-
09/04/2020
-
110
-
1.057 bài viết
Tin tặc khai thác Cisco Safe Links để né bộ lọc liên kết và vượt qua hệ thống mạng
Trong khi các doanh nghiệp vẫn tin tưởng vào những lớp phòng vệ được cung cấp bởi các hãng bảo mật hàng đầu, một nghịch lý đang diễn ra: chính công cụ bảo mật lại trở thành “vũ khí” trong tay tin tặc. Công nghệ Safe Links của Cisco, vốn được phát triển để ngăn chặn người dùng truy cập liên kết độc hại, nay đang bị lợi dụng để che giấu URL nguy hiểm và qua mặt các hệ thống lọc thư điện tử nhờ uy tín vốn có của thương hiệu Cisco.
Theo phân tích của Raven AI, điểm yếu xuất phát từ chính cơ chế hoạt động của Safe Links. Khi email chứa liên kết khả nghi được gửi đi, công nghệ này sẽ tự động viết lại URL và chuyển hướng người dùng qua hạ tầng quét tại secure-web.cisco[.]com. Trên lý thuyết, đây là một lớp phòng vệ bổ sung, nhưng trên thực tế, tin tặc đã tìm ra cách khai thác quy trình để tạo ra các Safe Links hoàn toàn hợp lệ phục vụ mục đích tấn công. Chúng có thể chiếm quyền tài khoản trong tổ chức sử dụng Cisco để tự gửi cho mình những URL độc hại, lợi dụng các dịch vụ đám mây vốn đi qua hạ tầng Cisco, hoặc thậm chí tái chế các Safe Links từng được phát sinh trong những chiến dịch trước.
Điểm then chốt của chiến thuật này là tâm lý tin tưởng thương hiệu. Khi đường dẫn hiển thị bắt đầu bằng secure-web[.]cisco.com, đa số người dùng mặc định coi đó là an toàn. Các nhà nghiên cứu gọi hiện tượng này là “trust by association” – niềm tin lan truyền từ tên miền uy tín sang toàn bộ liên kết bên trong. Ngay cả hệ thống cũng dễ dàng bị đánh lừa, bởi nhiều cổng bảo mật email chỉ dừng lại ở việc kiểm tra tên miền hiển thị. Khoảng trễ tất yếu giữa thời điểm một mối đe dọa mới xuất hiện và lúc cơ sở dữ liệu tình báo của Cisco kịp cập nhật càng tạo thêm khoảng trống để các cuộc tấn công diễn ra trót lọt.
Điểm nguy hiểm nằm ở chỗ những cuộc tấn công này hầu như không để lộ dấu hiệu kỹ thuật bất thường. Tất cả các thành phần đều trông hợp lệ nên dễ dàng qua mặt những lớp phòng thủ truyền thống. Phần độc hại thực sự chỉ lộ ra khi đặt trong ngữ cảnh và hành vi cụ thể. Raven AI từng ghi nhận nhiều email giả mạo “Document Review Request” được trình bày chuyên nghiệp, sử dụng thương hiệu dịch vụ ký điện tử, ngôn ngữ bài bản và hình thức không khác gì thông điệp hợp pháp.
Trong tình huống đó, công nghệ phân tích theo ngữ cảnh trở thành yếu tố quyết định. Raven AI có thể nhận diện sự bất thường từ nhiều tín hiệu cùng lúc, bao gồm danh tính người gửi không trùng khớp, cấu trúc URL chứa tham số mã hóa khó giải thích và các mẫu yêu cầu tài liệu thường gặp trong chiến dịch đánh cắp thông tin đăng nhập. Nhờ hiểu rõ quy trình nghiệp vụ hợp pháp, hệ thống xác định khi nào giao tiếp bị lệch chuẩn, ngay cả khi toàn bộ nội dung bề ngoài đều được thiết kế tinh vi và chuyên nghiệp.
Vụ việc Cisco Safe Links chỉ là một lát cắt trong xu hướng rộng hơn khi tin tặc ngày càng tìm cách lợi dụng chính các công cụ bảo mật uy tín để phục vụ mục đích tấn công. Không chỉ Cisco, nhiều hãng công nghệ lớn trước đây cũng từng đối mặt với việc sản phẩm hoặc dịch vụ của mình bị biến thành “lá chắn giả” để qua mặt hệ thống phòng thủ. Điều này cho thấy kẻ tấn công không ngừng tận dụng niềm tin sẵn có vào thương hiệu để khai thác con người và quy trình, thay vì chỉ nhắm trực diện vào lỗ hổng kỹ thuật. Trong bối cảnh đó, các tổ chức cần nhìn nhận lại chiến lược phòng vệ, chuyển từ niềm tin thụ động vào công cụ bảo mật sang cách tiếp cận chủ động dựa trên giám sát hành vi, phân tích ngữ cảnh và nâng cao nhận thức người dùng.
