An ninh mạng

Cảnh báo: OAuth Consent Phishing – Kỹ thuật ‘vượt mặt’ MFA mới của tin tặc

Thay vì đánh cắp mật khẩu, các chiến dịch phishing hiện đại đang chuyển hướng sang lạm dụng OAuth consent để chiếm đoạt refresh token, qua đó vượt qua các lớp bảo mật MFA một cách tinh...

Nguyen Hung
28 Tháng 5, 2026 3 Min Read
2 0

Trong tháng 2/2026, nền tảng Phishing-as-a-Service (PhaaS) có tên EvilTokens đã xuất hiện và gây ra thiệt hại đáng kể. Chỉ trong vòng 5 tuần, công cụ này đã xâm nhập thành công hơn 340 tổ chức sử dụng Microsoft 365 tại 5 quốc gia. Điều đáng chú ý là thay vì nhắm vào mật khẩu, kẻ tấn công đã khai thác cơ chế cấp quyền OAuth.

Table Of Content

Cơ chế tấn công: Khi MFA trở nên vô hiệu

Trong các cuộc tấn công truyền thống, kẻ gian thường đánh cắp thông tin đăng nhập và cố gắng vượt qua MFA. Tuy nhiên, với OAuth consent phishing, người dùng thực hiện xác thực hoàn toàn hợp lệ trên nhà cung cấp danh tính (IdP) và vượt qua thử thách MFA như bình thường. Sau khi nhấn ‘Accept’ trên màn hình cấp quyền, người dùng vô tình cấp cho kẻ tấn công một refresh token có phạm vi truy cập vào hòm thư, lịch và danh bạ.

Vì token này được ký bởi chính nhà cung cấp danh tính, hệ thống coi đây là hành động hợp lệ. MFA không thể chặn được vì nó đã được thực hiện trước đó. Hơn nữa, các token này thường có thời hạn dài và không bị vô hiệu hóa ngay cả khi người dùng thay đổi mật khẩu, trừ khi có chính sách thu hồi cụ thể.

Tại sao OAuth consent trở thành điểm yếu?

Sự bùng nổ của các tác nhân AI, tiện ích mở rộng trình duyệt và các ứng dụng SaaS đã khiến người dùng hình thành thói quen nhấn ‘Accept’ mà không kiểm tra kỹ các quyền (scopes). Các thuật ngữ như ‘Read your mail’ hay ‘Access files’ thường bị xem nhẹ, trong khi thực tế chúng cho phép kẻ tấn công quyền truy cập sâu rộng vào dữ liệu nhạy cảm.

Nguy cơ từ ‘Toxic Combinations’

Rủi ro thực sự nằm ở các ‘toxic combinations’ (sự kết hợp độc hại). Khi một người dùng cấp quyền cho nhiều ứng dụng khác nhau (ví dụ: AI tóm tắt cuộc họp, công cụ CRM, trợ lý năng suất), kẻ tấn công có thể kết nối các quyền này để tạo ra một đường dẫn truy cập trái phép mà không chủ sở hữu ứng dụng nào kiểm soát được. Đây là những ‘cây cầu’ nằm ngoài tầm kiểm soát của các nhật ký kiểm toán (audit log) thông thường.

Chiến lược phòng thủ cho doanh nghiệp

Để đối phó với xu hướng này, các tổ chức cần thay đổi cách tiếp cận bảo mật đối với OAuth:

  • Kiểm kê ứng dụng OAuth: Theo dõi liên tục các ứng dụng bên thứ ba đang nắm giữ refresh token.
  • Rà soát quyền hạn: Kiểm tra các token đã cấp quá 30 ngày và yêu cầu cấp quyền lại.
  • Giám sát danh tính chéo: Theo dõi các tài khoản có quyền truy cập vào từ 3 ứng dụng SaaS trở lên.
  • Cơ chế thu hồi: Xây dựng quy trình thu hồi token ở cấp độ ứng dụng thay vì chỉ đình chỉ tài khoản người dùng.
  • Chính sách truy cập có điều kiện: Áp dụng các chính sách yêu cầu xác thực lại ngay cả khi sự kiện cấp quyền (consent event) xảy ra.

Trong kỷ nguyên của các tác nhân AI và tích hợp hệ thống phức tạp, việc bảo mật lớp OAuth không còn là tùy chọn mà là yêu cầu bắt buộc để bảo vệ hạ tầng danh tính của doanh nghiệp.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept