Microsoft 365: Bảo vệ môi trường của bạn khỏi các cuộc tấn công lừa đảo AiTM

Trong bối cảnh các mối đe dọa hiện nay, các cuộc tấn công lừa đảo qua trung gian (AiTM) nổi lên như một chiến thuật đặc biệt nguy hiểm. Các cuộc tấn công này vượt qua các biện pháp phòng thủ truyền thống bằng cách đặt một máy chủ proxy độc hại giữa người dùng và dịch vụ hợp pháp, thu thập thông tin đăng nhập và mã phiên trong thời gian thực. Khi kẻ tấn công có được mã phiên, chúng có thể vượt qua cả xác thực đa yếu tố (MFA), khiến các cuộc tấn công AiTM đặc biệt khó phòng chống.

Mặc dù không có cấu hình duy nhất nào có thể ngăn chặn hoàn toàn các cuộc tấn công lừa đảo AiTM trong môi trường Microsoft 365, nhưng chiến lược phòng thủ nhiều lớp có thể giảm thiểu đáng kể rủi ro. Điều này bao gồm sự kết hợp giữa giáo dục người dùng, các phương thức xác thực mạnh mẽ và các chính sách Truy cập có điều kiện chi tiết.

Cách thức của một cuộc tấn công lừa đảo AiTM

Cuộc tấn công thường diễn ra theo các bước sau:

  1. Người dùng nhận được một email lừa đảo, có thể trông rất giống với một tin nhắn hợp pháp.HÌNH ẢNH
  2. Người dùng nhấp vào liên kết:
    Nếu người dùng không nhận ra bất kỳ dấu hiệu đáng ngờ nào trong email và nhấp vào liên kết, họ sẽ bị chuyển hướng đến một trang web lừa đảo AiTM giả mạo trang đăng nhập thật.HÌNH ẢNH
  3. Thu thập thông tin đăng nhập:
    Nếu người dùng không nhận ra các dấu hiệu đáng ngờ trong URL và nhập thông tin đăng nhập của mình, kẻ tấn công có thể chặn và đánh cắp mã thông báo xác thực, từ đó truy cập vào phiên làm việc của người dùng, ngay cả khi đã bật xác thực đa yếu tố (MFA).HÌNH ẢNH

Điều này minh họa cách các cuộc tấn công lừa đảo AiTM vượt qua các biện pháp phòng thủ xác thực truyền thống bằng cách chiếm đoạt các phiên hoạt động.

Cách chống các cuộc tấn công lừa đảo AiTM

1. Đào tạo người dùng – Tuyến phòng thủ đầu tiên

Lỗi do con người vẫn là một trong những nguyên nhân hàng đầu dẫn đến các cuộc tấn công lừa đảo thành công. Không có biện pháp kiểm soát kỹ thuật nào có thể bù đắp hoàn toàn cho người dùng thiếu kinh nghiệm hoặc không nhận thức được vấn đề.

Việc huấn luyện mô phỏng tấn công bằng Microsoft Defender cho Office 365 hoặc các nền tảng khác, chẳng hạn như Knowbe4, cho phép các tổ chức thực hiện các mô phỏng tấn công lừa đảo trong thực tế và hướng dẫn người dùng cách phát hiện các liên kết đáng ngờ, trang đăng nhập giả mạo hoặc lời nhắc xác thực đa yếu tố (MFA) bất ngờ.

2. Xác thực đa yếu tố (MFA) chống lừa đảo trực tuyến

Không phải tất cả các phương pháp xác thực đa yếu tố (MFA) đều giống nhau. Hầu hết các cuộc tấn công AiTM (AiT) hoạt động hiệu quả vì chúng có thể chặn các luồng MFA tiêu chuẩn như SMS hoặc mã xác thực trên ứng dụng. Để phòng thủ hiệu quả, các tổ chức nên thực thi các phương pháp MFA chống lừa đảo như: khóa bảo mật FIDO2, các mã thông báo dựa trên phần cứng này vốn có khả năng chống lại các cuộc tấn công AiTM. Điều này là do xác thực FIDO2 được liên kết với nguồn gốc cụ thể (tức là trang web hoặc ứng dụng hợp pháp). Một lần đăng nhập trên một nền tảng khác, chẳng hạn như trang web lừa đảo, sẽ thất bại nếu nguồn gốc không khớp. Điều này giúp ngăn chặn hiệu quả việc sử dụng lại thông tin đăng nhập trên các nền tảng độc hại hoặc trái phép.

