FBI vừa phát đi cảnh báo khẩn về một chiến dịch lừa đảo mạng mới có tên Kali365, nhắm trực tiếp vào người dùng Microsoft 365 như Outlook, Teams và OneDrive. Đáng lo ngại hơn, hình thức tấn công này có thể vượt qua xác thực đa yếu tố (MFA) mà không cần đánh cắp mật khẩu, khiến nguy cơ mất dữ liệu và bị chiếm quyền tài khoản tăng mạnh.
FBI cảnh báo về làn sóng tấn công mới nhắm vào Microsoft 365
Cục Điều tra Liên bang Mỹ (FBI) đang phát đi cảnh báo tới người dùng và doanh nghiệp sử dụng các dịch vụ Microsoft 365 sau khi ghi nhận sự gia tăng nhanh chóng của một hình thức tấn công mạng mới mang tên Kali365.
Theo cảnh báo được Trung tâm Khiếu nại Tội phạm Internet (IC3) công bố ngày 21/5, các hacker đang tận dụng lỗ hổng liên quan đến mã xác thực OAuth để vượt qua hệ thống xác thực đa yếu tố (MFA) mà không cần biết mật khẩu người dùng.
Đây được xem là bước tiến nguy hiểm trong các chiến dịch phishing hiện đại, bởi nó không còn phụ thuộc vào việc đánh cắp password theo cách truyền thống.
Kali365 hoạt động như thế nào?
Khác với các cuộc tấn công phishing thông thường, Kali365 không cố đánh cắp mật khẩu trực tiếp mà nhắm vào thứ gọi là OAuth device code — một dạng mã xác minh cho phép ứng dụng truy cập dữ liệu mà không cần người dùng chia sẻ mật khẩu.
Quy trình tấn công thường diễn ra theo các bước sau:
Bước 1: Gửi email giả mạo: Kẻ tấn công sẽ gửi email phishing được thiết kế giống hệt các dịch vụ quen thuộc như: Microsoft Outlook, OneDrive, Teams, các nền tảng chia sẻ tài liệu đám mây. Email thường chứa thông báo đăng nhập, chia sẻ tài liệu hoặc yêu cầu xác minh tài khoản.
Bước 2: Dẫn người dùng đến trang xác minh thật của Microsoft: Điểm nguy hiểm nằm ở chỗ hacker không dùng website giả. Thay vào đó, email sẽ hướng người dùng tới một trang xác minh chính thống của Microsoft và yêu cầu nhập một đoạn mã thiết bị (device code). Do trang web là thật nên nhiều người rất khó nhận ra dấu hiệu bất thường.
Bước 3: Hacker chiếm quyền truy cập tài khoản: Ngay khi người dùng nhập mã, hacker sẽ thu thập token OAuth và sử dụng nó để truy cập vào tài khoản Microsoft 365. Lúc này, chúng có thể:
- Đọc email Outlook
- Truy cập Teams
- Xem dữ liệu trên OneDrive
- Theo dõi tài liệu nội bộ
- Đánh cắp dữ liệu doanh nghiệp
- Thực hiện hành vi tống tiền hoặc ransomware
Đáng lo ngại nhất là toàn bộ quá trình này có thể diễn ra mà không cần mật khẩu và cũng không yêu cầu xác thực MFA lần nữa.
Vì sao hình thức tấn công này đặc biệt nguy hiểm?
Theo FBI, Kali365 đang khiến các cuộc tấn công mạng trở nên “dễ tiếp cận” hơn với cả những hacker ít kinh nghiệm kỹ thuật. Nguyên nhân là bởi nhiều công cụ AI hiện nay có thể hỗ trợ:
- Tạo email phishing tự động
- Viết nội dung giả mạo chuyên nghiệp
- Theo dõi mục tiêu theo thời gian thực
- Tạo dashboard quản lý chiến dịch lừa đảo
- Tự động hóa quy trình đánh cắp token
Điều này đồng nghĩa với việc rào cản kỹ thuật trong giới tội phạm mạng đang giảm xuống rất nhanh nhờ AI. Trong vài năm gần đây, các chuyên gia an ninh mạng liên tục cảnh báo rằng trí tuệ nhân tạo không chỉ hỗ trợ doanh nghiệp mà còn đang bị lợi dụng để nâng cấp các hình thức tấn công mạng lên mức tinh vi hơn.
Outlook, Teams và OneDrive đang là mục tiêu hàng đầu
Microsoft 365 hiện là bộ công cụ văn phòng phổ biến nhất thế giới, đặc biệt trong môi trường doanh nghiệp. Điều đó khiến các nền tảng như: Outlook, Teams, OneDrive và SharePoint trở thành “mỏ vàng dữ liệu” đối với hacker.
Một tài khoản Microsoft 365 bị chiếm quyền có thể mở đường cho kẻ tấn công truy cập toàn bộ hệ thống doanh nghiệp, dữ liệu khách hàng, hợp đồng, thông tin tài chính và tài liệu nội bộ. Đây cũng là lý do FBI đánh giá Kali365 là một trong những chiến dịch phishing đáng lo ngại nhất hiện nay.
Cách tự bảo vệ trước hình thức lừa đảo Kali365
FBI khuyến nghị các tổ chức nên áp dụng chính sách Conditional Access để giảm nguy cơ bị tấn công. Ngoài ra, người dùng cá nhân cũng cần lưu ý các nguyên tắc bảo mật cơ bản sau:
- Không nhấp vào email hoặc tin nhắn lạ: Nếu nhận được email yêu cầu xác minh tài khoản hoặc nhập mã đăng nhập, hãy kiểm tra kỹ trước khi thao tác. Không nên tin tưởng hoàn toàn vào giao diện chuyên nghiệp hoặc logo Microsoft xuất hiện trong email.
- Kiểm tra kỹ địa chỉ email và nội dung: Hacker thường sử dụng: Địa chỉ gần giống thật, tên miền đánh lừa thị giác, lỗi chính tả nhỏ và ngôn từ tạo cảm giác khẩn cấp. Đây là các dấu hiệu phổ biến của phishing.
- Cẩn trọng với file đính kèm: Không mở file từ người lạ hoặc email bất thường, kể cả khi chúng trông có vẻ hợp pháp.
Theo dõi thiết bị đăng nhập bất thường Người dùng nên thường xuyên kiểm tra thiết bị đăng nhập tài khoản của mình. Nếu phát hiện dấu hiệu đáng ngờ, cần đổi mật khẩu và đăng xuất khỏi toàn bộ thiết bị ngay lập tức.
Sự xuất hiện của Kali365 cho thấy AI không chỉ thúc đẩy chuyển đổi số mà còn làm thay đổi hoàn toàn cách tội phạm mạng hoạt động. Trong bối cảnh các công cụ AI ngày càng phổ biến, những hình thức phishing truyền thống đang được nâng cấp thành các chiến dịch có mức độ thuyết phục và tự động hóa cao hơn rất nhiều.
Điều đó buộc cả doanh nghiệp lẫn người dùng cá nhân phải thay đổi tư duy bảo mật: chỉ sử dụng MFA là chưa đủ, mà cần xây dựng thói quen xác minh và cảnh giác trước mọi yêu cầu đăng nhập bất thường. Khi AI ngày càng phát triển, cuộc chiến giữa bảo mật và tội phạm mạng cũng sẽ trở nên khốc liệt hơn bao giờ hết.