Phishing Protection trên Microsoft 365: Ngăn chặn các cuộc tấn công mạo danh

Tấn công mạo danh (impersonation phishing) đã trở thành một trong những rủi ro lớn nhất trong môi trường Microsoft 365.

Kẻ tấn công không còn dựa vào các liên kết giả mạo dễ nhận biết hoặc lỗi chính tả cẩu thả nữa. Thay vào đó, chúng sao chép các tên miền, logo và phong cách viết thật để tạo cảm giác đáng tin cậy và quen thuộc.

Nhiều cuộc tấn công này giả mạo là những người quan trọng, chẳng hạn như CEO, quản lý nhân sự, ngân hàng hoặc nhà cung cấp. Và vì chúng trông rất thật, chúng dễ dàng vượt qua các bộ lọc email cơ bản và thuyết phục mọi người hành động nhanh chóng.

Các nghiên cứu cho thấy khoảng 89% các cuộc tấn công lừa đảo hiện nay đều liên quan đến việc mạo danh. Với các công cụ trí tuệ nhân tạo, việc phân biệt những tin nhắn này với thông tin liên lạc thật thậm chí còn khó hơn.

Để ngăn chặn các cuộc tấn công mạo danh trong Microsoft 365, bước đầu tiên là thiết lập chính sách chống lừa đảo trong Microsoft Defender. Đây là nơi tính năng bảo vệ chống lừa đảo của Microsoft 365 được kích hoạt và là nơi bạn cấu hình cách thức quét, gắn cờ hoặc chặn email.

Trước khi tiếp tục, hãy kiểm tra gói dịch vụ của bạn.
Bảo vệ chống mạo danh và các chính sách chống lừa đảo nâng cao yêu cầu:

• Microsoft Defender dành cho Office 365 Gói 1 hoặc Gói 2
• Microsoft 365 E5 (bao gồm Gói 2 theo mặc định)

Nếu bạn chỉ có gói EOP (Exchange Online Protection) cơ bản, bạn vẫn sẽ nhận được một số biện pháp bảo vệ chống thư rác và giả mạo, nhưng không phải là bảo vệ chống lại hoàn toàn hành vi mạo danh. Trong trường hợp đó, bạn vẫn có thể sử dụng SPF, DKIM và DMARC để bảo vệ cơ bản.

Ví dụ về các tình huống mạo danh phổ biến

Truy cập cổng thông tin Microsoft Defender security.microsoft.com và đăng nhập bằng tài khoản quản trị viên.

Sau khi vào được cổng thông tin Microsoft Defender, hãy truy cập vào:

Email & Collaboration → Policies & Rules → Threat Policies → Anti-phishing trong phần Policies.

Bước 2: Tạo hoặc chỉnh sửa Anti-Phishing Policy

Trên trang Anti-Phishing policies bạn sẽ thấy danh sách các chính sách hiện có.

Bạn có thể:

• Chỉnh sửa chính sách mặc định, hoặc
• Nhấp vào Tạo để tạo một cái tùy chỉnh.

Việc tạo chính sách tùy chỉnh thường tốt hơn.
Nó cho phép bạn bảo vệ các nhóm email cụ thể, người dùng VIP và các tài khoản có rủi ro cao mà không ảnh hưởng đến tất cả mọi người cùng một lúc.
Trên trang Policy name, hãy cấu hình các cài đặt sau:

• Name: Nhập một tên duy nhất, mô tả rõ ràng cho hợp đồng bảo hiểm.
• Description: Nhập mô tả tùy chọn cho chính sách.

Khi bạn hoàn tất trang Tên chính sách, hãy chọn Next.

Tiếp theo, hãy mở trang Phishing threshold and protection.

Ngưỡng email lừa đảo: Sử dụng thanh trượt để chọn một trong các giá trị sau:

• 1 – Standard (giá trị mặc định)
• 2 – Aggressive
• 3 – More aggressive
• 4 – Most aggressive

Giả mạo người gửi – Impersonation: Các thiết lập này là điều kiện cho chính sách xác định người gửi cụ thể cần tìm (riêng lẻ hoặc theo tên miền) trong địa chỉ “Từ” của các tin nhắn đến.

