Cục Điều tra Liên bang Mỹ (FBI) ngày 21/5 đã phát đi cảnh báo về một hình thức tấn công mạng mới sử dụng trí tuệ nhân tạo (AI). Hình thức này cho phép tin tặc đánh cắp mã truy cập Microsoft 365 và vượt qua các lớp xác thực đa yếu tố (MFA) mà không cần lấy trực tiếp mật khẩu của người dùng.
Mối đe dọa có tên Kali365, được phát hiện lần đầu vào tháng trước, hoạt động theo mô hình “lừa đảo dưới dạng dịch vụ” (phishing-as-a-service). FBI cho biết nhóm tấn công đã lợi dụng chính hạ tầng xác thực của Microsoft để đánh cắp thông tin truy cập tài khoản người dùng.
Nền tảng Kali365 được phát tán chủ yếu qua Telegram – ứng dụng nhắn tin vốn được nhiều nhóm tội phạm mạng sử dụng. Tuy nhiên, mục tiêu cuối cùng của các cuộc tấn công vẫn là người dùng email. Theo FBI, Kali365 giúp hạ thấp rào cản kỹ thuật, cho phép cả những đối tượng ít kinh nghiệm cũng có thể triển khai các chiến dịch lừa đảo bằng AI với giao diện và nội dung rất thuyết phục.
Hệ thống này cung cấp sẵn các mẫu email giả mạo, công cụ tự động hóa chiến dịch, bảng điều khiển theo dõi nạn nhân theo thời gian thực và khả năng đánh cắp mã thông báo OAuth – loại mã cho phép truy cập tài khoản mà không cần nhập lại mật khẩu.
FBI cảnh báo về một hình thức tấn công mạng mới sử dụng trí tuệ nhân tạo (AI). Ảnh minh hoạ
Kịch bản tấn công thường bắt đầu bằng một email giả danh các dịch vụ quen thuộc như lưu trữ đám mây hoặc chia sẻ tài liệu. Trong email sẽ có một “mã thiết bị” kèm hướng dẫn truy cập vào trang xác minh chính thức của Microsoft để nhập mã này.
Vì trang xác minh là trang thật của Microsoft nên nhiều người dễ mất cảnh giác. Tuy nhiên, ngay khi người dùng nhập mã, họ đã vô tình cấp quyền truy cập tài khoản cho tin tặc thông qua mã OAuth. Kẻ tấn công sau đó có thể sử dụng mã này trên thiết bị của mình để đăng nhập vào tài khoản Microsoft 365 của nạn nhân.
FBI cảnh báo rằng sau khi hoàn tất quy trình trên, tin tặc có thể truy cập các dịch vụ như Outlook, Teams hay OneDrive mà không cần mật khẩu và cũng không phải vượt qua thêm bất kỳ bước xác thực MFA nào.
Phần lớn biện pháp phòng vệ hiện nay nằm ở cấp độ doanh nghiệp, như chặn xác thực thiết bị hoặc áp dụng chính sách truy cập có điều kiện để hạn chế kiểu tấn công này. Tuy nhiên, với người dùng cá nhân, điều quan trọng nhất là nhận thức được rằng mã truy cập cũng có thể bị đánh cắp và bị lợi dụng giống như mật khẩu.
Theo công ty an ninh mạng Proofpoint, các cuộc tấn công lừa đảo bằng mã thiết bị đang gia tăng mạnh trên toàn cầu, với nhiều bộ công cụ lừa đảo mới xuất hiện mỗi tuần. Sự bùng nổ này đi cùng với sự phát triển nhanh chóng của các dịch vụ lừa đảo thuê ngoài (PhaaS).
Các chuyên gia khuyến cáo người dùng nên tuân thủ những nguyên tắc bảo mật cơ bản: không nhấp vào liên kết từ các email không mong đợi, cảnh giác với mọi thư yêu cầu thực hiện hành động khẩn cấp và luôn kiểm tra kỹ nguồn gửi trước khi truy cập hoặc nhập bất kỳ thông tin nào.