Enable passkeys for your organization - Microsoft Entra ID | Microsoft Learn

3. Tăng cường chính sách truy cập có điều kiện

Áp dụng xác thực đa yếu tố chống lừa đảo (Phishing-Resistant MFA)

Hãy bắt đầu bằng việc bảo mật các tài khoản quản trị trước tiên. Các tài khoản có quyền quản trị cao thường là mục tiêu của kẻ tấn công. Áp dụng xác thực đa yếu tố (MFA) chống lừa đảo trên các tài khoản này là một cách đơn giản và hiệu quả để giảm đáng kể nguy cơ bị xâm phạm.

Can MFA be phished? How to avoid getting scammed | IS Decisions

Lưu ý: Khi sử dụng các vai trò đủ điều kiện trong PIM (Quản lý danh tính đặc quyền), bạn nên bao gồm một nhóm ID Entra, tốt nhất là một nhóm động dựa trên quy ước đặt tên quản trị viên của bạn (ví dụ: ‘adm’), thay vì bao gồm trực tiếp các vai trò vào Chính sách truy cập có điều kiện. Cũng nên bao gồm một nhóm ID Entra với các tài khoản tiêu chuẩn (không có đặc quyền) của quản trị viên, vì kẻ tấn công thường có thể tìm thấy thông tin trực tuyến (ví dụ: LinkedIn) và nhắm mục tiêu vào họ bằng các email lừa đảo gửi đến tài khoản người dùng thông thường của họ.

Yêu cầu các thiết bị tuân thủ

Để đảm bảo chỉ những thiết bị đáng tin cậy và tuân thủ mới có thể truy cập vào tài nguyên của công ty, bạn nên bắt đầu bằng cách áp dụng các hạn chế này cho các tài khoản quản trị. Như đã đề cập trước đó trong bài viết này, các tài khoản có quyền quản trị là mục tiêu chính của kẻ tấn công. Việc yêu cầu những người dùng này chỉ được sử dụng trên các thiết bị tuân thủ hoặc thiết bị được kết nối lai Microsoft Entra giúp giảm nguy cơ bị xâm phạm và hạn chế khả năng bị lộ thông tin.

Lý do hữu ích: Chặn kẻ tấn công sử dụng thông tin đăng nhập bị đánh cắp thông qua hình thức lừa đảo AiTM, ngay cả khi chúng vượt qua xác thực đa yếu tố (MFA), vì thiết bị của chúng sẽ không đáp ứng các yêu cầu tuân thủ.

Mẹo: Khi sử dụng các vai trò đủ điều kiện trong PIM (Quản lý danh tính đặc quyền), bạn nên bao gồm một nhóm ID Entra, tốt nhất là một nhóm động dựa trên quy ước đặt tên quản trị viên của bạn (ví dụ: ‘adm’), thay vì bao gồm trực tiếp các vai trò vào Chính sách truy cập có điều kiện. Cũng nên bao gồm một nhóm ID Entra với các tài khoản tiêu chuẩn (không có đặc quyền) của quản trị viên, vì kẻ tấn công thường có thể tìm thấy thông tin trực tuyến (ví dụ: LinkedIn) và nhắm mục tiêu vào họ bằng các email lừa đảo gửi đến tài khoản người dùng thông thường của họ.

Device Compliance and Conditional Access in Microsoft Intune

Hạn chế quyền truy cập theo vị trí mạng

Triển khai các chính sách truy cập có điều kiện dựa trên vị trí để hạn chế quyền truy cập vào các quốc gia cụ thể hoặc các dải địa chỉ IP đáng tin cậy.

  • Ví dụ: Chỉ cho phép đăng nhập từ các quốc gia mà tổ chức của bạn đang hoạt động.

Lý do hữu ích: Nhiều cuộc tấn công AiTM bắt nguồn từ các địa chỉ IP nước ngoài. Việc hạn chế đăng nhập chỉ từ các khu vực địa lý đã biết có thể ngay lập tức chặn các nỗ lực này.

