Chuyển đến nội dung chính

Bussiness email compromise (BEC) & Adversary in the middle (AITM)

BEC và AiTM không chỉ đơn thuần là những cuộc tấn công email thông thường, mà chúng đang ngày càng tinh vi hơn trong việc qua mặt cả những biện pháp bảo mật tiên tiến. 

1. Business Email Compromise (BEC) – Khi email bị chiếm đoạt thành công cụ tấn công

BEC là gì?

BEC là một hình thức lừa đảo email trong đó kẻ tấn công chiếm quyền kiểm soát hộp thư doanh nghiệp và sử dụng nó để lừa đảo tài chính, thu thập dữ liệu, hoặc tiếp tục phát tán mã độc.

Phương thức tấn công BEC phổ biến

Phishing (Lừa đảo qua email): Kẻ tấn công gửi email giả mạo, dụ dỗ nạn nhân nhập thông tin đăng nhập vào trang web giả.

- Ứng dụng độc hại: Một số ứng dụng giả mạo yêu cầu quyền truy cập vào email và dữ liệu người dùng.

- Tên miền giả mạo: Tạo tên miền gần giống với công ty thật để gửi email lừa đảo.

- Dịch vụ Cybercrime-as-a-Service (CaaS): Kẻ tấn công thuê dịch vụ lừa đảo từ các tổ chức tội phạm mạng chuyên nghiệp.

BEC nguy hiểm thế nào?

Đọc email nhạy cảm: Kẻ tấn công có thể theo dõi cuộc trao đổi về hợp đồng, tài chính, hoặc các thông tin quan trọng khác.
Giả mạo danh tính: Chúng mạo danh giám đốc hoặc kế toán để gửi yêu cầu chuyển tiền giả mạo.
Lây lan tấn công: Một khi đã chiếm được quyền truy cập vào email doanh nghiệp, chúng có thể tiếp tục lừa đảo các đối tác khác.

Diagram depicting an attacker compromising Organization A via AiTM attack, which is used to launch a BEC campaign and further AiTM attacks against Organization B. Once compromised via AiTM attack, Organization B is used for a follow-on BEC campaign and further AiTM attacks against Organization C, and additional target organizations.

2. Adversary in the Middle (AiTM) – Khi MFA không còn là hàng rào bảo vệ

AiTM là gì?

AiTM là một kỹ thuật phishing nâng cao, giúp kẻ tấn công bypass (vượt qua) xác thực đa yếu tố (MFA) để chiếm đoạt tài khoản.

Cách thức hoạt động của AiTM

Bước 1: Kẻ tấn công tạo một trang web lừa đảo giống hệt trang đăng nhập thật (ví dụ: Microsoft 365, Google, OneDrive).
Bước 2: Nạn nhân nhập tài khoản và mật khẩu vào trang giả mạo.
Bước 3: Kẻ tấn công sử dụng thông tin này để đăng nhập vào trang web thật, nhận yêu cầu xác thực MFA.
Bước 4: Nạn nhân nhập mã MFA vào trang giả mạo, và kẻ tấn công dùng nó để hoàn tất phiên đăng nhập hợp lệ.

Bước 5: Kẻ tấn công chiếm đoạt quyền truy cập, có thể tự thiết lập phương thức MFA mới để duy trì quyền kiểm soát lâu dài.Flowchart describing how an adversary in the middle attack works. 

Diagram depicting an AiTM attack using indirect proxy, starting when a user visits the attack-created phishing web page and the attacker initiates authentication session with the target website. The user puts their credentials into the phishing site, which the attacker captures and provides to the target website. The target website returns an MFA screen while the attacker dynamically creates a forged MFA page to display to the user. The user inputs the additional authentication, and the attack provides that additional authentication to the target website. The website returns a session cookie and the phishing site redirects the user to another page.


 

3. Cách phòng tránh BEC và AiTM

Kích hoạt xác thực đa yếu tố (MFA) nâng cao – Sử dụng FIDO2, Windows Hello, hoặc khóa bảo mật vật lý thay vì mã OTP thông thường.
Tăng cường nhận thức người dùng – Huấn luyện nhân viên nhận diện các email và đường link lừa đảo.
Giám sát hoạt động đáng ngờ – Sử dụng Microsoft Defender, Sentinel hoặc các giải pháp SIEM để phát hiện truy cập bất thường.
Triển khai Conditional Access & Phishing-resistant MFA – Giới hạn quyền truy cập từ các thiết bị và mạng không đáng tin cậy.

 

 


Labels:

Nhận xét

Đăng nhận xét