Vào năm 2025, tội phạm mạng không chỉ vượt qua các biện pháp phòng thủ truyền thống mà còn biến chúng thành vũ khí.
Một làn sóng tấn công lừa đảo mới đang lợi dụng các dịch vụ đáng tin cậy như Google để lọt qua cả những hộp thư đến có mức độ bảo mật cao nhất. Những tin nhắn này thường vượt qua các kiểm tra SPF, DKIM và DMARC. Chúng đến từ các miền hợp pháp. Chúng có dấu kiểm màu xanh lá cây đáng tin cậy trong Google Workspace. Tuy nhiên—chúng là độc hại.
Vấn đề là gì? Xác thực email không kiểm tra hành vi.
| Lớp bảo mật | Loại | Mục đích | Những gì nó bảo vệ |
|---|---|---|---|
| SPF (Khung chính sách người gửi) | Xác thực | Xác thực IP máy chủ gửi | Ngăn chặn việc giả mạo máy chủ gửi |
| DKIM (Thư được xác định bằng khóa tên miền) | Xác thực | Đảm bảo tính toàn vẹn của tin nhắn | Bảo vệ tin nhắn khỏi bị giả mạo |
| DMARC (Thực thi chính sách) | Xác thực | Căn chỉnh SPF/DKIM với người gửi có thể nhìn thấy | Ngăn chặn việc sử dụng trái phép From: tên miền |
| Bảo vệ chống giả mạo thương hiệu | Không tin cậy/Nội dung tin cậy | Phát hiện hành vi mạo danh thương hiệu, không chỉ tên miền | Ngăn chặn lừa đảo trực quan bằng thiết kế lừa đảo |
| Phân tích URL & Trang | Không tin tưởng/Hành vi | Phân tích các liên kết nhúng và trang đích | Phát hiện lừa đảo và bẫy thông tin xác thực |
| Sandbox & Mô phỏng hành vi ( MetaDefender Sandbox ) | Không tin tưởng/Hành vi | Quan sát hành vi động của các liên kết, tệp và biểu mẫu | Phát hiện mục đích, phần mềm độc hại, IOC — ngay cả trong các miền đáng tin cậy |
Để theo kịp, các nhóm bảo mật doanh nghiệp cần nhiều hơn là các tín hiệu dựa trên sự tin cậy. Họ cần phát hiện dựa trên hành vi. Và đó chính là lúc OPSWAT MetaDefender Sandbox xuất hiện.
Đã ký, Đã niêm phong và Đã xâm phạm: Lỗ hổng phát lại DKIM
Một chiến thuật mới nổi là tấn công phát lại DKIM—khi kẻ tấn công sử dụng lại tiêu đề email đã ký hợp lệ nhưng thêm nội dung độc hại ngoài phần đã ký.
Sau đây là cách thức hoạt động:
- DKIM sử dụng chữ ký để xác minh rằng một phần của tin nhắn không bị thay đổi.
- Nhưng nếu sử dụng thẻ l= (chiều dài), chỉ một phần của tin nhắn được ký.
- Kẻ tấn công có thể chèn nội dung độc hại sau phần đã ký đó mà không làm ảnh hưởng đến kiểm tra DKIM.
- DMARC được chấp nhận vì nó phụ thuộc vào SPF hoặc DKIM để xác thực nguồn.
Kết quả là gì? Một tin nhắn được xác thực hoàn hảo nhưng lại chứa nội dung lừa đảo.
Lạm dụng lừa đảo OAuth: Đánh cắp lòng tin từ bên trong Google Alerts
Một xu hướng đáng lo ngại khác là việc lạm dụng cơ sở hạ tầng OAuth của Google.
Những kẻ tấn công là:
- Tạo các ứng dụng OAuth giả mạo có tên như “Bản cập nhật bảo mật của Google” hoặc “Yêu cầu xem xét tài khoản”
- Gửi cảnh báo bảo mật được Google ký để thông báo cho người dùng về các ứng dụng này
- Nhúng các liên kết lừa đảo vào các cảnh báo đó—được hỗ trợ bởi các miền không trả lời hợp pháp của Google
Toàn bộ trò lừa đảo xuất hiện dưới dạng có thương hiệu Google, sử dụng cảnh báo theo luồng và danh tiếng tên miền để vô hiệu hóa người dùng. Nó không phải là trò giả mạo—nó được lưu trữ bởi Google.
Dấu kiểm màu xanh lá cây là không đủ
Đó là cảm giác an toàn sai lầm. Một tin nhắn vượt qua SPF, DKIM và DMARC vẫn có thể:
- Chứa các trang thu thập thông tin xác thực
- Sử dụng thủ thuật UI để ẩn các trường đăng nhập
- Khai thác khoảng trắng để trì hoãn các tải trọng độc hại
- Lưu trữ các trang đăng nhập Microsoft hoặc Google giả mạo trên cơ sở hạ tầng hợp pháp (ví dụ: sites.google.com)
Xác thực email chỉ xác thực nguồn gốc của tin nhắn chứ không phải nội dung tin nhắn đó.
MetaDefender Sandbox : Một lớp phòng thủ quan trọng cho hành vi email
MetaDefender Sandbox của OPSWAT bổ sung khả năng hiển thị quan trọng. Thay vì dựa vào chữ ký hoặc xác thực người gửi, sandbox mô phỏng hành vi email:
- Kiểm tra liên kết động – Theo dõi các liên kết nhúng trong môi trường an toàn để đánh giá hành vi của trang theo thời gian thực
- Phân tích giao diện người dùng và bố cục – Xác định màn hình đăng nhập giả, trường ẩn và bẫy thông tin xác thực
- Phát hiện luồng lừa đảo – Phát hiện các chuyển hướng, gửi biểu mẫu và các điểm cuối do kẻ tấn công kiểm soát
Bởi vì nó không tin tưởng email theo mặc định, MetaDefender Sandbox phát hiện những giải pháp dựa trên xác thực bỏ sót. Ngay cả email đã ký, đã xác thực và đã được "kiểm tra xanh" cũng có thể bị lợi dụng. MetaDefender bộc lộ ý định thực sự.
Những gì doanh nghiệp phải làm ngay bây giờ
Lừa đảo trực tuyến đang phát triển. Các biện pháp phòng thủ của bạn cũng phải như vậy. Sau đây là cách để vượt lên:
- Áp dụng Email Security Zero Trust – Đừng chỉ dựa vào tiêu đề và siêu dữ liệu. Kiểm tra nội dung và hành vi của email.
- Thêm Sandbox dựa trên hành vi – Nâng cao khả năng phát hiện của bạn bằng phân tích động cho các liên kết, biểu mẫu và tải trọng.
- Cảnh báo Secure và email hệ thống – OAuth và lạm dụng tên miền khiến ngay cả email cảnh báo cũng có thể trở thành mối đe dọa tiềm ẩn.
Kiểm tra những gì mà chỉ xác thực không thể nhìn thấy
Khám phá cách OPSWAT MetaDefender Sandbox phát hiện lừa đảo nâng cao—kể cả từ các nguồn "đáng tin cậy" như cảnh báo của Google. Hãy trao đổi với chuyên gia ngay hôm nay và khám phá cách bạn có thể đưa sandbox nâng cao của chúng tôi lên hàng đầu trong chiến lược bảo mật email của mình.
