8,3 tỷ mối đe dọa lừa đảo qua email trong 90 ngày: Tại sao Email Security cả phát hiện lẫn phòng ngừa

• Dịch vụ Microsoft Threat Intelligence 8,3 tỷ mối đe dọa lừa đảo qua email trong quý 1 năm 2026, trong đó các vụ lừa đảo sử dụng mã QR tăng 146% so với quý trước và các vụ lừa đảo yêu cầu xác thực CAPTCHA đã tăng gấp đôi vào tháng 3 so với tháng 2.
• Theo kết quả đánh giá hiệu năng do chính Microsoft thực hiện, Microsoft Defender loại bỏ được 70,8% email độc hại sau khi chúng đã được gửi đến và xuất hiện trong hộp thư đến.
• Đến tháng 12 năm 2025, các vụ lừa đảo do trí tuệ nhân tạo (AI) tạo ra đã chiếm 56% tổng số vụ lừa đảo, tăng gấp 14 lần so với năm trước.
• Một phương pháp tiếp cận đa tầng kết hợp giữa phát hiện và phòng ngừa, được dẫn dắt bởi Công nghệ Deep CDR™, giúp vô hiệu hóa các mối đe dọa dựa trên tệp trước khi chúng tiếp cận người dùng, bất kể mối đe dọa đó đã được biết đến hay chưa.

Nếu bạn là người phụ trách an ninh email cho một tổ chức quy mô lớn, quý vừa qua có lẽ đã mang lại cảm giác quen thuộc. Một làn sóng các tệp đính kèm mã QR. Số lượng tệp HTML có hành vi bất thường tăng vọt. Một tệp PDF đáng ngờ lọt qua cổng bảo mật, rồi bị gỡ bỏ khỏi hộp thư đến vài giờ sau đó. Mọi cảnh báo đều được xử lý, mọi phiếu yêu cầu đều được đóng lại, nhưng câu hỏi day dứt vẫn luôn hiện hữu: chúng ta thực sự phát hiện kịp thời được bao nhiêu phần trong số đó?

Báo cáo về tình hình các mối đe dọa qua email trong quý 1 năm 2026 của Microsoft đã đưa ra những con số cụ thể để làm sáng tỏ vấn đề này. Trong vòng ba tháng, Microsoft Threat Intelligence 8,3 tỷ mối đe dọa lừa đảo qua email, ghi nhận số vụ lừa đảo qua mã QR tăng 146% và chứng kiến số vụ lừa đảo sử dụng CAPTCHA tăng gấp đôi chỉ riêng trong tháng 3.

Điểm mấu chốt không nằm ở quy mô. Mà là tốc độ thay đổi, và những gì nó bộc lộ về những hạn chế của các biện pháp kiểm soát chỉ tập trung vào việc phát hiện.

Số vụ lừa đảo qua CAPTCHA đã tăng hơn gấp đôi trong tháng 3 (+125%), đạt mức cao nhất trong hơn một năm qua.

Microsoft nhận thấy rằng các tác nhân đe dọa đang tích cực thay đổi phương thức phát tán hàng tháng, nhằm thử nghiệm xem định dạng nào có khả năng vượt qua các hệ thống phòng thủ email hiệu quả nhất. Hành vi này mang tính chỉ báo rõ ràng hơn so với chỉ riêng số lượng.

• Trong tháng 1, tệp đính kèm HTML là phương thức gửi phổ biến nhất (37%); tỷ lệ này giảm xuống còn 34% vào tháng 2, sau đó tăng gấp đôi vào tháng 3
• Số lượng tệp SVG đã tăng vọt 49% vào tháng 2, sau đó giảm 57% vào tháng 3
• Số lượng tệp đính kèm PDF chứa các cuộc tấn công lừa đảo có sử dụng CAPTCHA đã tăng hơn gấp bốn lần trong tháng 3 (+356%), vượt mức cao nhất trong năm tới 37%
• Số lượng tệp đính kèm định dạng DOC/DOCX đã tăng gần gấp năm lần (+373%) trong tháng 3, chiếm tới 15% tổng số vụ lừa đảo qua email có sử dụng CAPTCHA
• Các liên kết được nhúng trong email, từng chiếm hơn một nửa số vụ lừa đảo qua CAPTCHA, đã giảm xuống mức thấp nhất trong 8 tháng trước khi phục hồi một phần

Một biện pháp kiểm soát được thiết lập để phát hiện các gói dữ liệu HTML vào tháng 2 hầu như không cung cấp thông tin gì cho các chuyên gia bảo mật về khả năng liệu biện pháp này có thể phát hiện được làn sóng tấn công PDF vào tháng 3 hay không.

