Cách phát hiện và phòng ngừa các cuộc tấn công lừa đảo trong Microsoft Office 365
Các vụ rò rỉ dữ liệu trên Microsoft 365 có thể gây ra thiệt hại nghiêm trọng cho bất kỳ doanh nghiệp nào sử dụng bộ ứng dụng SaaS này. Do phần lớn các cuộc tấn công mạng bắt đầu từ một email lừa đảo, nên việc có giải pháp bảo vệ chống lừa đảo đáng tin cậy cho Microsoft Office 365 là yếu tố then chốt để bảo vệ dữ liệu doanh nghiệp.
Bài viết này liệt kê các loại email lừa đảo trên Microsoft 365 và hướng dẫn cách phát hiện chúng. Hãy tiếp tục đọc để khám phá các chiến lược giúp tăng cường an ninh cho tổ chức của bạn trước các vụ vi phạm an ninh mạng.
Lừa đảo (Phishing) trong Microsoft Office 365 là gì?
Trước khi đi vào các loại hình tấn công và biện pháp phòng ngừa, hãy cùng định nghĩa về lừa đảo (phishing). Việc hiểu rõ bản chất của mối đe dọa mạng này sẽ giúp các chuyên gia CNTT bảo vệ hiệu quả cơ sở hạ tầng và dữ liệu doanh nghiệp khỏi nó.
Định nghĩa về lừa đảo (phishing)
Các chuyên gia an ninh mạng định nghĩa lừa đảo (phishing) là một chiến thuật tấn công mạng sử dụng các yếu tố của kỹ thuật xã hội thông qua email để lừa gạt người dùng và thực hiện hành vi xâm nhập hệ thống CNTT. Mục đích của việc lừa đảo có thể đa dạng, từ việc chia sẻ mật khẩu đến việc tải xuống phần mềm độc hại đính kèm trong email. Hầu hết các cuộc tấn công ransomware xảy ra sau khi có vi phạm an ninh mạng do phishing gây ra.
Tại sao Microsoft Office 365 là mục tiêu phishing phổ biến
Hacker nhắm mục tiêu vào hạ tầng Microsoft 365 vì giá trị của dữ liệu và lợi nhuận tiềm năng có thể thu được từ việc đánh cắp dữ liệu đó. Họ thường soạn các email phishing O365 trông quen thuộc với nạn nhân. Đó có thể là yêu cầu hỗ trợ từ đồng nghiệp, tin tức nội bộ công ty hoặc thông báo gia hạn đăng ký dịch vụ. Để làm cho email độc hại trông hợp pháp, địa chỉ người gửi thường bị giả mạo để trông có vẻ chính xác ngay từ cái nhìn đầu tiên.
Một thách thức khác là kỹ thuật xã hội nói chung, và lừa đảo Microsoft 365 nói riêng, đang phát triển để trở nên tinh vi và hiệu quả hơn. Hacker có thể điều chỉnh email của họ theo các sự kiện địa phương và toàn cầu hiện tại, sử dụng các phương pháp cá nhân hóa và nâng cao độ tin cậy của tin nhắn bằng các thủ thuật mới khác. Trí tuệ nhân tạo (AI) có lẽ là công cụ đe dọa nhất làm gia tăng nguy cơ ở đây. AI có thể tăng tần suất và tác động của các cuộc tấn công mạng ở mọi giai đoạn, từ giai đoạn thu thập thông tin ban đầu và xâm nhập đến Phần mềm tống tiền được hỗ trợ bởi trí tuệ nhân tạo.
Các loại tấn công lừa đảo Microsoft Office 365
Hiểu rõ các loại tấn công lừa đảo khác nhau có thể giúp bạn bảo vệ hiệu quả cơ sở hạ tầng và dữ liệu của tổ chức trước mối đe dọa này.
Lừa đảo hàng loạt
Phương pháp này bao gồm việc gửi hàng chục nghìn email đến tất cả người nhận mà hacker có trong cơ sở dữ liệu. Lừa đảo hàng loạt không phải là phương pháp có chọn lọc; những email này thường nhắm đến đối tượng rộng nhất có thể vì chúng dựa vào số lượng, không phải nội dung. Lừa đảo hàng loạt thường xuyên xảy ra nhưng tương đối dễ phát hiện. Các bộ lọc lừa đảo và spam tích hợp sẵn trong Microsoft Office 365 có thể phát hiện và đánh dấu các email lừa đảo hàng loạt một cách hiệu quả.
