Trong bối cảnh tội phạm mạng ngày càng gia tăng với mức độ tinh vi khó lường, các cơ quan thực thi pháp luật đã phải lên tiếng xác nhận rằng lừa đảo qua email (phishing) hiện là hình thức tấn công phổ biến và nguy hiểm bậc nhất. Không còn là những email sai chính tả hay nội dung ngô nghê như trước, tin tặc giờ đây nhắm thẳng vào quyền truy cập đặc quyền để đánh cắp mật khẩu và dữ liệu nhạy cảm. Mới đây nhất, LastPass – ứng dụng quản lý mật khẩu từng dính líu đến vụ rò rỉ dữ liệu nghiêm trọng năm 2022 – một lần nữa trở thành tâm điểm của một chiến dịch tấn công quy mô lớn. Hacker đang giăng bẫy người dùng bằng những thông báo “bảo trì hệ thống” giả mạo đầy thuyết phục nhằm chiếm đoạt chìa khóa vào kho tàng kỹ thuật số của họ.
Chiêu bài email “bảo trì hệ thống” từ LastPass và cái bẫy tâm lý tinh vi
Theo công bố mới nhất từ LastPass, đội ngũ an ninh mạng của họ đã phát hiện một chiến dịch lừa đảo đang hoạt động tích cực, bắt đầu nhen nhóm từ ngày 19 tháng 1. Điểm đáng sợ của chiến dịch này nằm ở sự đầu tư kỹ lưỡng về mặt kịch bản. Thay vì gửi thư rác hàng loạt không có chủ đích, tin tặc sử dụng nhiều địa chỉ email khác nhau với các dòng tiêu đề biến hóa khôn lường để vượt qua bộ lọc spam. Tuy nhiên, nội dung cốt lõi của các email này đều xoay quanh một kịch bản: yêu cầu người dùng truy cập vào một trang web để thực hiện quy trình “bảo trì theo lịch trình”.
Đây là một đòn đánh mạnh vào tâm lý người dùng. Bằng cách tạo ra cảm giác cấp bách về một rủi ro bảo mật trên lý thuyết hoặc sự cần thiết phải sao lưu dữ liệu, hacker khiến nạn nhân mất cảnh giác. Trong các email giả mạo này luôn xuất hiện nút bấm nổi bật mang tên “Create Backup Now” (Tạo bản sao lưu ngay). Khi người dùng vì lo lắng mà nhấp vào, họ sẽ bị điều hướng qua một trang web trung gian được lưu trữ trên hạ tầng Amazon AWS uy tín – một thủ thuật giúp đường dẫn trông có vẻ “sạch” hơn trong mắt các phần mềm diệt virus – trước khi bị chuyển tiếp đến đích cuối cùng là một trang web giả mạo có địa chỉ chứa cụm từ dễ gây nhầm lẫn như “mail-lastpass”.
Chưa dừng lại ở đó, sự tinh quái của nhóm tin tặc này còn thể hiện ở việc chọn thời điểm tấn công. Chiến dịch được tung ra trùng với tuần nghỉ lễ tại Mỹ. Đây là khoảng thời gian mà nhân sự tại các bộ phận an ninh mạng của doanh nghiệp thường mỏng hơn, khả năng phản ứng và phát hiện mối đe dọa sẽ chậm hơn so với ngày thường. Điều này cho phép chiến dịch lừa đảo tồn tại lâu hơn và tiếp cận được nhiều nạn nhân hơn trước khi bị ngăn chặn.
Cuộc chiến dai dẳng và bóng ma từ vụ rò rỉ năm 2022
Ngay khi phát hiện sự việc, đội ngũ Tình báo, Giảm thiểu và Leo thang Mối đe dọa (TIME) của LastPass đã nhanh chóng vào cuộc. Họ đã công bố danh sách các URL độc hại, địa chỉ IP và dữ liệu tiêu đề email liên quan để cảnh báo cộng đồng. Mặc dù LastPass dường như đã thành công trong việc phá vỡ cơ sở hạ tầng của đợt tấn công đầu tiên, nhưng cuộc chiến này vẫn chưa có hồi kết. Các chuyên gia cảnh báo rằng những kẻ đứng sau đang phát động làn sóng email lừa đảo thứ hai, sử dụng các chiến thuật kỹ thuật xã hội tương tự nhưng với hạ tầng mạng hoàn toàn mới.
Việc xuất hiện thêm các tên miền và địa chỉ IP mới cho thấy tin tặc đang tận dụng một nguồn tài nguyên internet khổng lồ. Chúng có khả năng chạy song song nhiều chiến dịch cùng lúc, không chỉ nhắm vào LastPass mà còn có thể mở rộng sang các công ty dịch vụ khác. Đội ngũ an ninh của LastPass khuyến cáo người dùng cần xác minh kỹ lưỡng mọi email tự xưng là từ công ty, đảm bảo chúng xuất phát từ các tên miền chính chủ trước khi thực hiện bất kỳ thao tác nào.
Thực tế cho thấy, những thách thức an ninh lớn nhất mà LastPass đang phải đối mặt đều bắt nguồn từ dư âm của vụ rò rỉ dữ liệu kinh hoàng năm 2022. Khi đó, kho dữ liệu mật khẩu của người dùng đã bị đánh cắp, biến họ trở thành những “con mồi” béo bở cho tội phạm mạng. Tin tặc liên tục khai thác dữ liệu bị đánh cắp này để tấn công vào các tài khoản nhạy cảm, đặc biệt là ví tiền điện tử (crypto), gây ra những thiệt hại tài chính không nhỏ.
Trước những mối đe dọa dai dẳng này, niềm tin của người dùng dành cho LastPass đang bị thử thách nghiêm trọng. Câu hỏi đặt ra là liệu nền tảng này có còn cung cấp đủ sự an toàn cần thiết trong kỷ nguyên số đầy rẫy rủi ro hay không. Nếu bạn đang nắm giữ những tài sản số giá trị hoặc thông tin cực kỳ nhạy cảm, có lẽ đây là lúc nên cân nhắc tìm kiếm các trình quản lý mật khẩu thay thế có hồ sơ bảo mật uy tín hơn và lịch sử vận hành an toàn hơn. Trong thời gian này, quy tắc bất di bất dịch là: LastPass không bao giờ yêu cầu người dùng nhấp vào link trong email để sao lưu dữ liệu kho mật khẩu trực tuyến.