1. Enable users to protect: Cài đặt này không được chọn theo mặc định. Để bật tính năng bảo vệ chống mạo danh người dùng, hãy chọn hộp kiểm, sau đó chọn  Manage () sender(s). Bạn sẽ xác định hành động đối với các phát hiện mạo danh người dùng ở trang tiếp theo.

Bạn xác định người gửi nội bộ và bên ngoài cần bảo vệ bằng cách kết hợp tên hiển thị và địa chỉ email của họ.

Chọn Add user. Trong cửa Add user hiện ra, hãy thực hiện các bước sau:

• • Internal users: Nhấp vào ô Add a valid email hoặc bắt đầu nhập địa chỉ email của người dùng. Chọn địa chỉ email trong  danh sách thả xuống Suggested contacts xuất hiện. Tên hiển thị của người dùng sẽ được thêm vào ô Add a name (bạn có thể thay đổi tên này). Khi bạn đã chọn xong người dùng, hãy chọn Add.

• External users: Nhập địa chỉ email đầy đủ của khách vào ô Add a valid email, sau đó chọn địa chỉ email trong  danh sách thả xuống Suggested contacts<sp
  • an dir=”auto”> xuất hiện ra. Địa chỉ email cũng được thêm vào ô

  Add a name (bạn có thể thay đổi thành tên hiển thị).

Lưu ý:

• Bạn có thể chỉ định tối đa 350 người dùng để bảo vệ khỏi hành vi mạo danh trong mỗi chính sách chống lừa đảo trực tuyến.

• Chức năng bảo vệ chống mạo danh người dùng sẽ không hoạt động nếu người gửi và người nhận đã từng liên lạc

với nhau qua email trước đó. Nếu người gửi và người nhận chưa từng liên lạc với nhau qua email, tin nhắn đó có thể bị nhận diện là một nỗ lực mạo danh.

2. Enable domains to protect: Cài đặt này không được chọn theo mặc định. Để bật tính năng bảo vệ chống mạo danh tên miền, hãy chọn hộp kiểm, sau đó cấu hình một hoặc cả hai cài đặt sau đây. Bạn sẽ xác định hành động đối với các phát hiện mạo danh tên miền ở trang tiếp theo.

• • Include the domains I own: Để bật cài đặt này, hãy chọn hộp kiểm. Để xem các tên miền bạn sở hữu, hãy chọn View my domains.

• • Include custom domains: Để bật cài đặt này, hãy chọn hộp kiểm, sau đó chọn liên kết Manage () custom domain(s).

Trong cửa sổ bật lên Manage custom domains for impersonation protection hiện ra, hãy thực hiện các bước sau:

Chọn Add domains

LƯU Ý: Số lượng tối đa các mục người gửi và tên miền đáng tin cậy là 1024.

• • Enable mailbox intelligence: Cài đặt này được chọn mặc định và chúng tôi khuyên bạn

nên giữ nguyên tùy chọn này. Để tắt tính năng thông minh hộp thư, hãy bỏ chọn hộp kiểm.
• Enable intelligence for impersonation protection: Cài đặt này chỉ khả dụng nếu tùy chọn được chọn
• Enable mailbox intelligence. Cài đặt này cho phép tính năng thông minh hộp thư thực hiện hành động đối với các tin nhắn được xác định là hành vi mạo danh. Bạn sẽ chỉ định hành động cần thực hiện đối với các phát hiện từ tính năng thông minh hộp thư ở trang tiếp theo.

