 |
| Ảnh minh họa. (The Cybersecurity Hub) |
Hacker bí mật chiếm quyền tài khoản, chuyển đổi thông tin trả lương
Theo báo cáo của Microsoft Threat Intelligence, nhóm tấn công được theo dõi với mã định danh Storm-2657 đã gửi hàng loạt email lừa đảo (phishing) nhằm đánh cắp thông tin đăng nhập và mã xác thực đa yếu tố (MFA) của nhân viên tại nhiều tổ chức, chủ yếu trong lĩnh vực giáo dục ở Mỹ.
Các email này thường giả mạo thông báo nội bộ, chẳng hạn về tình huống y tế hoặc vi phạm quy tắc giảng dạy, buộc người nhận nhấp vào liên kết giả mạo. Khi người dùng nhập thông tin, hacker sẽ thu được cả mật khẩu lẫn mã MFA thông qua kỹ thuật AiTM “adversary-in-the-middle” (giả mạo trang đăng nhập để chặn mã xác thực), cho phép tội phạm chặn dữ liệu xác thực ngay giữa quá trình đăng nhập.
Sau khi chiếm được tài khoản email, kẻ tấn công có thể truy cập vào các nền tảng nhân sự như Workday, nơi lưu trữ dữ liệu thanh toán và bảng lương. Tại đây, tin tặc tạo quy tắc lọc thư tự động để xóa hoặc ẩn mọi email cảnh báo từ hệ thống HR, khiến nạn nhân và bộ phận kế toán không phát hiện ra sự thay đổi.
Đặc biệt, để duy trì quyền truy cập lâu dài, hacker thay đổi thông tin xác thực MFA trên tài khoản như thêm một số điện thoại mới hoặc đăng ký thiết bị MFA do đối tượng kiểm soát. Thiết bị MFA ở đây có thể là số điện thoại nhận mã SMS, ứng dụng tạo mã xác thực, hoặc khóa bảo mật vật lý. Khi thông tin MFA bị chuyển sang thiết bị của hacker, mọi mã xác thực sẽ đến tay tội phạm thay vì người dùng, khiến tin tặc dễ dàng duy trì quyền truy cập, tiếp tục chỉnh sửa thông tin lương, rồi dùng chính tài khoản bị chiếm gửi thêm email lừa đảo nội bộ để mở rộng tấn công.
Theo thống kê của Microsoft, chỉ trong giai đoạn đầu năm 2025, ít nhất 11 tài khoản tại ba trường đại học đã bị xâm nhập, và từ đó, gần 6.000 tài khoản ở 25 trường khác trở thành mục tiêu tiếp theo. Dù chiến dịch tập trung vào các cơ sở giáo dục, Microsoft cảnh báo rằng mọi tổ chức có hệ thống trả lương qua nền tảng đám mây đều có thể trở thành nạn nhân.
Ngăn chặn thủ đoạn “cướp tiền lương”: chú trọng MFA và cảnh báo nội bộ
Theo Microsoft, điểm yếu phổ biến nhất khiến các tổ chức trở thành mục tiêu là sử dụng xác thực yếu, chủ yếu dựa vào mã SMS hoặc email thông thường – những phương thức mà hacker có thể đánh cắp thông qua tấn công trung gian.
Để phòng tránh, hãng khuyến nghị các tổ chức chuyển sang MFA chống phishing, chẳng hạn khóa bảo mật FIDO2, passkey hoặc Windows Hello, giúp loại bỏ nguy cơ bị đánh cắp mã xác thực. Bên cạnh đó, mọi thay đổi về thông tin trả lương, số điện thoại hoặc thiết bị MFA cần được hệ thống cảnh báo ngay cho bộ phận quản lý, và chỉ được xác nhận lại qua kênh độc lập như cuộc gọi trực tiếp.
Một biện pháp quan trọng khác là theo dõi các quy tắc lọc thư bất thường - ví dụ khi có quy tắc mới tự động xóa email từ hệ thống nhân sự hoặc kế toán, đó thường là dấu hiệu xâm nhập. Đồng thời, doanh nghiệp nên định kỳ đào tạo nhân viên nhận biết email giả mạo, đặc biệt là các thư mượn danh hành chính nội bộ, nhằm giảm thiểu rủi ro nhấp vào liên kết độc hại.
Trong trường hợp phát hiện bị tấn công, Microsoft khuyến nghị đặt lại mật khẩu, xóa thiết bị MFA lạ, phục hồi thông tin ngân hàng bị thay đổi và rà soát toàn bộ quy tắc hộp thư. Việc xử lý nhanh giúp ngăn chặn hacker tiếp tục khai thác hoặc mở rộng sang các tài khoản khác trong cùng tổ chức.
Chiến dịch “Payroll Pirates” là minh chứng cho thấy, tin tặc đã không chỉ đánh cắp dữ liệu, mà chuyển hướng chiếm đoạt tài sản tài chính thực tế. Trong bối cảnh nhiều doanh nghiệp và tổ chức giáo dục sử dụng nền tảng HR trên đám mây, việc bảo vệ tài khoản không còn là nhiệm vụ của riêng bộ phận kỹ thuật, mà là trách nhiệm của toàn hệ thống - từ quản lý đến mỗi cá nhân trong tổ chức, doanh nghiệp.
An Lâm (Theo The Hacker News, Microsoft)
Bình luận