Lừa đảo nhắm mục tiêu (Spear phishing)
Khác với lừa đảo hàng loạt, lừa đảo nhắm mục tiêu dựa vào kỹ thuật xã hội tinh vi để tạo ra các thông điệp được cá nhân hóa sâu sắc. Loại lừa đảo này nhắm vào các đối tượng cụ thể, khiến nó trở nên hiệu quả hơn bất kỳ hình thức tấn công mạng nào khác.
Trước khi soạn thảo email lừa đảo nhắm mục tiêu, tin tặc có thể tiến hành thu thập thông tin ban đầu để tìm hiểu về tổ chức mục tiêu, các đối tác, lãnh đạo cấp cao và nhân viên của tổ chức đó. Các công cụ hỗ trợ bởi trí tuệ nhân tạo (AI) giúp quá trình nghiên cứu trở nên đơn giản và nhanh chóng hơn, do đó chúng ta có thể dự đoán các vụ lừa đảo nhắm mục tiêu sẽ ngày càng gia tăng.
Kẻ tấn công sử dụng dữ liệu thu thập được để soạn thảo một tin nhắn có vẻ hợp pháp, chứa tên, địa điểm, số điện thoại hoặc các sự kiện quen thuộc với mục tiêu. Tóm lại, spear phishing tốn nhiều thời gian hơn cho kẻ tấn công so với lừa đảo hàng loạt nhưng hiệu quả hơn.
Whaling
Về bản chất, whaling là một loại phụ của spear phishing, chủ yếu nhắm vào các giám đốc điều hành cấp cao, nhà đầu tư và chủ doanh nghiệp. Hacker tùy chỉnh email whaling để trông giống như yêu cầu từ truyền thông, thông điệp tài chính hoặc liên hệ kinh doanh nhằm thu hút và thao túng các cá nhân cấp cao. Ví dụ, các thông điệp whaling có thể mô phỏng hóa đơn thanh toán, yêu cầu của khách hàng hoặc hợp đồng hợp tác.
Các nạn nhân không nghi ngờ là mục tiêu lý tưởng do kiến thức và dữ liệu họ nắm giữ, cùng với mức độ truy cập hệ thống mà tài khoản doanh nghiệp của họ thường có. Việc xâm nhập tài khoản của một giám đốc điều hành có thể mang lại cho hacker quyền truy cập đáng kể vào thông tin nhạy cảm. Họ có thể tận dụng lỗ hổng này để tổ chức một cuộc tấn công quy mô lớn.
Lừa đảo CEO
Một chiến thuật lừa đảo qua email Office 365 khác là lừa đảo CEO. Trong các email lừa đảo này, kẻ tấn công có thể giả danh CEO để chia sẻ thông tin quan trọng với nhân viên. Ví dụ, một tin nhắn có thể trông giống như bản cập nhật chính sách quan trọng hoặc yêu cầu chuyển khoản tài chính khẩn cấp. Tuy nhiên, mục đích vẫn là: lừa dối người nhận để họ chia sẻ dữ liệu, nhấp vào liên kết độc hại hoặc tải xuống tệp đính kèm bị nhiễm virus.
Để hiểu rõ hơn về loại lừa đảo này, hãy tưởng tượng một người đang mong đợi được thăng chức và nhận được một email về điều đó. Kẻ tấn công rất có thể sẽ giả mạo địa chỉ email, sao chép bố cục email của công ty và, với tình trạng hiện tại của AI, thậm chí bắt chước phong cách giao tiếp của CEO tổ chức đó. Thành viên trong nhóm đọc tin nhắn từ vị giám đốc giả mạo và sau đó, làm theo hướng dẫn, nhấp vào liên kết và triển khai ransomware trong môi trường công ty.
Tránh bộ lọc
Microsoft triển khai bộ lọc lừa đảo mạnh mẽ trên Office 365, nhưng không đảm bảo phát hiện tuyệt đối các tin nhắn độc hại. Kẻ tấn công tạo ra các email lừa đảo có thể lách qua các bộ lọc phần mềm để xâm nhập vào hộp thư của người dùng dưới dạng tin nhắn hợp pháp.
