Chiến dịch phishing mã thiết bị Microsoft sử dụng AI tấn công hàng trăm tổ chức mỗi ngày

Chiến dịch phishing mã thiết bị Microsoft: Hàng trăm tổ chức bị tấn công mỗi ngày bằng trí tuệ nhân tạo

Hàng trăm tổ chức trên toàn cầu đã trở thành nạn nhân của một chiến dịch phishing mã thiết bị Microsoft, sử dụng AI và tự động hóa để vượt qua xác thực đa yếu tố (MFA), xâm nhập hộp thư email doanh nghiệp và đánh cắp dữ liệu tài chính quan trọng.

Tấn công phishing mã thiết bị - Sự leo thang trong độ tinh vi của hacker

Microsoft đã ghi nhận từ ngày 15 tháng 3 năm 2026, mỗi ngày có từ 10 đến 15 chiến dịch phishing mã thiết bị khác nhau được triển khai quy mô lớn, nhắm vào hàng trăm tổ chức với các payload độc hại đa dạng nhằm tránh bị phát hiện dựa trên mẫu nhận dạng truyền thống. Phó Chủ tịch nghiên cứu bảo mật Microsoft, ông Tanmay Ganacharya, gọi đây là một bước leo thang đáng kể trong mức độ tinh vi của các nhóm tội phạm mạng.

Chiến dịch này không chỉ tập trung vào một ngành cụ thể mà có phạm vi rất rộng, tuy nhiên các cuộc tấn công hậu xâm nhập thường tập trung vào nhân sự lĩnh vực tài chính để đánh cắp email chứa thông tin quan trọng như hóa đơn và phiếu lương.

Cách thức hoạt động của kỹ thuật phishing mã thiết bị

Phương pháp tấn công giả mạo dựa trên quy trình xác thực mã thiết bị, vốn được dùng trên các thiết bị IoT hoặc thiết bị không hỗ trợ đăng nhập truyền thống. Người dùng được yêu cầu nhập mã thiết bị trên một trình duyệt khác để hoàn tất đăng nhập trong môi trường OAuth 2.0.

Điểm yếu là, phiên đăng nhập được thực hiện trên thiết bị tách biệt với phiên khởi tạo nên dễ bị lợi dụng để qua mặt MFA. Hacker gửi email phishing chứa mã thiết bị được tạo động trong thời gian thực nhằm đảm bảo mã có hiệu lực trong vòng 15 phút kể từ khi nạn nhân truy cập trang phishing cuối cùng.

Hơn nữa, email phishing còn được AI tùy biến cực kỳ cá nhân hóa, gửi tới các nhân viên với ngụy trang là các đề nghị hợp đồng, hóa đơn hoặc quy trình sản xuất. Cuối cùng, các liên kết cấp cao được ẩn thông qua chuỗi chuyển hướng trên các nền tảng đám mây uy tín như Cloudflare Workers, AWS Lambda giúp tránh bị chặn bởi các bộ lọc tự động.

Sau khi nạn nhân nhập mã trên trang đăng nhập Microsoft thật, token truy cập sẽ được gửi vào tay kẻ tấn công, cho phép chúng đăng nhập vào tài khoản nạn nhân mà không cần biết thông tin mật khẩu hoặc qua bước MFA.

Hậu quả và cách phòng tránh

Sau khi chiếm được tài khoản, hacker có thể đăng ký thiết bị mới để giữ quyền truy cập lâu dài, hoặc lập luật chuyển tiếp email tự động nhằm thu thập thông tin nhạy cảm như bảng lương và hóa đơn. Điều này gây thiệt hại lớn cho các tổ chức về mặt tài chính và uy tín.

Microsoft khuyến cáo chỉ nên kích hoạt xác thực mã thiết bị khi thực sự cần thiết và nên chặn ở những môi trường không bắt buộc. Việc đào tạo người dùng phát hiện các email giả mạo có nhãn [EXTERNAL] và cảnh giác với các liên kết không rõ nguồn gốc là vô cùng quan trọng nhằm giảm thiểu rủi ro.

"Tương tác Microsoft Azure yêu cầu người dùng xác nhận đăng nhập ứng dụng kỳ vọng, điều này thường bị thiếu trong các trang đăng nhập phishing," đại diện Microsoft chia sẻ.

Lời kết

Chiến dịch phishing sử dụng AI và tự động hóa trong tấn công mã thiết bị đang đặt ra thách thức lớn đối với hệ sinh thái an ninh mạng toàn cầu, trong đó có Việt Nam. Các tổ chức cần nâng cao cảnh giác, cập nhật chính sách bảo mật cũng như đào tạo nhân viên để hạn chế tối đa nguy cơ bị tấn công và mất mát dữ liệu quan trọng.