Một cuộc tấn công an ninh mạng nghiêm trọng đã cho thấy tội phạm mạng không cần hack hệ thống vẫn có thể chiếm đoạt tiền lương của nhân viên. Thay vì tấn công hạ tầng CNTT, đối tượng này đã lợi dụng lỗ hổng trong quy trình help desk, trực tiếp chuyển hướng tiền lương sang tài khoản do chúng kiểm soát.
Kẻ tấn công gọi điện thoại, giả mạo nhân viên, lần lượt thao túng các bộ phận help desk thuộc mảng payroll, IT và HR. Bằng cách thu thập thông tin cá nhân và nghề nghiệp từ mạng xã hội của nhân viên, đối tượng này đã vượt qua các câu hỏi xác thực, thuyết phục nhân viên help desk reset mật khẩu và đăng ký lại thiết bị multi-factor authentication (MFA). Chính lượng thông tin công khai ngày càng lớn trên mạng xã hội đã vô tình tiếp tay cho bước đi này.
Sau khi xác thực thành công, attacker thiết lập sự hiện diện lâu dài bằng cách thêm một địa chỉ email bên ngoài làm phương thức xác thực trong Azure AD. Từ đó, chúng chiếm quyền nhiều tài khoản nhân viên và thay đổi thông tin nhận lương, chuyển tiền sang các tài khoản do mình kiểm soát.
Do thông tin đăng nhập và MFA đều “hợp lệ”, hành vi gian lận này hòa lẫn hoàn toàn vào hoạt động bình thường của hệ thống và không bị phát hiện trong nhiều tuần. Chỉ đến khi nhân viên báo không nhận được lương, doanh nghiệp mới tiến hành điều tra và xử lý sự cố.
Kết quả cho thấy sự cố chỉ giới hạn ở việc chuyển nhầm tiền lương và ba tài khoản bị xâm phạm, không có dấu hiệu di chuyển ngang hay đánh cắp dữ liệu diện rộng. Tuy nhiên, cuộc điều tra cũng phát hiện một vấn đề nghiêm trọng khác: dấu hiệu của mã độc WannaCry vẫn tồn tại trong môi trường OT legacy, cho thấy mã độc này có thể đã âm thầm hiện diện suốt nhiều năm mà không bị phát hiện.
Sự cố này cho thấy tội phạm mạng ngày càng né tránh các kiểm soát kỹ thuật truyền thống để tấn công vào quy trình do con người vận hành. Doanh nghiệp phải siết chặt quy trình xác minh danh tính, nâng cao nhận thức con người và xem bảo mật vận hành là một phần không thể tách rời của an toàn thông tin.
