữ liệu đa kênh thay vì chỉ lọc theo sender hoặc domain.
