Cảnh báo lừa đảo Microsoft Teams: Chiêu trò giả danh IT cực tinh vi

Thủ đoạn lừa đảo qua Microsoft Teams đang trở nên tinh vi hơn khi tin tặc kết hợp tấn công dồn dập bằng email rác và giả danh hỗ trợ kỹ thuật để chiếm đoạt tài khoản doanh nghiệp.

Theo báo cáo mới nhất từ Nhóm Tình báo Mối đe dọa của Google (GTIG), một chiến dịch tấn công quy mô lớn đang nhắm vào các tổ chức doanh nghiệp, được thực hiện bởi nhóm tội phạm mạng có định danh UNC6692. Thay vì chỉ gửi một đường link độc hại đơn thuần, nhóm này triển khai một quy trình tấn công đa giai đoạn, đánh vào tâm lý hoang mang của nạn nhân.

Chiến thuật “đánh phủ đầu” bằng thư rác

Điểm khác biệt của chiến dịch này nằm ở bước khởi đầu. Thay vì tiếp cận trực tiếp, tin tặc sẽ gửi một lượng khổng lồ email rác (spam) đến các nhân viên trong cùng một doanh nghiệp. Mục đích không phải là để lừa người dùng click vào link trong email, mà là để gây nhiễu và tạo ra trạng thái hỗn loạn.

Khi hộp thư đến bị quá tải và xuất hiện nhiều dấu hiệu bất thường, nhân viên thường rơi vào trạng thái lo lắng và dễ dàng tin rằng hệ thống email của công ty đang gặp sự cố kỹ thuật nghiêm trọng. Đây chính là thời điểm “vàng” để kẻ tấn công tung ra bước tiếp theo.

Cái bẫy “Hỗ trợ kỹ thuật” trên Microsoft Teams

Ngay khi người dùng đang bối rối với đống email rác, kẻ tấn công sẽ chủ động liên hệ qua Microsoft Teams. Chúng giả danh là nhân viên thuộc bộ phận IT hoặc Helpdesk của công ty, đề nghị hỗ trợ xử lý sự cố email một cách nhiệt tình.

Vì cuộc trò chuyện diễn ra trên nền tảng làm việc nội bộ quen thuộc, nhiều người dùng mặc định tin tưởng đây là đồng nghiệp. Kẻ lừa đảo sau đó dẫn dắt nạn nhân truy cập vào một trang web có tên “Mailbox Repair Utility” (Công cụ sửa lỗi hộp thư) với giao diện chuyên nghiệp, mô phỏng một công cụ kiểm tra hệ thống chính thống.

Thủ thuật tâm lý khi đánh cắp thông tin đăng nhập

Tại trang web giả mạo này, tin tặc áp dụng một kỹ thuật tâm lý cực kỳ xảo quyệt: Cố tình báo lỗi nhập sai. Khi người dùng nhập mật khẩu lần đầu, hệ thống sẽ báo lỗi yêu cầu nhập lại. Điều này khiến nạn nhân tin rằng mình đã gõ nhầm, trong khi thực chất tin tặc đã thu thập thành công thông tin đăng nhập ngay từ lần đầu tiên.

Hệ lụy nghiêm trọng: Từ chiếm quyền truy cập đến kiểm soát toàn diện

Sau khi thu thập được thông tin, dữ liệu sẽ được chuyển ngay lập tức về máy chủ điều khiển của tin tặc thông qua dịch vụ lưu trữ Amazon Web Services (AWS) S3. Tuy nhiên, việc đánh cắp mật khẩu chỉ là khởi đầu.

• Cài cắm mã độc: Trong khi người dùng chờ thông báo “hoàn tất” trên màn hình, các tệp độc hại đã âm thầm được tải xuống và thực thi trên thiết bị.
• Thiết lập quyền kiểm soát lâu dài (Persistence): Tin tặc cài đặt các công cụ cho phép chúng duy trì quyền truy cập ngay cả khi người dùng khởi động lại máy hoặc đổi mật khẩu.
• Giám sát toàn diện: Kẻ tấn công có thể thực thi lệnh từ xa, chụp màn hình, theo dõi hoạt động bàn phím và đánh cắp các tài liệu mật của doanh nghiệp.
  

  Lời khuyên từ chuyên gia để phòng chống Social Engineering

  Đây là điển hình của tấn công Kỹ thuật xã hội (Social Engineering)—loại tấn công không khai thác lỗ hổng phần mềm mà khai thác “lỗ hổng con người”. Để bảo vệ bản thân và tổ chức, bạn cần tuân thủ các nguyên tắc sau:

  1. Xác thực đa kênh: Nếu có người tự xưng là IT liên hệ qua Teams, hãy gọi điện thoại trực tiếp hoặc gặp mặt để xác nhận danh tính trước khi làm theo bất kỳ hướng dẫn nào.
  2. Nguyên tắc “Không cung cấp mật khẩu”: Bộ phận IT chính thống không bao giờ yêu cầu bạn cung cấp mật khẩu hoặc nhập mật khẩu vào một trang web lạ để “sửa lỗi”.
  3. Sử dụng xác thực 2 lớp (2FA/MFA): Đây là chốt chặn cuối cùng. Ngay cả khi tin tặc có mật khẩu, chúng vẫn không thể đăng nhập nếu không có mã xác thực từ điện thoại của bạn.
  4. Cảnh giác với sự hối thúc: Những yêu cầu xử lý “khẩn cấp” thường là dấu hiệu của lừa đảo nhằm khiến bạn mất cảnh giác.

  Bạn hoặc đồng nghiệp đã từng gặp những lời mời hỗ trợ kỹ thuật bất thường trên các nền tảng chat nội bộ chưa? Hãy chia sẻ trải nghiệm của bạn ở phần bình luận để cùng cảnh báo cộng đồng!

  Câu hỏi thường gặp (FAQ)

  Tại sao tin tặc lại gửi email rác trước khi liên hệ qua Microsoft Teams?

  Đây là chiến thuật tạo ra sự hỗn loạn và tâm lý lo lắng. Khi người dùng thấy email bị lỗi hoặc quá tải, họ sẽ dễ dàng tin tưởng và làm theo hướng dẫn của kẻ giả danh IT khi được liên hệ hỗ trợ.

  Làm sao để biết trang web ‘Mailbox Repair Utility’ là giả mạo?

  Hãy kiểm tra kỹ URL của trang web. Các trang web chính thống của Microsoft hoặc doanh nghiệp sẽ có tên miền rõ ràng. Đặc biệt, bất kỳ trang web nào yêu cầu nhập mật khẩu để ‘sửa lỗi hệ thống’ đều là dấu hiệu lừa đảo.

  Tôi nên làm gì nếu lỡ nhập thông tin đăng nhập vào trang web nghi ngờ?

  Ngay lập tức thay đổi mật khẩu tài khoản, đăng xuất khỏi tất cả các thiết bị, kích hoạt xác thực 2 lớp (MFA) và báo cáo ngay cho bộ phận IT thực sự của công ty để quét mã độc trên thiết bị.