Loại lừa đảo này có thể bao gồm:
- Nhúng mã độc vào các hình ảnh đính kèm.
- Kết hợp các liên kết từ các trang web uy tín và nổi tiếng với các liên kết lừa đảo.
- Thêm nhiều nội dung “sạch” để che giấu mã độc.
- Sử dụng các công cụ rút gọn URL.
Những chiến thuật này khá sơ khai và thậm chí có thể không tránh được việc bị phát hiện. Tuy nhiên, bằng cách gửi hàng nghìn email lừa đảo, ngay cả khi chỉ có 1% tin nhắn lọt qua các bộ lọc cũng có thể gây ra nhiều vụ vi phạm dữ liệu.
PhishPoint
PhishPoint nổi bật khi nói đến lừa đảo Microsoft Office 365. Kẻ tấn công đầu tiên chèn một liên kết độc hại vào một tệp SharePoint trong phiên bản dùng thử Microsoft 365. Sau đó, người dùng nhận được lời mời truy cập và cộng tác trên một số tệp trong SharePoint.
Người dùng nhấp vào liên kết, điều này sẽ chuyển hướng họ đến một yêu cầu truy cập tệp OneDrive giả mạo với một URL độc hại dẫn đến một trang web giả mạo khác. Trang web này thường là bản sao của màn hình đăng nhập Microsoft 365. Người dùng sau đó nhập thông tin đăng nhập, nhưng thay vì cấp quyền truy cập vào tài khoản Microsoft 365, thông tin này sẽ được gửi đến cơ sở dữ liệu của hacker.
Cách phát hiện các cuộc tấn công lừa đảo trong Office 365
Bây giờ bạn đã biết các loại tấn công lừa đảo Microsoft 365 chính, hãy tiếp tục với các phương pháp phát hiện. Bạn có thể nhận diện các tin nhắn độc hại trong hộp thư Office 365 của mình hiệu quả hơn bằng cách kiểm tra các phần cụ thể của nội dung email.
Dấu hiệu nhận biết email lừa đảo
Các dấu hiệu điển hình mà bạn có thể tìm thấy trong một ví dụ email lừa đảo Microsoft Office 365 thông thường là:
- Lỗi dấu câu và ngữ pháp: “you is”, “hallo”, “can to”.
- Lỗi chính tả trong tên tổ chức: “SqaceX”, “Micnosoft”, “Arnazon”.
- Địa chỉ email không chính xác: “support@mirosoft.com”, “press@slarbucks.com”, “johndoe@support.fasebook.com”.
- Tạo cảm giác khẩn cấp: “Tài khoản của bạn sẽ bị xóa”, “Vi phạm bảo mật”, “Thông báo KHẨN CẤP”.
- Ngôn ngữ kêu gọi hành động mang tính ép buộc – “nhấp vào liên kết ngay lập tức”, “tải xuống tệp đính kèm để đảm bảo an toàn tài khoản”, “liên hệ với chúng tôi ngay lập tức qua biểu mẫu này”.
Các công cụ trí tuệ nhân tạo (AI) đã làm gia tăng đáng kể mức độ đe dọa của các email lừa đảo Microsoft 365. Với AI, kẻ tấn công có thể tạo ra số lượng lớn tin nhắn trong thời gian ngắn mà vẫn duy trì chất lượng nội dung chấp nhận được. Email do AI tạo ra có thể trông hợp pháp, nhưng việc kiểm tra kỹ lưỡng địa chỉ người gửi và các liên kết có thể ngăn chặn vi phạm.
Các chiến lược hiệu quả để phòng ngừa lừa đảo trong Office 365
Sự thành công của một chiến dịch lừa đảo Microsoft Office 365 thường dựa trên sự kết hợp của hai yếu tố:
- Bảo vệ chống lừa đảo Microsoft 365 không đủ trong tổ chức.
- Nhân viên không nhận thức được mối đe dọa hoặc thiếu cẩn trọng đến mức bỏ qua các nguyên tắc bảo mật trực tuyến cơ bản.
Hãy xem xét áp dụng các khuyến nghị sau để nâng cao hiệu quả bảo vệ chống lừa đảo O365 trong môi trường CNTT của bạn.
