Tin tức bảo mật mới nhất cho thấy tội phạm mạng đang thay đổi phương thức tiếp cận các tổ chức. Thay vì chỉ dựa vào email độc hại, các cuộc tấn công mạng khởi đầu hiện nay thường sử dụng điện thoại để xâm nhập vào hệ thống doanh nghiệp. Sự dịch chuyển này đánh dấu một thay đổi đáng kể trong các kỹ thuật tiếp cận ban đầu, khiến nhiều tổ chức mất cảnh giác.
Sự Thay Đổi Từ Phishing Sang Vishing Trong Các Cuộc Tấn Công Mạng
Trong nhiều năm, email phishing là phương pháp chính để giành quyền truy cập trái phép vào các mạng doanh nghiệp. Kẻ tấn công sẽ tạo ra những email lừa đảo thuyết phục, nhúng các liên kết hoặc tệp đính kèm độc hại, và dựa vào sự cả tin của nhân viên.
Khi các công cụ bảo mật email trở nên mạnh mẽ hơn, các tác nhân đe dọa bắt đầu tìm kiếm những con đường dễ dàng hơn để xâm nhập mạng. Chúng đã tìm thấy một phương pháp hiệu quả hơn: nhắm mục tiêu vào các nhà cung cấp định danh như Okta thông qua kỹ thuật social engineering dựa trên giọng nói, còn gọi là vishing.
Okta Trở Thành Mục Tiêu Chính
Các nhà phân tích và nghiên cứu tại LevelBlue đã xác định xu hướng gia tăng này, nhận thấy rằng vishing nhắm vào Okta đã trở thành một trong những kỹ thuật truy cập ban đầu phát triển nhanh nhất trong các cuộc điều tra sự cố đang diễn ra. Thông tin này được công bố vào ngày 13 tháng 4 năm 2026, dựa trên những phát hiện từ nhóm SpiderLabs của LevelBlue.
Kẻ tấn công đặc biệt nhắm vào Okta vì hệ thống này đóng vai trò là cổng xác thực trung tâm cho nhiều tổ chức. Khi Okta bị xâm phạm, kẻ tấn công có thể kế thừa quyền truy cập đáng tin cậy vào mọi ứng dụng được kết nối thông qua Single Sign-On (SSO).
Các ứng dụng này bao gồm Microsoft 365, SharePoint, OneDrive, Salesforce, Google Workspace, Slack và các cổng VPN. Điều đáng chú ý là quyền truy cập này đạt được mà không cần chạm vào bất kỳ dòng mã độc hại nào.
Một cuộc gọi đến bộ phận hỗ trợ thông thường có thể nhanh chóng leo thang thành một sự kiện rò rỉ dữ liệu nhạy cảm của doanh nghiệp quy mô lớn.
Mức Độ Phức Tạp Kỹ Thuật Thấp
Điểm nổi bật của mối đe dọa này là yêu cầu kỹ năng kỹ thuật rất thấp. Kẻ tấn công không cần sử dụng mã độc hoặc các bộ công cụ khai thác (exploit kits).
Một câu chuyện thuyết phục và một số điện thoại thường là đủ để mở khóa toàn bộ môi trường đám mây của một tổ chức. Điều này làm cho các cuộc tấn công mạng dạng vishing trở nên đặc biệt nguy hiểm.
Quy Trình Tấn Công Vishing Mục Tiêu Okta
Giai Đoạn Trinh Sát
Cuộc tấn công mạng bắt đầu từ lâu trước khi bất kỳ cuộc gọi điện thoại nào được thực hiện. Trong giai đoạn trinh sát, các tác nhân đe dọa xây dựng một hồ sơ chi tiết về tổ chức mục tiêu.
Chúng sử dụng các nguồn công khai như LinkedIn, trang web công ty, ZoomInfo và các thông tin xác thực đã bị rò rỉ trước đó. Thông tin thu thập bao gồm tên nhân viên, chức danh công việc, chi tiết liên hệ của bộ phận hỗ trợ (help desk) và các mẫu đặt tên tenant của Okta.
Mức độ chuẩn bị kỹ lưỡng này cho phép kẻ tấn công tạo ra một câu chuyện hoàn toàn đáng tin cậy khi bắt đầu cuộc gọi.