Kích hoạt các chính sách rủi ro

Cho phép bạn thiết lập các phản hồi tự động, chẳng hạn như bắt buộc xác thực đa yếu tố (MFA), chặn truy cập hoặc yêu cầu đặt lại mật khẩu khi đạt đến một số ngưỡng rủi ro nhất định.

  • Chính sách rủi ro người dùng: Tự động phản hồi khi tài khoản người dùng bị xâm phạm.
  • Chính sách rủi ro đăng nhập: Yêu cầu xác thực đa yếu tố (MFA) hoặc chặn truy cập khi rủi ro cao.

Risk-based Conditional Access Policies in Microsoft Entra ID - AdminDroid Blog

Yêu cầu xác thực lại và vô hiệu hóa tính năng lưu trạng thái trình duyệt.

Bảo vệ quyền truy cập của người dùng trên các thiết bị không được quản lý bằng cách cấu hình phiên trình duyệt tự động đăng xuất khi trình duyệt đóng và đặt tần suất đăng nhập lại là 1 giờ. Điều này giảm nguy cơ truy cập trái phép bằng cách đảm bảo người dùng phải xác thực lại thường xuyên và dữ liệu phiên không được lưu giữ.

Vì sao hữu ích:

  • Tần suất đăng nhập: Theo mặc định, người dùng Microsoft Entra ID có thể duy trì trạng thái đăng nhập vào các ứng dụng như Microsoft 365 trong tối đa 90 ngày mà không cần xác thực lại. Việc thiết lập thời gian chờ cho xác thực đa yếu tố (MFA) giúp đảm bảo các phiên đăng nhập không được duy trì vô thời hạn, tăng cường bảo mật bằng cách yêu cầu người dùng xác thực lại định kỳ.
  • Phiên duyệt web liên tục – Không bao giờ liên tục: Khái niệm về phiên duyệt web không liên tục được thiết kế để ngăn người dùng vẫn đăng nhập sau khi đóng trình duyệt. Vô hiệu hóa phiên duyệt web liên tục giúp bảo vệ chống lại các cuộc tấn công tự động bằng cách ngăn chặn việc tạo và lưu trữ cookie phiên, không để lại gì cho kẻ tấn công đánh cắp. Mặc dù điều này không ngăn chặn các cuộc tấn công AiTM (AiT-Tax), vì AiTM nhắm mục tiêu vào các phiên đang hoạt động chứ không phải dữ liệu phiên được lưu trữ, nhưng các phiên không liên tục vẫn góp phần vào lớp phòng thủ nhiều lớp. Chúng giúp hạn chế thời gian kẻ tấn công có thể sử dụng mã thông báo phiên bị đánh cắp, buộc phải xác thực lại thường xuyên hơn.

Yêu cầu bảo vệ bằng mã thông báo cho các phiên đăng nhập.

Microsoft đang triển khai tính năng bảo vệ mã thông báo để chống lại hành vi đánh cắp mã thông báo. Hiện tại, tính năng này được hỗ trợ cho SharePoint Online và Exchange Online .

Cơ chế bảo vệ bằng mã thông báo hoạt động như thế nào:

  • Bảo vệ bằng mã thông báo liên kết mã thông báo truy cập với thiết bị đã cấp phát chúng.
  • Nếu mã thông báo bị đánh cắp và sử dụng ở nơi khác, quá trình xác thực sẽ thất bại ngay cả khi phiên đã được xác thực thành công.

Quan trọng: Các bộ công cụ lừa đảo AiTM vẫn có thể đánh cắp mã token và bắt đầu phiên đăng nhập thành công. Tuy nhiên, với tính năng bảo vệ token, quá trình xác thực sẽ thất bại trừ khi token được sử dụng từ thiết bị gốc. Điều này làm cho việc đánh cắp token trở nên ít giá trị hơn đối với kẻ tấn công và tạo thêm một rào cản mà chúng cần vượt qua.

