tin tức bảo mật trong Q1/2026 cho thấy chiến dịch phishing đang chuyển từ email đơn giản sang mô hình nhiều lớp, kết hợp trang CAPTCHA và kỹ thuật ClickFix để tăng quy mô đánh cắp dữ liệu thông tin xác thực. Microsoft Threat Intelligence ghi nhận khoảng 8,3 tỷ mối đe dọa phishing qua email từ tháng 1 đến tháng 3/2026, trong đó credential phishing vẫn là mục tiêu chính.
Phishing CAPTCHA-gated và sự trỗi dậy của ClickFix
Điểm đáng chú ý nhất của tin bảo mật mới nhất là sự gia tăng mạnh của phishing có “cổng” CAPTCHA. Riêng tháng 3/2026, số lượng tấn công dạng này hơn gấp đôi, đạt 11,9 triệu lượt, mức cao nhất trong hơn một năm.
Khi các bộ lọc email ngày càng phát hiện tốt các mẫu phishing cơ bản, kẻ tấn công chuyển sang các lớp social engineering có trang giả mạo kiểm tra bảo mật, khiến cả người dùng lẫn trình quét tự động đều dễ bị đánh lừa.
Cơ chế ClickFix trong chiến dịch phishing
Trong ClickFix, nạn nhân thấy một CAPTCHA giả và bị thuyết phục sao chép rồi chạy một lệnh độc hại trên thiết bị của chính họ. Cách này loại bỏ nhu cầu tải xuống mã độc theo kiểu truyền thống, vì người dùng vô tình thực thi mã của kẻ tấn công.
Microsoft đã phân tích và theo dõi nhiều chiến dịch kiểu này trong báo cáo về email threat landscape Q1 2026.
Phân phối đa định dạng: HTML, SVG, PDF và Word
Một đặc điểm quan trọng của phishing CAPTCHA-gated là tốc độ thay đổi định dạng phân phối. Trong vài tuần, kẻ tấn công đã luân phiên dùng HTML, SVG, PDF và Word để thử nghiệm định dạng nào vượt qua được bộ lọc email hiệu quả nhất.
Đến cuối quý, PDF trở thành carrier phổ biến nhất cho nội dung phishing có CAPTCHA, tăng 356% trong tháng 3 sau giai đoạn giảm ổn định. Mẫu hình này cho thấy các chiến dịch đang được thử nghiệm gần như theo thời gian thực để đối đầu với hệ thống bảo mật email.
Chiến dịch quy mô lớn với SVG và HTML
Từ ngày 23/02/2026 đến 25/02/2026, một chiến dịch kéo dài 3 ngày đã gửi hơn 1,2 triệu email phishing tới hơn 53.000 tổ chức ở 23 quốc gia. Email đính kèm file SVG được đặt tên theo chủ đề quen thuộc như hóa đơn giả, cảnh báo thanh toán, nhắc cập nhật 401K hoặc thông báo thư thoại.
Khi người nhận mở file SVG, trình duyệt tải nội dung từ miền do kẻ tấn công kiểm soát và hiển thị màn hình CAPTCHA giả dạng “security check”. Sau khi hoàn thành kiểm tra giả, nạn nhân bị chuyển hướng đến trang đăng nhập giả để thu thập credential.
Một chiến dịch khác vào ngày 17/03/2026 đã gửi hơn 1,5 triệu email HTML độc hại tới hơn 179.000 tổ chức ở 43 quốc gia. Mỗi email chứa file HTML tự chạy cục bộ, đi qua một trang staging trước khi tới trang phishing có CAPTCHA.
Hạ tầng PhaaS và phân phối phishing
Trang phishing cuối cùng được lưu trữ trên nhiều nền tảng Phishing-as-a-Service (PhaaS), bao gồm Tycoon2FA, Kratos và EvilTokens. Trong số này, Tycoon2FA từng chiếm hơn ba phần tư toàn bộ site CAPTCHA-gated vào cuối năm 2025, nhưng đến tháng 3/2026 tỷ lệ này giảm còn 41%.
Sự sụt giảm đó cho thấy nhiều bộ phishing kit khác đã bắt đầu áp dụng cùng kỹ thuật. Điều này làm tăng diện tấn công và khiến việc phát hiện xâm nhập bằng các dấu hiệu cũ trở nên khó hơn.
Hành vi quan sát được trong phishing CAPTCHA-gated
- Email chứa file đính kèm HTML, SVG, PDF hoặc Word.
- Nội dung email được giả lập theo chủ đề hợp lệ như hóa đơn, thanh toán, thư thoại.
- File mở ra trang trung gian hoặc trình duyệt nội bộ trước khi dẫn đến site phishing.
- Trang đích hiển thị CAPTCHA giả để vượt qua kiểm tra của người dùng và bộ quét.
- Sau khi tương tác, người dùng bị chuyển đến trang đăng nhập giả để đánh cắp dữ liệu xác thực.
Ảnh hưởng và rủi ro bảo mật
Loại chiến dịch này tập trung vào rủi ro bảo mật của quy trình xác thực, đặc biệt khi người dùng bị dẫn dụ tự thực thi lệnh hoặc tự nhập credential vào trang giả. Việc không cần phát tán malware theo cách truyền thống khiến nhiều biện pháp phát hiện dựa trên tải xuống tệp độc hại bị giảm hiệu quả.
Ở cấp hệ thống, tác động chủ yếu là hệ thống bị xâm nhập ở lớp tài khoản, từ đó dẫn tới truy cập trái phép, chiếm quyền phiên đăng nhập và khả năng lan rộng sang dịch vụ nội bộ khác nếu credential bị tái sử dụng.
Biện pháp giảm thiểu cho an toàn thông tin
Microsoft khuyến nghị triển khai đồng thời các kiểm soát để giảm nguy cơ bảo mật từ dạng tấn công này:
- Đào tạo người dùng bằng mô phỏng phishing định kỳ để nhận diện CAPTCHA giả và file đính kèm bất thường.
- Bật Safe Links và Safe Attachments trong Microsoft Defender for Office 365.
- Kích hoạt Zero-hour auto purge (ZAP) để cách ly hồi tố các thư độc hại.
- Bật network protection trong Microsoft Defender for Endpoint.
- Triển khai phương thức xác thực không mật khẩu như FIDO keys hoặc Microsoft Authenticator.
- Áp dụng conditional access để cưỡng bức phishing-resistant MFA cho tài khoản đặc quyền.
- Bật automatic attack disruption trong Microsoft Defender XDR để khoanh vùng sớm khi có dấu hiệu xâm nhập mạng.
Ví dụ cấu hình phòng vệ ở mức chính sách
Conditional Access Policy:
- Require phishing-resistant MFA for privileged accounts
- Block legacy authentication
- Require compliant device for sensitive apps
- Enforce sign-in risk policy
Microsoft Defender for Office 365:
- Safe Links: On
- Safe Attachments: On
- ZAP: On
Microsoft Defender for Endpoint:
- Network protection: On
- Attack disruption: OnVới cảnh báo CVE không được nêu trong dữ liệu gốc, trọng tâm của nội dung này vẫn là nhận diện phishing CAPTCHA-gated, theo dõi biến thể ClickFix và chặn luồng tấn công trước khi người dùng thực thi lệnh hoặc nhập credential. Việc giám sát thư có file đính kèm SVG, PDF và HTML, kết hợp với các chính sách MFA chống phishing, là lớp kiểm soát chính cho an toàn dữ liệu và bảo mật mạng.
