Một chiến dịch lừa đảo mới mang tên Kali365 đang lợi dụng chính cơ chế đăng nhập hợp lệ của Microsoft để vượt qua xác thực đa yếu tố (MFA). Thay vì khai thác lỗ hổng kỹ thuật, phương thức này đánh vào tâm lý người dùng, khiến ngay cả các tài khoản đã bật MFA vẫn có nguy cơ bị chiếm quyền truy cập.
Theo cảnh báo từ FBI, Kali365 khai thác tính năng Device Code Flow – cơ chế đăng nhập được Microsoft thiết kế cho các thiết bị có khả năng nhập liệu hạn chế như TV thông minh hoặc thiết bị IoT. Kẻ tấn công khởi tạo phiên đăng nhập trên thiết bị của mình, sau đó gửi mã xác thực đến nạn nhân dưới danh nghĩa một dịch vụ đáng tin cậy và hướng dẫn nhập mã trên trang đăng nhập chính thức của Microsoft.
Do toàn bộ quá trình diễn ra trên website hợp lệ của Microsoft nên người dùng gần như không có dấu hiệu để nhận biết đây là một cuộc tấn công lừa đảo. Khi mã được nhập thành công, Microsoft sẽ cấp access token cho phiên đăng nhập mà tin tặc đã khởi tạo. Từ đó, đối tượng có thể truy cập email, tài liệu và các tài nguyên Microsoft 365 của nạn nhân mà không cần vượt qua MFA theo cách truyền thống.
Khác với các hình thức phishing truyền thống sử dụng website giả mạo để đánh cắp mật khẩu, Kali365 không tấn công trực tiếp vào cơ chế xác thực đa yếu tố (MFA). Thay vào đó, kẻ tấn công lợi dụng quy trình đăng nhập hợp pháp và sử dụng kỹ thuật thao túng người dùng để khiến nạn nhân tự cấp quyền truy cập. Vì phiên đăng nhập đã được chính người dùng xác nhận, hệ thống bảo mật rất khó phân biệt đây là hành vi bất thường.
FBI khuyến cáo các tổ chức cần rà soát việc sử dụng Device Code Flow, vô hiệu hóa tính năng này nếu không thực sự cần thiết, đồng thời tăng cường đào tạo nhận thức an toàn thông tin cho nhân viên. Người dùng tuyệt đối không nhập mã xác thực hoặc phê duyệt yêu cầu đăng nhập nếu bản thân không chủ động khởi tạo phiên đăng nhập trước đó.
Từ góc độ an toàn thông tin, vụ việc cho thấy MFA chỉ là một lớp phòng vệ trong chiến lược bảo mật tổng thể. Để giảm thiểu rủi ro từ các hình thức tấn công lợi dụng người dùng, doanh nghiệp cần kết hợp giữa đào tạo nhận thức an toàn thông tin với năng lực giám sát an ninh mạng liên tục, qua đó phát hiện sớm các dấu hiệu truy cập bất thường và rút ngắn thời gian ứng phó khi sự cố xảy ra.