4. Tăng cường bảo mật cho Microsoft Defender

Chặn các danh mục web nguy hiểm bằng Microsoft Defender for Endpoint

Các bộ công cụ lừa đảo AiTM thường sử dụng các tên miền mới đăng ký và các tên miền tạm thời để lưu trữ các trang web lừa đảo giả mạo. Những tên miền này thường được tạo ra chỉ vài giờ trước khi tấn công để tránh bị phát hiện bởi các công cụ đánh giá uy tín tên miền truyền thống.

Để chủ động chặn truy cập vào các trang web như vậy, bạn có thể cấu hình tính năng lọc nội dung web trong Microsoft Defender for Endpoint:

  • Trong cổng thông tin Microsoft 365 Defender, hãy vào Cài đặt > Điểm cuối > Tính năng nâng cao > Bật: Lọc nội dung web.
  • Sau khi kích hoạt, hãy điều hướng đến: Điểm cuối > Lọc nội dung web
  • Hãy tạo chính sách chặn các danh mục sau:
    • Tên miền mới đăng ký
    • Tên miền đã được đỗ

Các nhóm tội phạm mạng thường lợi dụng những danh mục này để vượt qua các bộ lọc email và lừa người dùng nhập thông tin đăng nhập của họ.

Overview of Microsoft Defender for Endpoint Plan 1 - Microsoft Defender for Endpoint | Microsoft Learn

Lý do hữu ích: Chặn truy cập vào các tên miền này ngăn người dùng truy cập vào trang lừa đảo, ngay cả khi họ nhấp vào liên kết trong một email trông có vẻ hợp pháp.

Cấu hình tính năng Tự động Ngăn chặn Tấn công trong Microsoft Defender XDR

Kẻ tấn công hành động rất nhanh, đôi khi chỉ trong vài phút sau khi giành được quyền truy cập. Đó là lý do tại sao việc phản ứng nhanh chóng là vô cùng quan trọng.

Microsoft Defender XDR hiện cung cấp tính năng tự động ngăn chặn tấn công, có thể hành động ngay lập tức khi phát hiện các tín hiệu xâm phạm có độ tin cậy cao. Khả năng này hoạt động trên Defender for Endpoint, Defender for Identity, Defender for Office 365 và Defender for Cloud Apps.

Chức năng:

  • Tự động cách ly các tài khoản người dùng hoặc thiết bị bị xâm phạm.
  • Làm gián đoạn sự di chuyển ngang và hoạt động chỉ huy-kiểm soát.
  • Sử dụng trí tuệ nhân tạo để đối chiếu dữ liệu đo từ xa giữa các khối lượng công việc và xác định các cuộc tấn công đang diễn ra.

AMA (Ask Me Anything) - Automatic Attack Disruption

Ngay cả khi tấn công lừa đảo AiTM thành công và kẻ tấn công giành được quyền truy cập, tính năng tự động ngăn chặn tấn công có thể kiềm chế mối đe dọa trước khi gây ra thiệt hại đáng kể.

Tóm lại

Các cuộc tấn công lừa đảo AiTM rất khó ngăn chặn chỉ bằng một biện pháp kiểm soát duy nhất. Bằng cách kết hợp xác thực đa yếu tố (MFA) chống lừa đảo, chính sách truy cập có điều kiện, kiểm soát truy cập dựa trên rủi ro, bảo vệ mã thông báo, lọc web, đào tạo người dùng và khả năng tự động ngăn chặn tấn công trong Microsoft Defender XDR, bạn sẽ xây dựng được một hệ thống phòng thủ mạnh mẽ, nhiều lớp. Mục tiêu không chỉ là ngăn chặn các cuộc tấn công, mà còn là phát hiện, ngăn chặn và phản hồi trước khi thiệt hại xảy ra. Phòng thủ nhiều lớp là chiến lược tốt nhất của bạn trong bối cảnh mối đe dọa ngày càng gia tăng. Nếu gặp bất kỳ khó khăn nào trong quá trình thực hiện, bạn có thể liên hệ banquyenphanmem.com hoặc gọi số 028.22443013 để được trợ giúp. Với các hướng dẫn trên, chúng tôi hy vọng bạn đã giải quyết được nhu cầu của mình một cách nhanh chóng và hiệu quả.

Bài viết liên quan

zalo-icon
phone-icon