Hệ thống bảo mật email dựa trên phát hiện hoạt động dựa trên một câu hỏi: liệu đây có phải là mối đe dọa không?

Tuy nhiên, hiệu quả của phương pháp này phụ thuộc vào việc giải pháp đó đã từng gặp phải mối đe dọa đó trước đây (hoặc ít nhất là một mối đe dọa tương tự). Tuy nhiên, các lỗ hổng Zero-Day và các tải trọng được tăng cường bởi AI lại vượt trội hơn so với việc tra cứu chữ ký và các mô hình học máy đơn lẻ, từ đó lẩn tránh được sự phát hiện. Điều đáng chú ý là các cuộc tấn công lừa đảo do AI tạo ra đã tăng gấp 14 lần vào tháng 12 năm 2025, chiếm tới 56% tổng số nỗ lực lừa đảo vào tháng 12 năm 2025, theo Báo cáo Xu hướng Lừa đảo của Hoxhunt, bởi vì những mối đe dọa này khó phát hiện hơn.

Gánh nặng kiểm tra ngày càng gia tăng do việc lợi dụng các định dạng; những kẻ tấn công gửi nội dung độc hại qua các tệp HTML, PDF, SVG, DOC/DOCX và các liên kết URL. Mỗi định dạng đều có bề mặt nội dung động riêng mà các công cụ phát hiện phải học cách kiểm tra riêng biệt, khiến khả năng phát hiện càng bị hạn chế hơn.

Cuối cùng, theo kết quả đánh giá hiệu năng do chính Microsoft thực hiện, Microsoft Defender loại bỏ trung bình 70,8% email độc hại sau khi chúng được gửi đến. Các giải pháp bảo vệ đám mây tích hợp sẵn vẫn còn những lỗ hổng, dẫn đến rủi ro bị xâm nhập, ngay cả khi thời gian tồn tại của mối đe dọa chỉ trong chốc lát. Đến khi các biện pháp khắc phục được thực hiện, người dùng có thể đã mở, chuyển tiếp hoặc thực hiện hành động nào đó với tệp đính kèm độc hại.

Điều này không có nghĩa là việc phát hiện không còn quan trọng nữa. Hệ thống bảo mật email dựa trên phát hiện hoạt động rất hiệu quả trong việc chống lại các mối đe dọa đã biết. Tuy nhiên, chỉ riêng nó thôi thì không còn đủ để đối phó với các mô hình mối đe dọa mà Microsoft đã ghi nhận trong quý này.

Không có biện pháp bảo mật email nào có thể loại bỏ hoàn toàn mọi mối đe dọa, nhưng một phương án phòng thủ hiệu quả là đảm bảo phạm vi bảo vệ tối đa – điều này hiện nay đồng nghĩa với việc kết hợp giữa phát hiện và ngăn chặn. Nếu chiến lược bảo mật email của bạn vẫn chủ yếu dựa vào việc xác định các mối đe dọa trước khi chặn chúng, thì việc luân chuyển tải trọng mà Microsoft đã ghi nhận trong quý này sẽ cho thấy mức độ dễ bị tấn công của hệ thống bạn.

Bổ sung biện pháp phòng ngừa vào quy trình

Cách tiếp cận đa tầng đặt ra một câu hỏi khác song song với việc phát hiện: liệu tệp đính kèm này có còn chứa nội dung hoạt động hay không?

Công nghệ Deep CDR™ OPSWATkhông cố gắng xác định xem một tệp có chứa mã độc hay không. Xuất phát từ giả định rằng mọi tệp đều có thể chứa mã độc, công nghệ này sẽ phân tích cấu trúc tệp, loại bỏ các thành phần tiềm ẩn rủi ro và cung cấp một phiên bản an toàn. Người dùng sẽ nhận được một tài liệu hoạt động bình thường. Mối đe dọa, dù đã biết hay chưa biết, đều đã bị loại bỏ.