Cài đặt xác thực đa yếu tố (MFA)
Microsoft hỗ trợ xác thực đa yếu tố cho các tài khoản của mình. MFA bổ sung một lớp bảo mật cho quy trình đăng nhập Microsoft 365. Khi MFA được kích hoạt, người dùng phải nhập mã xác minh một lần nhận được qua SMS hoặc được tạo trong ứng dụng xác thực của bên thứ ba.
Việc cài đặt xác thực đa yếu tố nâng cao bảo mật M365 vì sự kết hợp giữa tên người dùng và mật khẩu sẽ không đủ để hacker truy cập vào tài khoản. Microsoft khuyến nghị sử dụng ứng dụng xác thực thay vì xác minh qua SMS do lợi ích về bảo mật và tốc độ.
Cấu hình chính sách chống lừa đảo cho Office 365
Trong Exchange Online, bạn có thể thiết lập chính sách chống lừa đảo để tăng cường bảo vệ chống lừa đảo. Cấu hình chính xác các chính sách này cho phép phát hiện sớm và chặn các email độc hại. Hệ thống có thể phân tích dữ liệu như tên miền của người gửi email, các URL được đính kèm và các trường hợp giả mạo tiềm ẩn.
Sử dụng các tiêu chuẩn xác thực email (SPF, DKIM, DMARC)
Các tiêu chuẩn xác thực email có thể đảm bảo rằng cả người gửi và email đều hợp pháp. Các tiêu chuẩn này là mở và công khai, nhưng việc triển khai chúng là tùy thuộc vào tổ chức. Các tiêu chuẩn xác thực email chính là:
- Khung chính sách người gửi (SPF) – kiểm tra xem người gửi có nằm trong danh sách trắng của miền hay không.
- Thư được xác thực bằng khóa miền (DKIM) – kiểm tra mã hóa của email và nội dung của nó bằng cách sử dụng Cơ sở hạ tầng khóa công khai (PKI).
- Xác thực, Báo cáo và Tuân thủ Dựa trên Tên miền (DMARC) – Kiểm tra xác thực tên miền của người gửi bằng SPF và/hoặc DKIM. DMARC không phải là tiêu chuẩn xác thực độc lập.
Các tiêu chuẩn xác thực email thường đòi hỏi một số nỗ lực và thời gian để thiết lập. Tuy nhiên, chúng có thể giảm đáng kể số lượng email lừa đảo Microsoft 365 trong hộp thư của tổ chức.
Cập nhật và vá lỗi phần mềm thường xuyên
Khi các mối đe dọa lừa đảo tiếp tục phát triển, bảo mật cho Windows, Exchange Online, Windows Defender và các ứng dụng Office của bạn phải luôn được cập nhật. Điều này cũng có thể bao gồm các giải pháp bảo mật và ứng dụng của bên thứ ba mà tổ chức của bạn sử dụng để hỗ trợ hợp tác và hoạt động sản xuất. Các bản cập nhật thường xuyên giúp bạn được bảo vệ trước các mối đe dọa mới nhất và vá các lỗ hổng bảo mật vừa được phát hiện.
Đào tạo nhân viên
Bất kể loại tấn công nào, người dùng luôn là mục tiêu chính của các email lừa đảo Microsoft 365. Chỉ cần một cú nhấp chuột sai lầm từ nhân viên cũng có thể làm mất hiệu quả của các hệ thống bảo vệ tiên tiến (và đắt tiền) nhất. Lên lịch các buổi đào tạo an ninh thông tin để đảm bảo người dùng trong tổ chức của bạn hiểu rõ về các thủ đoạn lừa đảo và có thể phân biệt giữa email hợp pháp và giả mạo.
Ngoài ra, khuyến nghị không nên giới hạn giáo dục an ninh mạng chỉ trong bộ phận CNTT. Các giám đốc điều hành, nhân sự, chuyên gia tiếp thị và bán hàng, kế toán và bất kỳ ai trong tổ chức đều có thể là mục tiêu của cuộc tấn công. Mọi thành viên trong đội ngũ có quyền truy cập vào môi trường CNTT nội bộ đều phải biết về mối đe dọa và cách phát hiện email lừa đảo Microsoft Office 365.
