Một kỹ thuật tấn công mới mang tên DeviceCodePhishing vừa được công bố. Kỹ thuật này khai thác điểm yếu trong quy trình xác thực bằng mã thiết bị (Device Code Flow), thường được sử dụng trong các nền tảng như Microsoft Azure Entra, để thực hiện hành vi lừa đảo tinh vi vượt qua cả các biện pháp bảo vệ đa yếu tố (MFA), kể cả FIDO2.
Khi người dùng bấm vào đường dẫn giả mạo, một trình duyệt không giao diện (headless browser) âm thầm khởi tạo phiên xác thực, tự động nhập mã thiết bị mà người dùng không hề biết. Nạn nhân sau đó được chuyển ngay đến trang đăng nhập hợp lệ của dịch vụ, khiến họ tin rằng đây là quy trình thông thường. Việc tự động hóa này giúp vượt qua giới hạn thời gian của mã xác thực và loại bỏ sự tương tác thủ công, làm tăng đáng kể xác suất thành công của cuộc tấn công.
Điều đáng lo ngại là phương thức này cho phép kẻ tấn công vượt qua mọi hình thức xác thực đa yếu tố (MFA), bao gồm cả khóa bảo mật FIDO2 – vốn được coi là tiêu chuẩn cao nhất trong bảo vệ chống phishing. Nếu người dùng đã đăng nhập sẵn, quá trình xác thực thậm chí còn không yêu cầu nhập lại thông tin, khiến nạn nhân không có dấu hiệu nào để phát hiện cuộc tấn công đang diễn ra.
Khác với các cuộc tấn công “Man-in-the-Middle”, người dùng trong vụ DeviceCodePhishing tương tác với chính trang web thật, khiến việc phát hiện dựa vào URL khả nghi gần như không thể. Điều đó khiến nhiều tổ chức rơi vào tình thế bị động nếu chỉ dựa vào thói quen cảnh giác của người dùng.
Biện pháp phòng ngừa được khuyến nghị hiện tại là vô hiệu hóa hoàn toàn cơ chế Device Code Flow nếu không cần thiết. Với môi trường Microsoft Azure Entra, các tổ chức nên triển khai chính sách Conditional Access để chặn các yêu cầu xác thực sử dụng cơ chế này.
