VoidProxy - Công cụ tấn công mạng cho thuê. Ảnh Getty Images

VoidProxy - “công cụ cho thuê” để vượt qua lớp bảo mật

Bảo mật hai lớp 2FA (2FA - thêm một bước xác minh ngoài mật khẩu, thường là mã OTP hoặc thông báo ứng dụng) không còn là lá chắn tuyệt đối trước VoidProxy. Theo công ty an ninh mạng Okta, các chiến dịch lừa đảo dùng công cụ này đang gia tăng. VoidProxy hoạt động theo mô hình phishing-as-a-service (dịch vụ lừa đảo cho thuê), được “đóng gói” chuyên nghiệp để ngay cả những tội phạm mạng ít kinh nghiệm cũng có thể triển khai hiệu quả.

Khi người dùng đăng nhập vào trang giả mạo, VoidProxy không chỉ đánh cắp thông tin mà còn bí mật lấy session cookie (cookie phiên), cho phép vượt qua cả lớp bảo mật 2FA. Thủ đoạn này khiến nhiều tài khoản Google và Microsoft 365 rơi vào tay hacker dù chủ nhân đã áp dụng biện pháp bảo vệ nâng cao.

Chuỗi tấn công lan rộng và hậu quả nặng nề

VoidProxy không phải là trường hợp duy nhất. Trước đó, dịch vụ RaccoonO365 đã bị Microsoft và Cloudflare triệt phá, nhưng vẫn kịp thời đánh cắp hơn 5.000 tài khoản Microsoft 365 tại 94 quốc gia.

Hơn thế nữa, những hoạt động giả mạo ứng dụng OAuth. cũng đã khiến hơn 3.000 tài khoản tại 900 doanh nghiệp toàn cầu bị xâm nhập từ đầu năm 2025. Ứng dụng OAuth cho phép một ứng dụng (khách hàng) truy cập dữ liệu hoặc tài nguyên của người dùng từ một dịch vụ khác (máy chủ tài nguyên) mà không cần thông tin đăng nhập của người dùng.

Hacker còn lợi dụng lỗ hổng zero-day trong phần mềm SharePoint on-premises (phiên bản SharePoint cài đặt trực tiếp trên máy chủ nội bộ doanh nghiệp, khác với bản đám mây), ảnh hưởng tới khoảng 100 tổ chức lớn ở Mỹ và châu Âu.

Hacker tập trung khai thác lỗ hổng SharePoint

Microsoft và Google xác nhận nhiều nhóm tin tặc, trong đó có những hacker có nguồn gốc từ Trung Quốc, đang tận dụng lỗ hổng trong SharePoint on-premises để chiếm quyền điều khiển hệ thống. Các tổ chức bị ảnh hưởng không chỉ mất dữ liệu mà còn đối diện nguy cơ bị cài phần mềm gián điệp, tác động lâu dài tới hoạt động sản xuất - kinh doanh.

Để bảo vệ tài khoản trước VoidProxy và các công cụ phishing này, người dùng cần:

- Kiểm tra thường xuyên lịch sử đăng nhập và thiết bị đã kết nối để phát hiện bất thường.

- Không nhấp vào liên kết lạ trong email, nhất là từ miền giá rẻ hoặc không rõ nguồn gốc.

- Dùng mật khẩu mạnh, khác biệt cho từng tài khoản; bật 2FA nhưng cảnh giác với ứng dụng OAuth yêu cầu quyền truy cập.

- Cài đặt phần mềm bảo mật uy tín có khả năng phát hiện phishing và cảnh báo đăng nhập đáng ngờ.

Đối với các doanh nghiệp, tổ chức, vì tính chất quan trọng của các hoạt động kinh doanh, sản xuất và dịnh vụ, bộ phận quản trị CNTT cần:

- Kịp thời và nhanh chóng cập nhật các bản vá cho SharePoint server, Microsoft 365 và những nền tảng quan trọng khác.

- Kích hoạt hệ thống giám sát đăng nhập, thiết lập cảnh báo sớm khi phát hiện hành vi bất thường.

- Thường xuyên đào tạo, tập huấn nhân viên nhận diện email giả mạo và kỹ thuật lừa đảo xã hội (social engineering).

- Kết hợp nhiều lớp bảo vệ (firewall, DLP, SIEM) để tăng khả năng phát hiện và ứng phó sớm.

Sự xuất hiện của VoidProxy và hàng loạt công cụ phishing-as-a-service cho thấy hacker đang biến lừa đảo trực tuyến thành “dịch vụ thuê bao” chuyên nghiệp. Nguy cơ không chỉ dừng lại ở cá nhân mà còn lan sang hầu hết các lĩnh vực kinh doanh sản xuất và các cơ quan nhà nước.

Trong bối cảnh phức tạp của kỷ nguyên số, chủ động phòng ngừa là lựa chọn duy nhất: cập nhật phần mềm thường xuyên, cảnh giác với liên kết lạ, sử dụng công cụ bảo mật uy tín và duy trì thói quen an toàn số. Chỉ một sơ suất nhỏ, dữ liệu và tài nguyên số có thể bị đánh cắp, gây lên những hậu quả khó lường.

An Lâm