Trên Actions, hãy cấu hình các thiết lập sau:

Honor DMARC record policy when the message is detected as spoof: Cài đặt này được chọn theo mặc định và cho phép bạn kiểm soát những gì xảy ra với các tin nhắn khi người gửi không vượt qua kiểm tra DMARC rõ ràng và chính sách DMARC được đặt thành

If the message is detected as spoof and DMARC Policy is set as p=quarantine: Hãy chọn một trong các hành động sau:

• Quarantine the message: Giá trị mặc định.
• Move message to the recipients’ Junk Email folders

If the message is detected as spoof and DMARC Policy is set as p=reject: Hãy chọn một trong các hành động sau:

• • Quarantine the message
  • Reject the message: Giá trị mặc định.

• • • • Move the message to the recipients’ Junk Email folders (mặc định)

Quarantine the message: Nếu bạn chọn hành động này, một  hộp thoại Apply quarantine policy sẽ hiện ra, nơi bạn chọn chính sách cách ly áp dụng cho các tin nhắn bị cách ly bởi hệ

• thống bảo vệ chống giả mạo.

Việc cách ly thư được khuyến nghị vì người dùng không bao giờ nhìn thấy tin nhắn đáng ngờ. Cho vào thư rác cho phép người dùng truy cập vào thư, điều này làm tăng nguy cơ. Nói một cách đơn giản, DMARC xác minh xem email tự xưng đến từ một tên miền có phải là thật hay không.

Nếu tin nhắn không vượt qua kiểm tra DMARC, hãy đặt nó thành:

• Quarantine đối với người có nguy cơ trung bình
• Reject do rủi ro cao

Điều này giúp ngăn chặn các tên miền giả mạo và email giả mạo đến hộp thư đến.

Cuối cùng, hãy bật Safety Tips & Indicators.</span>

Những cảnh báo này xuất hiện bên trong Outlook và thông báo cho người dùng khi có điều gì đó đáng ngờ, chẳng hạn như:

• Người gửi sử dụng các ký tự lạ
• Một cuộc tiếp xúc lần đầu tiên giả vờ là người quen.
• Một nỗ lực mạo danh tiềm tàng

Bước nhỏ này giúp người dùng nhận thức rõ hơn và giảm thiểu các cú nhấp chuột vô tình.

Trên  trang Review, hãy xem lại các cài đặt của bạn. Bạn có thể chọn Edit trong mỗi mục để sửa đổi các cài đặt trong mục đó. Hoặc bạn có thể chọn Back hoặc trang cụ thể trong trình hướng dẫn.

Khi bạn hoàn tất trang Review > chọn Submit.

Trong cổng thông tin Microsoft Defender (security.microsoft.com) → Email & collaboration:

1. Review → Quarantine</strong>
   • Cổng thông tin Microsoft Defender hiển thị mục Email & collaboration → Review → Quarantine, nơi các email lừa đảo và mạo danh bị chặn bởi các chính sách

   chống lừa đảo được xem xét.</span>

2. Các email bị chặn bởi chính sách chống lừa đảo sẽ được cách ly, cho phép quản trị viên xem xét và quản lý các nỗ lực mạo danh hoặc lừa đảo trước khi chúng đến tay người dùng.

2. Threat Explorer → Phish
   • Microsoft Defender Explorer hiển thị Email & collaboration → Explorer với tab Phish được chọn để phân tích các email lừa đảo đã phát hiện

   và các hành động gửi chúng.</span>

3. Từ giao diện này, các quản trị viên có thể điều tra các trường hợp phát hiện lừa đảo trực tuyến, xem chính sách chống lừa đảo nào đã được kích hoạt và xác nhận liệu email có bị chặn, cách ly hay được gửi đi hay không.

Sau khi thiết lập các chính sách chống mạo danh, bước tiếp theo là tăng cường khả năng bảo vệ tổng thể chống lại các cuộc tấn công lừa đảo trên Microsoft 365. Các cuộc tấn công mạo danh hiếm khi xảy ra đơn lẻ. Chúng thường đi kèm với các liên kết nguy hiểm, trang đăng nhập giả mạo hoặc tệp đính kèm độc hại.