Khi số lượng tệp PDF chứa mã độc lừa đảo được che giấu bằng CAPTCHA tăng gấp bốn lần, môi trường được bảo vệ bởi công nghệ Deep CDR™ không cần phải nhận diện biến thể mới này. Nội dung hoạt động khiến cuộc tấn công thành công vẫn sẽ bị loại bỏ bất kể thế nào. Điều này cũng áp dụng cho các tệp đính kèm DOC/DOCX, SVG, HTML và ZIP được sử dụng làm vũ khí, cũng như các mã QR được nhúng trong tệp PDF – phương thức tấn công phát triển nhanh nhất trong quý 1 năm 2026, với tệp PDF chiếm 70% các trường hợp phân phối mã QR độc hại.

Công nghệ Deep CDR™ đã được SE Labs xác nhận là giải pháp CDR đầu tiên trên thế giới đạt điểm số 100% về khả năng bảo vệ và độ chính xác.

Khắc phục lỗ hổng zero-day với MetaDefender

Quá trình khử trùng sẽ vô hiệu hóa các nội dung hoạt động. Một số tệp đính kèm vẫn cần được kiểm tra hành vi sâu hơn, đặc biệt là các tải trọng lẩn tránh được thiết kế để trông vô hại khi phân tích tĩnh. MetaDefender Sandbox khả năng phòng ngừa sang phân tích động dựa trên mô phỏng, phơi bày hành vi độc hại trong các tệp đính kèm đáng ngờ và đưa ra một kết luận đáng tin cậy duy nhất để phân loại nhanh hơn. Với tỷ lệ phát hiện lỗ hổng zero-day lên tới 99,9%, Aether lấp đầy khoảng trống còn lại mà việc chỉ sử dụng khử trùng và quét đa lớp không thể giải quyết được.

MetaDefender ™ là giải pháp đa lớp OPSWAT nhằm đối phó với các mối đe dọa được mô tả trong dữ liệu quý 1 năm 2026 của Microsoft. Hai mô hình triển khai, cùng một nền tảng phát hiện và ngăn chặn tích hợp. là giải pháp đa lớp OPSWAT nhằm đối phó với các mối đe dọa được mô tả trong dữ liệu quý 1 năm 2026 của Microsoft. Hai mô hình triển khai, cùng một nền tảng phát hiện và ngăn chặn tích hợp.

MetaDefender Gateway Security™ (EGS) được triển khai dưới dạng phần mềm ở phía trước các máy chủ thư hiện có ở cấp độ SMTP/MX. Giải pháp này áp dụng Công nghệ Deep CDR™ trên hơn 200 loại tệp, MetaDefender Sandbox, Metascan quét đa lớp trên hơn 30 công cụ chống vi-rút để bảo vệ chống lại các mối đe dọa đã biết rộng nhất, phát hiện lừa đảo, Proactive DLP và Predictive Alin AI, một lớp AI trước khi thực thi giúp đánh dấu các tệp đính kèm do AI tạo ra và đa hình trong vài mili giây, với khả năng hoạt động ngoại tuyến cho các môi trường OT/ICS và môi trường cách ly mạng.

MetaDefender Cloud Security™ (CES) giúp tăng cường bảo mật cho các môi trường Microsoft 365, có thể triển khai trong vài phút mà không cần thay đổi bản ghi MX. Để đối phó với các xu hướng tải trọng dựa trên tệp mà Microsoft đã ghi nhận (việc biến HTML, PDF, DOC, ZIP, SVG thành vũ khí), CES áp dụng Công nghệ Deep CDR™, MetaDefender , Metascan™ Multiscanning tối đa 17 công cụ chống vi-rút và Trí tuệ nhân tạo Alin dự đoán để kiểm tra và làm sạch mọi tệp đính kèm trong các luồng thư đến và đi, bao gồm cả các tệp được mã hóa.

Nhờ cam kết không ngừng nghỉ trong việc đưa ra thị trường những giải pháp sáng tạo nhằm bảo vệ khách hàng trước các mối đe dọa hiện đại như các cuộc tấn công do trí tuệ nhân tạo (AI) tạo ra, OPSWAT bảo vệ hơn 2.000 tổ chức trên toàn thế giới.