Tấn công mạng tinh vi: DKIM Replay khai thác niềm tin

Các mối đe dọa mạng hiện nay đang phát triển vượt ra ngoài các hình thức tấn công lừa đảo (phishing) truyền thống, vốn dễ dàng bị nhận diện bởi người dùng và các hệ thống phòng vệ cơ bản. Giờ đây, các tác nhân độc hại đang triển khai những phương pháp tinh vi hơn, đặc biệt là thông qua việc khai thác cơ sở hạ tầng kỹ thuật số đáng tin cậy. Các cuộc tấn công mạng này nhắm vào các quy trình kinh doanh hợp pháp trong những nền tảng được sử dụng rộng rãi, biến các dịch vụ uy tín thành công cụ không chủ ý cho các hoạt động gian lận tài chính.

Sự dịch chuyển chiến lược trong các cuộc tấn công mạng

Sự thay đổi chiến lược cơ bản này khiến việc phát hiện các thông tin liên lạc độc hại trở nên cực kỳ khó khăn đối với các bộ lọc bảo mật truyền thống. Lý do là vì các email này không đến từ các địa chỉ giả mạo (spoofed addresses) mà có nguồn gốc từ các tên miền đã được xác minh và có độ uy tín cao. Điều này tạo ra một rủi ro đáng kể, khiến người dùng cuối dễ dàng bị lừa gạt bởi vẻ ngoài hợp pháp của thông điệp.

Trọng tâm của chiến lược tấn công mạng mới này là khả năng thao túng các tính năng lập hóa đơn tiêu chuẩn và quy trình xử lý tranh chấp của các dịch vụ trực tuyến phổ biến như PayPal và Apple. Thay vì tạo ra các email lừa đảo từ đầu, kẻ tấn công tận dụng chính hệ thống của các nhà cung cấp dịch vụ này.

Lợi dụng tính năng hóa đơn và tranh chấp của nền tảng

Quy trình tấn công bắt đầu khi các tác nhân độc hại tạo các tài khoản hợp pháp trên các nền tảng dịch vụ. Sau đó, chúng sử dụng các tài khoản này để tạo ra các hóa đơn, yêu cầu thanh toán hoặc thông báo tranh chấp giả mạo. Trong các trường thông tin do người dùng kiểm soát, chẳng hạn như mục “ghi chú người bán” (seller notes) trên hóa đơn, kẻ tấn công chèn các thông tin liên hệ gian lận, đặc biệt là các số điện thoại lừa đảo.

Điểm mấu chốt là những thông báo này được tạo và gửi trực tiếp bởi chính các nền tảng dịch vụ. Do đó, chúng mang theo các chữ ký số hợp lệ và các dấu hiệu xác thực đáng tin cậy. Điều này khiến cho các email hóa đơn hoặc thông báo tranh chấp độc hại xuất hiện hoàn toàn vô hại đối với các bộ lọc email tự động và các hệ thống phòng thủ.

Theo phân tích chuyên sâu từ các nhà nghiên cứu của Kaseya, chiến dịch phần mềm độc hại cụ thể này đã khai thác triệt để sự tin tưởng cố hữu mà người dùng đặt vào các thông báo thương hiệu quen thuộc. Sự tin tưởng này là yếu tố then chốt giúp các email vượt qua quá trình kiểm tra và nghi ngờ ban đầu của người nhận.

Phát hiện này làm nổi bật một lỗ hổng nghiêm trọng trong bảo mật mạng email hiện đại. Mặc dù các giao thức xác thực email có thể xác nhận danh tính của người gửi và đảm bảo email đến từ một tên miền hợp pháp, chúng lại không thể xác minh tính an toàn hoặc ý định của chính nội dung bên trong email.

Điều đáng chú ý là những kẻ tấn công không cần phải xâm phạm hay chiếm quyền kiểm soát các nhà cung cấp dịch vụ. Thay vào đó, chúng chỉ đơn giản là lạm dụng các tính năng được thiết kế cho người dùng hợp pháp để xây dựng một cái bẫy hoàn hảo, trông có vẻ xác thực và không đáng ngờ. Đây là một ví dụ điển hình của việc khai thác sự tin cậy trong các hệ thống.

Phân tích kỹ thuật chuyên sâu: Kỹ thuật tấn công DKIM Replay

Kỹ thuật này được biết đến chính thức là tấn công DKIM replay. Nó khai thác một cách tinh vi cơ chế hoạt động cụ thể của các giao thức xác thực email, đặc biệt là DomainKeys Identified Mail (DKIM), vốn được sử dụng để xác thực danh tính người gửi và tính toàn vẹn của thư.