Phần này đóng vai trò như một danh sách kiểm tra nhanh. Mỗi công cụ bên dưới đều hoạt động cùng với các chính sách chống lừa đảo trực tuyến của bạn để cung cấp khả năng bảo vệ mạnh mẽ và toàn diện hơn cho toàn bộ tổ chức.

Liên kết an toàn và Tệp đính kèm an toàn giúp ngăn chặn hai yếu tố phổ biến trong các cuộc tấn công mạo danh: URL không an toàn và các tệp chứa phần mềm độc hại.

Safe Links quét mọi URL ngay khi người dùng nhấp chuột và chặn nếu URL đó dẫn đến trang web lừa đảo.
>Safe Attachments mở các tệp đáng ngờ trong môi trường bảo mật và ngăn chặn hành vi gây hại trước khi tệp đến hộp thư đến.

Bạn có thể bật cả hai trong Microsoft 365 Defender → Chính sách mối đe dọar=”auto”> và áp dụng chúng cho toàn bộ tổ chức của mình.
>Các cài đặt được đề xuất bao gồm Thay thế URL cho Liên kết an toàn và Phân phối động cho Tệp đính kèm an toàn để tránh chậm trễ email.

Các công cụ này hoạt động song song với các chính sách chống lừa đảo trực tuyến của bạn và bổ sung khả năng bảo vệ theo thời gian thực chống lại các liên kết và tệp độc hại mà kẻ tấn công thường sử dụng cùng với hành vi mạo danh.

Ngay cả với các chính sách mạnh mẽ và người dùng được đào tạo bài bản, email lừa đảo vẫn có thể lọt qua. Có quy trình phản hồi rõ ràng, bình tĩnh sẽ giúp ngăn chặn một sai sót nhỏ trở thành một sự cố lớn.

<p>Một cẩm nang đơn giản:

1. Chặn
   đăng nhập đối với các tài khoản bị ảnh hưở

ng, buộc phải đặt lại mật khẩu và cách ly bất kỳ thiết bị nào có hoạt động đáng ngờ.

• Hãy điều tra bằng
  cách sử dụng Sự cố & Cảnh báo , Trình khám phá mối đe dọa hoặc Phát hiện thời gian thực để theo dõi những người dùng nào đã nhận, mở hoặc tương tác với email độc hại.
• Sử
  dụng chức năng Tìm kiếm Nội dung và Xóa</

span> để loại bỏ tin nhắn lừa đảo khỏi tất cả các hộp thư. Xác nhận rằng không có tin nhắn tiếp theo nào được gửi từ các tài khoản bị xâm phạm.

• Khôi phục
  , kích hoạt lại xác thực đa yếu tố (MFA) nếu nó đã bị tắt, xem lại các lần đăng nhập gần đây và bảo mật bất kỳ quy tắc hộp thư nào mà kẻ tấn công có thể đã tạo (chẳng hạn như chuyển tiếp).
• Học hỏi & Điều chỉnh
  Thêm các quy tắc chặn mới, cập nhật cài đặt chống lừa đảo và tinh chỉnh chương trình huấn luyện dựa trên những gì kẻ tấn công đã cố gắng thực hiện.

Điều này cung cấp cho các quản trị viên một lộ trình có cấu trúc trong những thời điểm thường gây căng thẳng. Theo thời gian, bạn có thể tinh chỉnh cẩm nang này thành một quy trình chuẩn nội bộ nhanh chóng, phù hợp với môi trường của mình.

• Không nên cho phép toàn bộ tên miền – chỉ cho phép các địa chỉ đáng tin cậy.
• Đừng tắt tính năng thông minh hộp thư – thay vào đó hãy</strong> tinh chỉnh các ngưỡng.
• Đừng bỏ qua các báo cáo về lừa đảo trực tuyến từ người dùng – <span dir=”auto”>hãyir=”auto”> xem xét và xử lý các báo cáo đó.
• Đừng bỏ qua xác thực đa yếu tố (MFA) – hãy bắt buộc sử dụng nó để giảm nguy cơ chiếm đoạt tài khoản.