-
09/04/2020
-
128
-
1.801 bài viết
Email GitHub, Jira bị lợi dụng để qua mặt bảo mật và phát tán phishing
Một chiến thuật lừa đảo mới đang khiến các hệ thống bảo mật email truyền thống gặp khó khăn trong việc phát hiện và ngăn chặn. Thay vì giả mạo địa chỉ gửi, tin tặc đang tận dụng chính các nền tảng uy tín như GitHub và Jira để phát tán nội dung phishing. Các email này được gửi từ hạ tầng hợp pháp, vượt qua toàn bộ các cơ chế xác thực phổ biến, khiến người dùng và cả hệ thống bảo mật dễ dàng bị đánh lừa.
Tin tặc khai thác cơ chế gửi email thông báo tự động của các nền tảng này để biến chúng thành công cụ phát tán nội dung độc hại. Kỹ thuật này được gọi là “Platform as a Proxy” (PaaP), trong đó nền tảng trung gian bị lợi dụng để gửi email thay cho kẻ tấn công.
Trong mô hình này, tin tặc không cần sử dụng hạ tầng riêng để gửi email. Thay vào đó, chúng thực hiện các thao tác hợp lệ trên nền tảng, chẳng hạn như tạo repository, project hoặc gửi lời mời hợp tác, nhưng khéo léo chèn nội dung mang tính lừa đảo vào tên hoặc mô tả. Khi các hành động này được thực hiện, hệ thống của GitHub hoặc Jira sẽ tự động gửi email thông báo đến người nhận.
Do các email này được gửi từ máy chủ chính thức của nền tảng, chúng đều vượt qua các kiểm tra xác thực như SPF, DKIM và DMARC. Điều này khiến các hệ thống email gateway coi đây là lưu lượng hợp lệ và cho phép đi thẳng vào hộp thư chính. Chính yếu tố “chính chủ” này đã tạo ra một lớp vỏ tin cậy, khiến người dùng khó nhận ra dấu hiệu bất thường.
Bên trong các email, tin tặc thường chèn các liên kết dẫn đến trang giả mạo được thiết kế giống giao diện thật của GitHub hoặc Jira. Khi người dùng nhấp vào và nhập thông tin đăng nhập, dữ liệu sẽ bị thu thập và gửi về máy chủ của kẻ tấn công. Trong nhiều trường hợp, việc đánh cắp thông tin đăng nhập có thể dẫn đến nguy cơ bị chiếm quyền tài khoản, từ đó mở rộng tấn công sang các hệ thống nội bộ khác.
Nguyên nhân cốt lõi của vấn đề nằm ở cách các cơ chế bảo mật email hiện nay hoạt động. Các tiêu chuẩn như SPF, DKIM và DMARC chỉ xác nhận rằng email được gửi từ nguồn hợp lệ, nhưng không đánh giá nội dung bên trong có đáng tin cậy hay không. Điều này tạo ra khoảng trống để tin tặc lợi dụng, khi chúng có thể gửi nội dung độc hại thông qua một kênh hoàn toàn hợp pháp.
Chiến thuật này đặc biệt nguy hiểm trong môi trường doanh nghiệp, nơi các nền tảng như GitHub và Jira thường được “tin cậy mặc định”. Nhiều hệ thống còn cấu hình cho phép các email từ các dịch vụ này đi qua mà không bị kiểm tra sâu, khiến lớp bảo vệ gần như bị vô hiệu hóa.
Hậu quả của các cuộc tấn công dạng này có thể rất nghiêm trọng. Nếu người dùng bị lừa cung cấp thông tin đăng nhập, kẻ tấn công có thể chiếm quyền truy cập vào repository, dự án hoặc dữ liệu nội bộ. Điều này không chỉ gây rò rỉ thông tin mà còn tiềm ẩn nguy cơ ảnh hưởng đến toàn bộ chuỗi cung ứng phần mềm, đặc biệt với các doanh nghiệp công nghệ.
Khuyến nghị và biện pháp phòng tránh
Trước xu hướng tấn công mới này, các chuyên gia an ninh mạng cho rằng cần thay đổi cách tiếp cận trong việc bảo vệ hệ thống email. Việc chỉ dựa vào danh tiếng của domain gửi không còn đủ để đảm bảo an toàn.
Các tổ chức cần triển khai các biện pháp kiểm soát chặt chẽ hơn, trong đó đáng chú ý là việc xác minh email dựa trên danh tính và ngữ cảnh hoạt động. Cụ thể, hệ thống nên chỉ chấp nhận các thông báo xuất phát từ các tài khoản, repository hoặc project đã được xác nhận trong nội bộ tổ chức. Những email đến từ các nguồn không nằm trong danh sách này cần được kiểm tra hoặc cách ly.
Bên cạnh đó, việc giám sát log hoạt động từ các nền tảng SaaS cũng đóng vai trò quan trọng. Thông qua việc phân tích các hành vi bất thường như tạo dự án lạ, gửi lời mời hàng loạt hoặc truy cập từ vị trí không quen thuộc, đội ngũ bảo mật có thể phát hiện sớm dấu hiệu tấn công.
Ở phía người dùng, thói quen sử dụng an toàn vẫn là yếu tố then chốt. Người dùng nên hạn chế nhấp vào liên kết trong email, đặc biệt với các thông báo bất thường, và ưu tiên truy cập trực tiếp vào nền tảng thông qua trình duyệt. Đồng thời, cần kiểm tra kỹ địa chỉ trang web trước khi nhập thông tin đăng nhập để tránh rơi vào bẫy giả mạo.
Các tổ chức cần triển khai các biện pháp kiểm soát chặt chẽ hơn, trong đó đáng chú ý là việc xác minh email dựa trên danh tính và ngữ cảnh hoạt động. Cụ thể, hệ thống nên chỉ chấp nhận các thông báo xuất phát từ các tài khoản, repository hoặc project đã được xác nhận trong nội bộ tổ chức. Những email đến từ các nguồn không nằm trong danh sách này cần được kiểm tra hoặc cách ly.
Bên cạnh đó, việc giám sát log hoạt động từ các nền tảng SaaS cũng đóng vai trò quan trọng. Thông qua việc phân tích các hành vi bất thường như tạo dự án lạ, gửi lời mời hàng loạt hoặc truy cập từ vị trí không quen thuộc, đội ngũ bảo mật có thể phát hiện sớm dấu hiệu tấn công.
Ở phía người dùng, thói quen sử dụng an toàn vẫn là yếu tố then chốt. Người dùng nên hạn chế nhấp vào liên kết trong email, đặc biệt với các thông báo bất thường, và ưu tiên truy cập trực tiếp vào nền tảng thông qua trình duyệt. Đồng thời, cần kiểm tra kỹ địa chỉ trang web trước khi nhập thông tin đăng nhập để tránh rơi vào bẫy giả mạo.
Theo Cyber Press