Quy trình bắt đầu khi kẻ tấn công tạo ra một hóa đơn độc hại, trong đó đã chèn số điện thoại lừa đảo của chúng vào phần ghi chú. Kẻ tấn công sau đó gửi hóa đơn này đến chính địa chỉ email của mình trước tiên.

Vì email được gửi trực tiếp từ một nhà cung cấp dịch vụ hợp pháp như PayPal, nó sẽ nhận được một chữ ký DKIM hợp lệ. Chữ ký này được tạo ra bởi máy chủ gửi thư và gắn vào email, xác nhận rằng email thực sự được gửi từ tên miền được ủy quyền và nội dung của nó không bị thay đổi kể từ khi chữ ký được tạo.

Bước tiếp theo của cuộc tấn công mạng này là kẻ tấn công chuyển tiếp chính xác email đã có chữ ký DKIM hợp lệ đó đến hàng nghìn nạn nhân tiềm năng mà chúng đã thu thập được. Kẻ tấn công sử dụng danh sách email riêng của mình để thực hiện việc chuyển tiếp này.

Điểm mấu chốt làm cho kỹ thuật này hiệu quả là chữ ký mật mã gốc, vốn bao gồm toàn bộ phần thân và các tiêu đề quan trọng của thư, vẫn giữ nguyên giá trị ngay cả sau khi email được chuyển tiếp. Đây là một điểm yếu trong cách DKIM được triển khai hoặc xử lý bởi một số hệ thống.

Kết quả là, email độc hại này có thể vượt qua một cách dễ dàng các kiểm tra của Domain-based Message Authentication, Reporting, and Conformance (DMARC). DMARC thường dựa vào DKIM và SPF (Sender Policy Framework) để xác định tính hợp lệ của email. Khi DMARC không phát hiện bất kỳ sự bất thường nào về xác thực, email sẽ được gửi thẳng vào hộp thư đến của nạn nhân mà không kích hoạt bất kỳ cảnh báo bảo mật nào. Độc giả quan tâm đến chi tiết kỹ thuật của phương pháp này có thể tham khảo phân tích chuyên sâu về DKIM Replay của Kaseya.

Người nhận, khi nhìn thấy một email từ các địa chỉ có vẻ hợp lệ như “service@paypal[.]com”, sẽ không nghi ngờ gì về tính xác thực của nó. Tuy nhiên, nội dung bên trong email sẽ hướng dẫn họ gọi đến một số điện thoại hỗ trợ gian lận, được thiết lập để thu thập các dữ liệu tài chính nhạy cảm hoặc thông tin cá nhân khác. Đây là một ví dụ rõ ràng về mối đe dọa mạng dựa trên sự lừa dối tinh vi.

Biện pháp phòng chống và phát hiện mối đe dọa mạng

Để tăng cường khả năng phòng thủ chống lại những mối đe dọa mạng ngày càng phức tạp này, các đội ngũ an ninh thông tin cần triển khai và cấu hình các cổng email (email gateways) một cách chặt chẽ. Cụ thể, cần cấu hình để kiểm tra kỹ lưỡng trường tiêu đề “To” của email, nhằm phát hiện bất kỳ sự không khớp nào giữa người nhận trong phong bì (envelope recipient) – người nhận thực tế ở cấp độ giao thức – và tiêu đề hiển thị (visible header) mà người dùng nhìn thấy. Sự không khớp này có thể là dấu hiệu của một cuộc tấn công chuyển tiếp.

Ngoài các biện pháp kỹ thuật, các tổ chức phải đặc biệt chú trọng vào việc đào tạo và nâng cao nhận thức cho người dùng. Người dùng cần được hướng dẫn để luôn duy trì thái độ hoài nghi đối với bất kỳ hóa đơn, yêu cầu thanh toán, hoặc thông báo tranh chấp không được yêu cầu hoặc có vẻ bất thường.

Quy tắc vàng là luôn xác minh các yêu cầu bằng cách tự mình đăng nhập trực tiếp vào các cổng thông tin chính thức của dịch vụ (ví dụ: truy cập paypal.com và đăng nhập tài khoản của mình), thay vì gọi các số điện thoại được cung cấp trong ghi chú email hoặc nhấp vào các liên kết đáng ngờ. Việc này giúp tránh rơi vào bẫy của các cuộc tấn công mạng lừa đảo.

Việc kết hợp giữa cấu hình bảo mật email tiên tiến và chương trình đào tạo nhận thức bảo mật mạnh mẽ cho nhân viên là yếu tố then chốt để giảm thiểu đáng kể rủi ro từ loại tấn công mạng dựa trên sự tin cậy và lạm dụng giao thức như DKIM replay.