Theo phân tích của Raven AI, điểm yếu xuất phát từ chính cơ chế hoạt động của Safe Links. Khi email chứa liên kết khả nghi được gửi đi, công nghệ này sẽ tự động viết lại URL và chuyển hướng người dùng qua hạ tầng quét tại secure-web.cisco[.]com. Trên lý thuyết, đây là một lớp phòng vệ bổ sung, nhưng trên thực tế, tin tặc đã tìm ra cách khai thác quy trình để tạo ra các Safe Links hoàn toàn hợp lệ phục vụ mục đích tấn công. Chúng có thể chiếm quyền tài khoản trong tổ chức sử dụng Cisco để tự gửi cho mình những URL độc hại, lợi dụng các dịch vụ đám mây vốn đi qua hạ tầng Cisco, hoặc thậm chí tái chế các Safe Links từng được phát sinh trong những chiến dịch trước.
Điểm then chốt của chiến thuật này là tâm lý tin tưởng thương hiệu. Khi đường dẫn hiển thị bắt đầu bằng secure-web[.]cisco.com, đa số người dùng mặc định coi đó là an toàn. Các nhà nghiên cứu gọi hiện tượng này là “trust by association” – niềm tin lan truyền từ tên miền uy tín sang toàn bộ liên kết bên trong. Ngay cả hệ thống cũng dễ dàng bị đánh lừa, bởi nhiều cổng bảo mật email chỉ dừng lại ở việc kiểm tra tên miền hiển thị. Khoảng trễ tất yếu giữa thời điểm một mối đe dọa mới xuất hiện và lúc cơ sở dữ liệu tình báo của Cisco kịp cập nhật càng tạo thêm khoảng trống để các cuộc tấn công diễn ra trót lọt.
Điểm nguy hiểm nằm ở chỗ những cuộc tấn công này hầu như không để lộ dấu hiệu kỹ thuật bất thường. Tất cả các thành phần đều trông hợp lệ nên dễ dàng qua mặt những lớp phòng thủ truyền thống. Phần độc hại thực sự chỉ lộ ra khi đặt trong ngữ cảnh và hành vi cụ thể. Raven AI từng ghi nhận nhiều email giả mạo “Document Review Request” được trình bày chuyên nghiệp, sử dụng thương hiệu dịch vụ ký điện tử, ngôn ngữ bài bản và hình thức không khác gì thông điệp hợp pháp.
Trong tình huống đó, công nghệ phân tích theo ngữ cảnh trở thành yếu tố quyết định. Raven AI có thể nhận diện sự bất thường từ nhiều tín hiệu cùng lúc, bao gồm danh tính người gửi không trùng khớp, cấu trúc URL chứa tham số mã hóa khó giải thích và các mẫu yêu cầu tài liệu thường gặp trong chiến dịch đánh cắp thông tin đăng nhập. Nhờ hiểu rõ quy trình nghiệp vụ hợp pháp, hệ thống xác định khi nào giao tiếp bị lệch chuẩn, ngay cả khi toàn bộ nội dung bề ngoài đều được thiết kế tinh vi và chuyên nghiệp.
Vụ việc Cisco Safe Links chỉ là một lát cắt trong xu hướng rộng hơn khi tin tặc ngày càng tìm cách lợi dụng chính các công cụ bảo mật uy tín để phục vụ mục đích tấn công. Không chỉ Cisco, nhiều hãng công nghệ lớn trước đây cũng từng đối mặt với việc sản phẩm hoặc dịch vụ của mình bị biến thành “lá chắn giả” để qua mặt hệ thống phòng thủ. Điều này cho thấy kẻ tấn công không ngừng tận dụng niềm tin sẵn có vào thương hiệu để khai thác con người và quy trình, thay vì chỉ nhắm trực diện vào lỗ hổng kỹ thuật. Trong bối cảnh đó, các tổ chức cần nhìn nhận lại chiến lược phòng vệ, chuyển từ niềm tin thụ động vào công cụ bảo mật sang cách tiếp cận chủ động dựa trên giám sát hành vi, phân tích ngữ cảnh và nâng cao nhận thức người dùng.
Theo Cyber Security News