Cảnh báo: Hacker giả mạo quy trình đăng ký Passkey của Microsoft để chiếm quyền truy cập
Các nhóm tin tặc đang sử dụng chiêu trò vishing (phishing qua điện thoại) để lừa người dùng Microsoft 365 đăng ký passkey giả, từ đó chiếm đoạt tài khoản và thực hiện các hành vi tống tiền dữ...
Một chiến dịch tấn công tinh vi đang nhắm mục tiêu vào nhiều tổ chức thuộc các lĩnh vực như công nghệ, y tế, thực phẩm, hàng không và xây dựng. Kẻ tấn công, được Okta theo dõi dưới định danh O-UNC-066, sử dụng hình thức vishing (phishing qua giọng nói) để thuyết phục nhân viên đăng ký một “passkey mới” cho tài khoản Microsoft 365 của họ.
Table Of Content
Chiêu trò lừa đảo qua điện thoại
Theo các nhà nghiên cứu tại Okta, kẻ tấn công sẽ gọi điện trực tiếp cho nạn nhân, giả danh bộ phận hỗ trợ hoặc yêu cầu bảo mật để yêu cầu người dùng thực hiện quy trình đăng ký passkey. Nạn nhân sau đó được dẫn đến một trang web giả mạo có giao diện giống hệt quy trình xác thực của Microsoft.
Điểm khác biệt của chiến dịch này so với các cuộc tấn công adversary-in-the-middle (AitM) truyền thống là kẻ tấn công sử dụng một bảng điều khiển PHP cho phép điều khiển trải nghiệm người dùng theo thời gian thực. Kẻ tấn công có thể tùy chỉnh các yêu cầu MFA (như TOTP, SMS OTP hoặc thông báo đẩy) dựa trên phản ứng của nạn nhân trong quá trình đăng nhập.
Quy trình chiếm quyền tài khoản
Sau khi thu thập được thông tin đăng nhập (username và password), kẻ tấn công sẽ đăng nhập vào tài khoản của nạn nhân trên trang Microsoft chính thức. Trong khi nạn nhân đang ở trang “xử lý” (processing) trên giao diện giả mạo, kẻ tấn công sẽ thực hiện các bước xác thực MFA thực tế. Sau khi vượt qua bước này, nạn nhân được yêu cầu tạo passkey giả. Để làm nạn nhân mất cảnh giác, kẻ tấn công còn yêu cầu người dùng lưu lại “khóa khôi phục” (recovery key) gồm 12 từ, tương tự như các ví tiền điện tử, nhằm tạo cảm giác đây là một quy trình bảo mật hợp lệ.
Mối liên hệ với các nhóm tội phạm mạng
Okta cho biết nhóm O-UNC-066 có liên quan đến một trang web rò rỉ dữ liệu mang tên “Pink” hoạt động từ tháng 4/2026. Palo Alto Networks Unit 42 cũng đang theo dõi cụm tấn công này (định danh CL-CRI-1147) và cho rằng nó có liên quan đến tập hợp tội phạm mạng phi tập trung mang tên The Com – nơi quy tụ các nhóm khét tiếng như Scattered Spider, ShinyHunters và LAPSUS$.
Các chuyên gia khuyến cáo người dùng cần cảnh giác cao độ với các cuộc gọi yêu cầu thực hiện thay đổi bảo mật hoặc đăng ký passkey bất ngờ. Các tổ chức nên tăng cường đào tạo nhận thức cho nhân viên và ưu tiên sử dụng các phương thức xác thực chống phishing đã được kiểm chứng để ngăn chặn các cuộc tấn công tương tự.
Nguồn tham khảo: The Hacker News


No Comment! Be the first one.