Cập nhật các mối đe dọa qua email tháng 4/2025

Cập nhật các mối đe doạ qua email tháng 4 năm 2025

Trong tháng 3/2025, các chuyên gia phân tích mối đe dọa từ Barracuda đã ghi nhận nhiều cuộc tấn công email tinh vi nhắm vào doanh nghiệp toàn cầu. Một số xu hướng nổi bật bao gồm:

  • Tấn công qua email với calendar invite nhằm đánh lừa người nhận
  • Phishing kits khai thác lỗ hổng từ nền tảng chia sẻ tệp tin uy tín
  • Voicemail phishing xuất hiện lại sau thời gian dài sụt giảm

1. Lời mời lịch – Calendar invite phương thức tấn công email mới

Tổng quan

Các chuyên gia từ Barracuda đã phát hiện bộ công cụ Sneaky 2FA phishing kit đang phát tán calendar invite chứa mã độc, nhắm đến việc đánh cắp thông tin đăng nhập của người dùng.

Tệp đính kèm ICS (iCalendar) hoạt động trên Google Calendar, Microsoft OutlookApple Calendar, giúp các nền tảng này trở thành công cụ phổ biến cho việc lên lịch sự kiện, họp và cuộc hẹn giữa các tổ chức. Đặc biệt hữu ích trong các cuộc họp trực tuyến, các tệp này có thể chứa liên kết video hay tài liệu hỗ trợ.

Trong cuộc tấn công mà Barracuda phát hiện, email không chứa nội dung gì ngoài một liên kết dẫn đến tệp ICS, trông giống như một lời mời hợp pháp. Tuy nhiên, tệp này không chỉ chứa thông tin sự kiện mà còn chứa một liên kết phishing dẫn đến một hóa đơn chưa thanh toán mà người nhận cần kiểm tra.

Khi người nhận mở lời mời, một liên kết sẽ dẫn đến nền tảng Monday, nơi chứa nội dung phishing. Nạn nhân sẽ được yêu cầu xác minh CAPTCHA và nhấp vào “xem tài liệu,” sau đó bị chuyển hướng đến một trang phishing nhằm đánh cắp thông tin đăng nhập Microsoft của họ.

calendar invite là phương thức tấn công email mới

Các dấu hiệu cần chú ý

Do ICS files thường được xem là vô hại và không phải công cụ bảo mật nào cũng phát hiện được các lời mời độc hại từ nó. Điều này tạo cơ hội cho kẻ tấn công vượt qua các biện pháp bảo vệ và đánh lừa nạn nhân.

Nếu nhận được lời mời cuộc họp từ người lạ hoặc ít khi liên lạc, để thảo luận về vấn đề không rõ ràng, và đặc biệt là không có bối cảnh hoặc thông điệp giải thích, thì đó là dấu hiệu đáng ngờ. Hãy báo cáo cho đội ngũ bảo mật và nếu cần thiết, kiểm tra trực tiếp với người gửi để xác minh tính hợp pháp của email.

2. Phishing kits lợi dụng ShareFile để phát động hàng trăm cuộc tấn công

phishing qua nền tảng sharefile

Các chuyên gia từ Barracuda đã ghi nhận hàng trăm cuộc tấn công do các phishing kit, lợi dụng nền tảng chia sẻ tài liệu hợp pháp ShareFile. Các kits này tạo các form đăng nhập giả mạo trên ShareFile và gửi các liên kết ShareFile tới đối tượng tiềm năng.

Các kits lưu trữ nội dung trên ShareFile chủ yếu là Tycoon 2FAMamba 2FA, cả hai đều là những công cụ phishing tiên tiến và phát triển nhanh chóng. Barracuda gần đây đã thông báo về hành vi của Tycoon 2FA và các nền tảng PhaaS mới nổi. Mamba 2FA cũng sử dụng chiến thuật tương tự.

Phương thức tấn công

Các email phishing trong chiến dịch này thường giả mạo thông báo từ SharePoint hoặc DocuSign, với nội dung chia sẻ tài liệu kèm theo link dẫn đến một tài liệu giả mạo được lưu trữ trên ShareFile — một nền tảng chia sẻ tệp hợp pháp và phổ biến.

Chính vì liên kết trong email là URL thật của ShareFile, các công cụ bảo mật thường không gắn cờ cảnh báo. Đồng thời, sự quen thuộc và niềm tin của người dùng vào nền tảng này khiến họ dễ click vào liên kết và cung cấp thông tin đăng nhập.

Cảnh báo nhận diện

  • Nếu bạn nhận được email không rõ nguồn gốc, nội dung không quen thuộc, hoặc từ người bạn ít khi liên hệ, hãy cảnh giác.
  • Đặc biệt, nếu tổ chức bạn không sử dụng ShareFile mà lại nhận được email từ nền tảng này, đó là dấu hiệu nghi vấn.
  • Luôn báo cáo email đáng ngờ đến bộ phận an ninh và xác minh người gửi nếu có thể.
  • Nếu email chứa link dẫn đến trang đăng nhập của Microsoft hoặc Google, hãy kiểm tra kỹ địa chỉ URL. Tuyệt đối không nhập thông tin đăng nhập nếu có dấu hiệu nghi ngờ.

3. Hình thức phishing qua thư thoại quay trở lại và phát triển mạnh

voicemail tấn công qua thư thoại

Các chuyên gia từ Barracuda đã phát hiện sự gia tăng trở lại của hình thức phishing qua thư thoại – voicemail (vishing) kể từ tháng 2, sau một thời gian giảm sút. Đây là các email giả dạng thông báo có tin nhắn thoại mới, dẫn người dùng đến các biểu mẫu đăng nhập được lưu trữ trên nền tảng hợp pháp như Monday hoặc Zoho, nơi mà người dùng bị lừa nhập thông tin xác thực.

Nhiều cuộc tấn công gần đây còn tích hợp các kỹ thuật từ phishing-as-a-service (PhaaS) như Mamba 2FA và Tycoon 2FA, với một số trường hợp chuyển hướng URL thông qua nền tảng LinkedIn nhằm tăng độ tin cậy và né tránh phát hiện.

Dấu hiệu nhận biết

  • Như các trường hợp trước, bạn nên nghi ngờ nếu email đến từ người gửi lạ, nội dung không quen thuộc hoặc không được yêu cầu. Luôn kiểm tra lại tính xác thực nếu email có vẻ đáng tin.
  • Một dấu hiệu cảnh báo khác là email thúc giục hành động nhanh chóng hoặc chứa lời đe dọa ngầm.

4. Tăng cường bảo mật email toàn diện với Barracuda Email Protection

Barracuda Email Protection là giải pháp bảo mật email tích hợp tối ưu, được thiết kế để chống lại các mối đe dọa tinh vi nhắm vào tổ chức hiện đại.

  • Email Gateway Defense giúp ngăn chặn phishing và mã độc.
  • Impersonation Protection bảo vệ người dùng khỏi các cuộc tấn công mạo danh bằng kỹ thuật social engineering.
  • Incident Response và Domain Fraud Protection hỗ trợ xử lý nhanh sự cố và ngăn chặn rủi ro từ tài khoản bị xâm nhập hoặc tên miền giả mạo.
  • Cloud-to-Cloud Backup đảm bảo dữ liệu email luôn được sao lưu an toàn.
bảo vệ hệ thống mail với barracuda email protection

Ứng dụng trí tuệ nhân tạo (AI) kết hợp với tích hợp sâu vào hệ sinh thái Microsoft 365, Barracuda mang đến một nền tảng bảo mật email toàn diện – chống lại các cuộc tấn công phishing tinh vi. Liên hệ với Đông Quân – Nhà phân phối giải pháp Barracuda chính thức tại Việt Nam:

*Biên soạn và xử lý nội dung từ Barracuda