Compromise Assessment & DFIR: Điều tra, xử lý sự cố và bảo vệ hệ thống trước các cuộc tấn công Phishing tinh vi

compromise assessment

DFIR và Compromise Assessment – những tuyến phòng thủ cuối cùng mà mỗi tổ chức nên trang bị đã trở thành một yếu tố quan trọng trong chiến lược an ninh mạng của bất kỳ tổ chức nào. Đặc biệt, khi mà những cuộc tấn công phishing ngày nay đã phát triển vượt xa những chiêu trò đơn giản mà các chuyên gia bảo mật từng cảnh báo. 

Phishing ngày càng khó phát hiện

Một cuộc tấn công điển hình bắt đầu từ một email có tiêu đề như hóa đơn thanh toán, thư mời công việc,… được gửi đến nạn nhân. Thay vì đính kèm tệp tin, email chứa liên kết đến một tệp PDF giả mạo trên máy chủ AWS. Tệp này trông như thông báo chia sẻ tài liệu OneDrive, đủ thuyết phục để đánh lừa người dùng không nghi ngờ.

Sau khi nạn nhân nhấp vào liên kết, họ bị chuyển hướng đến một trang đăng nhập giả mạo của Microsoft. Giao diện của trang này được sao chép gần như hoàn hảo từ trang gốc. Khi nạn nhân nhập thông tin đăng nhập, kẻ tấn công lập tức thu thập được tên người dùng và mật khẩu. 

phishing

Để không làm nạn nhân nghi ngờ, trang web giả mạo ngay sau đó tự động chuyển hướng họ đến trang chính thức của Microsoft Office. Điều này khiến nạn nhân cho rằng chỉ có một lỗi nhỏ trong quá trình đăng nhập và không nhận ra rằng thông tin cá nhân của họ đã bị đánh cắp.

compromise assessment

Các chiến thuật che giấu tinh vi

Kẻ tấn công thường sử dụng nhiều phương pháp tinh vi để che giấu hành động của mình và tăng tính thuyết phục cho các chiến dịch lừa đảo. Một trong những cách phổ biến là xóa dấu vết ngay sau khi chiếm quyền truy cập vào tài khoản của nạn nhân. 

Chúng tạo ra các quy tắc tự động xóa email dựa trên từ khóa liên quan đến tên miền của mình. Điều này đảm bảo rằng mọi email gửi đến hoặc đi từ miền đó đều bị xóa sạch, khiến việc phát hiện trở nên khó khăn.

Ngoài ra, kẻ tấn công thường sử dụng các địa chỉ email đáng tin cậy để giảm sự nghi ngờ từ phía nạn nhân. Chẳng hạn, một email phishing giả mạo có thể được gửi từ địa chỉ của một người đã từng liên hệ với mục tiêu. Sự quen thuộc này khiến nạn nhân dễ dàng tin tưởng và bị lừa.

Để tăng khả năng thành công, kẻ tấn công còn lợi dụng các nền tảng hợp pháp như AWS hoặc Render để lưu trữ tài liệu độc hại và thiết lập trang web phishing. Nhờ sử dụng các dịch vụ hợp pháp này, email phishing có thể vượt qua hầu hết các bộ lọc bảo mật.

Một chiến thuật khác được gọi là “The Russian nesting dolls” cũng thường được áp dụng. Trong đó, liên kết trong email sẽ dẫn qua nhiều trang web đáng tin cậy trước khi đưa nạn nhân đến trang phishing cuối cùng. Việc này không chỉ làm người dùng mất cảnh giác mà còn tăng khả năng họ nhập thông tin đăng nhập của mình vào trang web lừa đảo.

Ứng phó các cuộc tấn công mạng với VSEC Compromise Assessment & DFIR

Khi doanh nghiệp bị tấn công bởi một sự cố an ninh mạng, quá trình điều tra và Xử lý sự cố (DFIR) là hoạt động bắt buộc nhằm loại bỏ tận gốc nguyên nhân, tránh việc lặp lại hoặc thậm chí bỏ sót những lỗ hổng, vấn đề bảo mật còn tồn tại trong doanh nghiệp. Nếu không điều tra và xử lý triệt để, hệ quả gặp phải sẽ rất lớn.

Dịch vụ Compromise Assessment (CA) của VSEC được thiết kế nhằm cung cấp một quy trình kiểm tra toàn diện, phát hiện các dấu hiệu xâm nhập, lỗ hổng bảo mật, và những nguy cơ tiềm ẩn trong hệ thống. Với khả năng phát hiện sớm các mối đe dọa và cung cấp thông tin chi tiết về hệ thống, Compromise Assessment là một bước quan trọng để đảm bảo an toàn cho doanh nghiệp trong một môi trường nguy hiểm và phức tạp.

Chúng ta thường không nhận ra rằng chỉ một chút bất cẩn cũng có thể biến thành cánh cửa rộng mở cho kẻ tấn công mạng. Một cú nhấp chuột vô tình vào đường link lạ, hoặc việc lơ là các nguyên tắc bảo mật cơ bản, đã đủ để những kẻ xâm nhập tận dụng và tấn công, gây tổn hại nghiêm trọng đến hệ thống cá nhân lẫn doanh nghiệp.

Theo lời khuyên từ các chuyên gia tại VSEC, việc xây dựng một lá chắn bảo mật vững chắc là điều cần thiết để giảm thiểu nguy cơ bị tấn công.Sử dụng mật khẩu phức tạp và yêu cầu thay đổi định kỳ sẽ làm giảm nguy cơ bị lộ thông tin. Việc triển khai xác thực đa yếu tố (MFA) trên toàn tổ chức sẽ tăng cường lớp bảo vệ, khiến kẻ tấn công khó xâm nhập hơn. 

Bên cạnh đó, việc triển khai hệ thống phát hiện xâm nhập hoặc sử dụng các dịch vụ giám sát an toàn thông tin là một giải pháp hữu hiệu. Những công cụ này không chỉ giúp theo dõi hoạt động mạng mà còn phát hiện và cảnh báo kịp thời về các hành vi khả nghi, giảm thiểu rủi ro từ các cuộc tấn công.

Với sự tiến bộ không ngừng của công nghệ và các phương pháp tấn công mới, các doanh nghiệp cần hiểu sâu hơn về tầm quan trọng của việc giám sát và đánh giá định kỳ thông qua các dịch vụ như DFIR và Compromise Assessment. Điều tra, xử lý sự cố An toàn Thông tin (DFIR) và Compromise Assessment chính là dịch vụ tối ưu cho các tổ chức trong việc ứng phó với các sự cố an ninh mạng một cách nhanh chóng và hiệu quả.