Tổ chức các buổi diễn tập
Ngoài việc giáo dục, việc đào tạo thường xuyên có thể giúp nhân viên luôn cảnh giác và theo dõi hiệu quả của các biện pháp bảo vệ chống lừa đảo. Hơn nữa, bạn có thể dễ dàng khởi chạy một bài kiểm tra lừa đảo Microsoft 365 bằng tính năng mô phỏng tấn công tích hợp sẵn. Tính năng mô phỏng này có sẵn trong gói Microsoft 365 E5 hoặc Microsoft Defender for Office 365 Plan 2.
Sau khi cấu hình mô phỏng, công cụ sẽ gửi một email lừa đảo thử nghiệm đến các người dùng được chọn. Sau đó, bạn có thể theo dõi cách mỗi người dùng phản ứng trước cuộc tấn công và phân bổ thêm các nội dung đào tạo và hướng dẫn cho họ nếu cần thiết.
Sao lưu và bảo vệ dữ liệu Office 365 với NAKIVO
Với sự phát triển của các kỹ thuật lừa đảo, việc sai sót của con người dẫn đến vi phạm an ninh và mất mát dữ liệu chỉ là vấn đề thời gian chứ không phải là liệu có xảy ra hay không. Khi hệ thống bảo vệ của bạn bị xâm phạm và dữ liệu gốc bị mất hoặc hỏng, một bản sao lưu được cập nhật kịp thời có thể giúp tiết kiệm thời gian, công sức và chi phí. Một giải pháp tất cả trong một chuyên dụng như NAKIVO Backup & Replication cho phép bạn triển khai sao lưu và khôi phục Microsoft 365 hiệu quả.
Với NAKIVO Backup & Replication, bạn có thể thực hiện sao lưu gia tăng nhanh chóng cho dữ liệu Microsoft 365 của mình trên Exchange Online, Microsoft Teams, SharePoint Online và OneDrive for Business. Giải pháp hỗ trợ nhiều kho lưu trữ sao lưu, bao gồm các thư mục Windows và Linux cục bộ, các nền tảng đám mây (Amazon S3, Wasabi, Azure Blob, Amazon EC2 và các kho lưu trữ tương thích S3 khác), chia sẻ tệp SMB/NFS và các thiết bị loại bỏ trùng lặp. Bạn có thể kích hoạt mã hóa tại nguồn và tính bất biến để bảo vệ dữ liệu sao lưu khỏi truy cập của bên thứ ba cũng như việc xóa dữ liệu vô tình hoặc cố ý. Các bản sao lưu bất biến không thể bị thay đổi bởi ransomware trong khoảng thời gian đã thiết lập. Trong trường hợp các biện pháp phòng ngừa gặp sự cố, bạn có thể khôi phục dữ liệu sau một cuộc tấn công ransomware mà không cần trả tiền chuộc.
Bạn có thể sử dụng chức năng tìm kiếm nâng cao để tìm và khôi phục các đối tượng dữ liệu cần thiết trong các bản sao lưu Microsoft 365. Khôi phục gần như tức thì giúp bạn đáp ứng các yêu cầu tuân thủ quy định và thực hiện các yêu cầu khám phá điện tử. Lập lịch và tự động hóa sao lưu, chính sách lưu trữ tùy chỉnh, khả năng mở rộng cấp doanh nghiệp và đa người dùng nâng cao có thể cắt giảm chi phí quản trị. NAKIVO Backup & Replication có sẵn dưới dạng đăng ký, cấp phép theo người dùng và bao gồm hỗ trợ 24/7.
Kết luận
Các cuộc tấn công lừa đảo Microsoft Office 365 có thể gây ra vi phạm bảo mật, dẫn đến việc đánh cắp hoặc mất dữ liệu cho bất kỳ doanh nghiệp nào sử dụng bộ công cụ này. Để tăng cường khả năng bảo vệ chống lừa đảo Microsoft 365 cho tổ chức của bạn, bạn có thể thiết lập MFA, định cấu hình các chính sách chống lừa đảo, áp dụng các tiêu chuẩn xác thực email và cập nhật phần mềm. Giáo dục nhân viên và tổ chức các buổi đào tạo an ninh mạng thường xuyên có thể nâng cao nhận thức về các mối đe dọa và phòng ngừa lừa đảo. Sử dụng các giải pháp bảo vệ dữ liệu như NAKIVO Backup & Replication với tính năng sao lưu dữ liệu tự động là cách đáng tin cậy nhất để giảm thiểu hậu quả của các sự cố mất dữ liệu thường xảy ra sau các vi phạm an ninh.
