Khi "săn người" biến thành "bị săn"

Tháng 11 vừa qua, các nhà nghiên cứu từ SEQRITE Labs phát hiện một chiến dịch tấn công mạng mang tên "Hanoi Thief" – nhắm thẳng vào các doanh nghiệp Việt Nam. Mục tiêu chính là những đồng nghiệp đang ngồi ở phòng Nhân sự và bộ phận IT, những người hằng ngày xử lý email, hồ sơ ứng tuyển, hệ thống nội bộ.

Điều đáng lo ngại không phải ở chỗ xuất hiện thêm một kiểu tấn công mới, mà là cách thức tấn công tinh vi đến mức bất kỳ ai trong chúng ta cũng có thể "sập bẫy" chỉ trong vài giây mất tập trung. Trong bối cảnh Viettel đang mở rộng quy mô và liên tục tuyển dụng nhân sự cho nhiều vị trí, nguy cơ này càng trở nên hiện hữu hơn bao giờ hết.

Hãy tưởng tượng một ngày làm việc bình thường: hòm thư của bạn nhận được hàng chục CV mỗi ngày. Một file có tên "Le-Xuan-Son_CV.zip" xuất hiện trong danh sách. Khi mở ra, bạn thấy một hồ sơ được trình bày chỉn chu – ứng viên là lập trình viên, có cả link GitHub và LinkedIn tạo từ năm 2021, số điện thoại liên lạc đầy đủ. Mọi thứ đều có vẻ ổn… cho đến khi không còn ổn nữa.

Màn kịch ba hồi chuông

Những kẻ tấn công đã thiết kế một "kịch bản" gồm ba giai đoạn, mỗi giai đoạn lại tinh vi hơn giai đoạn trước. Ở giai đoạn 1 – Đánh lừa giác quan, khi bạn mở file CV, màn hình hiển thị một bản CV trông hoàn toàn bình thường. Tuy nhiên, phía sau đó, một đoạn mã độc đã lặng lẽ được kích hoạt. Đặc biệt, chúng không sử dụng các file thực thi đáng ngờ mà lợi dụng chính những công cụ có sẵn của Windows – những công cụ vốn được phần mềm diệt virus “tin tưởng” và ít bị nghi ngờ.

Sang giai đoạn 2 – Chuẩn bị chiếm đóng, mã độc bắt đầu trích xuất dữ liệu mã hóa ẩn bên trong file CV và tạo ra các file cần thiết trong hệ thống của bạn. Tất cả diễn ra trong im lặng, không có bất kỳ cảnh báo nào, khiến người dùng rất khó phát hiện.

Đến giai đoạn 3 – Thu hoạch thông tin, phần mềm gián điệp chính có tên LOTUSHARVEST xuất hiện. Nó ngụy trang như một thư viện hệ thống hợp pháp của Windows, khiến máy tính tự động chạy mà không hề hay biết. Nhiệm vụ của LOTUSHARVEST là đánh cắp toàn bộ lịch sử duyệt web, các mật khẩu đã lưu trên Chrome và Edge – từ tài khoản email công ty, hệ thống nội bộ cho đến những dịch vụ quan trọng khác. Trước khi bạn kịp nhận ra, toàn bộ thông tin đã được đóng gói kèm tên máy tính, tên người dùng và gửi về máy chủ của kẻ tấn công qua kết nối mã hóa.

Tại sao HR và IT lại là mục tiêu?

Câu trả lời nằm ở quyền truy cập. Với bộ phận HR, kẻ tấn công có thể dễ dàng tiếp cận thông qua email tuyển dụng – một kênh mà chúng ta thường mặc định là “an toàn” và liên tục nhận file đính kèm. Một khi chiếm được tài khoản HR, chúng có thể lan rộng trong mạng nội bộ bằng các email “hợp pháp”, khiến đồng nghiệp khác tin tưởng và mở file độc hại mà không mảy may nghi ngờ.

Với bộ phận IT – đặc biệt là những người có quyền quản trị cao trong hệ thống – rủi ro còn lớn hơn nhiều lần. Họ có quyền truy cập vào cơ sở dữ liệu khách hàng, hệ thống tài chính, các nền tảng và thông tin nội bộ quan trọng. Nếu một tài khoản IT bị xâm nhập, hậu quả có thể lan tỏa ra toàn bộ hạ tầng công nghệ của công ty.

Để nhận biết những mối nguy, CBNV trong tập đoàn có thể để ý từ những chi tiết như CV được gửi từ người hoàn toàn không quen biết, đặc biệt là ở dạng file nén “.zip” chứa nhiều thành phần bên trong. Các tài khoản GitHub hoặc mạng xã hội đính kèm trong CV trông “quá hoàn hảo” nhưng lại không có nhiều hoạt động thực sự. Số điện thoại liên lạc khi gọi thử thì không khớp, không tồn tại hoặc không liên lạc được. Hoặc email gửi CV không khớp với tên ứng viên, đến từ các domain lạ, khó xác thực.

Hành động ngay - Bảo vệ Viettel từ chính bàn làm việc của bạn

Đây không chỉ là trách nhiệm của bộ phận An toàn thông tin. Đây là trách nhiệm chung của tất cả CBNV Tập đoàn. Nếu đồng chí thuộc bộ phận HR hoặc thường xuyên nhận CV, hãy ưu tiên chỉ mở CV từ các kênh chính thức như hệ thống tuyển dụng nội bộ hoặc các địa chỉ email đã được xác thực. Luôn tỏ ra cảnh giác với các file CV được gửi kèm dưới dạng .zip, .rar; trong những trường hợp này, hãy chủ động đề nghị ứng viên gửi lại CV dưới dạng file PDF thuần. Trước khi mở file, nên kiểm tra nguồn gốc bằng cách gọi lại số điện thoại hoặc rà soát kỹ địa chỉ email gửi; đồng thời hạn chế tối đa việc bấm vào các đường link trong CV khi chưa xác minh được độ tin cậy của nguồn gửi.

Nếu bạn thuộc bộ phận IT hoặc đang nắm giữ quyền truy cập các hệ thống quan trọng, hãy tuyệt đối không lưu mật khẩu trên trình duyệt mà nên sử dụng các công cụ quản lý mật khẩu chuyên dụng. Hãy bật xác thực hai yếu tố (2FA) cho tất cả tài khoản công ty, thường xuyên kiểm tra các phiên đăng nhập lạ trên những hệ thống trọng yếu và đảm bảo phần mềm diệt virus, hệ điều hành luôn được cập nhật phiên bản mới nhất.

Với toàn thể CBNV Tập đoàn, hãy tập cho mình thói quen không lưu mật khẩu công ty trên các trình duyệt cá nhân, đồng thời luôn giữ thái độ cảnh giác với mọi email có tệp đính kèm từ người lạ – kể cả khi nội dung nhìn qua rất chỉn chu, chuyên nghiệp. Nếu nhận thấy bất kỳ dấu hiệu bất thường nào như email đáng ngờ, file đính kèm lạ hoặc hệ thống có biểu hiện khác thường, hãy liên hệ ngay với bộ phận CNTT/phụ trách kỹ thuật tại đơn vị để được kiểm tra và hỗ trợ kịp thời.

Các công cụ bảo mật hiện nay đã đủ khả năng phát hiện và chặn đứng nhiều chiến dịch tấn công tương tự. Tuy nhiên, cũng như mọi khi, con người vẫn là lớp phòng vệ đầu tiên – và cũng có thể trở thành điểm yếu lớn nhất nếu chúng ta chủ quan, mất cảnh giác.