Giai Đoạn Social Engineering
Kẻ tấn công sau đó liên hệ với nạn nhân hoặc bộ phận hỗ trợ IT, giả mạo là một nhân viên hoặc cấp điều hành hợp pháp đang trong tình huống khẩn cấp. Các lý do phổ biến bao gồm:
- Bị khóa tài khoản.
- Đang đi công tác mà không có quyền truy cập VPN.
- Mới đổi điện thoại và cần thiết lập lại.
Sự khẩn cấp trong các tình huống này hoàn toàn là có chủ đích. Áp lực này thúc đẩy nhân viên bộ phận hỗ trợ bỏ qua các bước xác minh tiêu chuẩn và hành động nhanh chóng để khôi phục quyền truy cập.
Hoạt Động Sau Khi Xâm Nhập
Sau khi bộ phận hỗ trợ thiết lập lại MFA hoặc đăng ký một thiết bị xác thực mới, kẻ tấn công sẽ đăng nhập vào Okta. Từ đó, chúng ngay lập tức chuyển hướng sang tất cả các nền tảng SaaS được kết nối. Hoạt động sau xâm nhập thường bao gồm:
- Tải xuống các tệp từ SharePoint.
- Xuất nội dung email.
- Tạo các quy tắc chuyển tiếp hộp thư đến.
- Tạo mã thông báo API.
- Thêm các phương pháp MFA phụ để khóa người dùng hợp pháp khỏi tài khoản của họ.
Kết quả cuối cùng là một sự cố đánh cắp dữ liệu đám mây lớn, chứ không phải là một sự lây nhiễm mã độc truyền thống. Đây là một hình thức xâm nhập mạng tinh vi.
Tác Động Hệ Thống và Rủi Ro An Ninh Mạng
Tác động của những cuộc tấn công mạng này vượt xa một sự thỏa hiệp tài khoản đơn giản. Một khi đã ở bên trong Okta, kẻ tấn công ngay lập tức có quyền truy cập vào mọi ứng dụng được kết nối SSO mà không cần phải đột nhập vào từng ứng dụng riêng biệt. Điều này nhanh chóng biến thành một sự kiện đánh cắp dữ liệu đám mây quy mô rộng.
Kẻ tấn công có thể tải xuống các thư viện tài liệu SharePoint, xuất email, truy cập bộ nhớ OneDrive và đăng ký các ứng dụng OAuth trái phép. Sự việc này làm nổi bật mối đe dọa mạng từ các kỹ thuật social engineering.
Các Biện Pháp Phòng Ngừa và Tăng Cường An Toàn Thông Tin
Các tổ chức cần thực hiện xác minh danh tính nghiêm ngặt cho bất kỳ việc đặt lại MFA hoặc đăng ký thiết bị nào. Cụ thể, cần yêu cầu sự chấp thuận của quản lý hoặc một phiếu hỗ trợ được xác thực trước khi thực hiện các thay đổi.
Nhân viên bộ phận hỗ trợ cần được đào tạo chuyên sâu về các chiến thuật vishing và phải được trao quyền để nghi ngờ những người gọi tạo ra tình huống khẩn cấp đột ngột. Các phương pháp MFA chống phishing như khóa bảo mật FIDO2 hoặc passkeys nên thay thế các tùy chọn dựa trên SMS và giọng nói bất cứ khi nào có thể.
Nhật ký Okta cần được đưa vào các nền tảng SIEM và tương quan với hoạt động của SaaS và điểm cuối để phát hiện các chuỗi xác thực đáng ngờ. Các nhóm bảo mật nên xây dựng các kế hoạch ứng phó sự cố chuyên biệt với các quy trình để nhanh chóng thu hồi phiên làm việc và loại bỏ các phương pháp MFA trái phép ngay khi phát hiện xâm nhập.
Việc liên tục cập nhật bản vá bảo mật và áp dụng các chính sách an toàn thông tin mạnh mẽ là cần thiết để chống lại các mối đe dọa mạng đang phát triển. Nguồn tham khảo chi tiết về xu hướng tấn công này có thể tìm thấy tại LevelBlue SpiderLabs Blog.
