Doanh nghiệp số trước làn sóng tấn công mới

Thủ phạm tinh vi

Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) phối hợp với Cục Điều tra Liên bang (FBI) cùng các đối tác từ Anh, Canada và Australia đã phát đi cảnh báo liên ngành về sự gia tăng tấn công mạng do nhóm tin tặc có tên Scattered Spider tiến hành. Nhóm còn được biết đến với các định danh UNC3944 hay Oktapus, bị cáo buộc đứng sau hàng loạt vụ xâm nhập mạng tinh vi, nhắm vào các nền tảng cộng tác số như Slack, Microsoft Teams, Microsoft Exchange, dịch vụ đám mây Snowflake và hệ thống nội bộ của nhiều công ty bảo hiểm tại Mỹ và Anh.

Theo khuyến cáo AA23-320A, các cuộc tấn công không chỉ dừng lại ở xâm nhập kỹ thuật mà chủ yếu khai thác yếu tố con người, thông qua các thủ đoạn giả mạo và lừa đảo tinh vi. Tin tặc thường đóng giả nhân viên nội bộ hoặc đối tác để liên hệ với bộ phận hỗ trợ kỹ thuật hoặc trung tâm cuộc gọi, từ đó yêu cầu cấp lại mật khẩu hoặc khởi tạo mã xác thực mới. Một trong những kỹ thuật phổ biến được nhóm sử dụng là gửi liên tiếp yêu cầu xác thực đa yếu tố đến thiết bị người dùng cho đến khi họ vô tình chấp thuận. Nhóm cũng triển khai kỹ thuật kiểm soát số điện thoại nhận mã OTP, cho phép chiếm quyền truy cập hợp pháp vào hệ thống doanh nghiệp.

Không dừng lại ở đó, Scattered Spider còn vận dụng các hình thức giả mạo qua tin nhắn văn bản, tạo các đường dẫn lừa đảo có giao diện tương tự nền tảng doanh nghiệp nhằm đánh lừa người dùng cấp cao đăng nhập. Sau khi xâm nhập thành công, nhóm tin tặc nhanh chóng cài đặt các công cụ truy cập từ xa hợp pháp như AnyDesk, TeamViewer hay Pulseway để duy trì hiện diện trong hệ thống mà không bị phát hiện. Đồng thời, các phần mềm độc hại như AveMaria, Raccoon Stealer và VIDAR được triển khai để thu thập thông tin đăng nhập, dữ liệu khách hàng và thông tin nội bộ có giá trị cao.

Mắt xích dễ tổn thương

Ngành bảo hiểm vốn lưu trữ khối lượng lớn dữ liệu nhạy cảm như hồ sơ nhân thân, thông tin y tế, số thẻ an sinh xã hội, lịch sử yêu cầu bồi thường và trở thành “kho báu” mà các nhóm tin tặc đặc biệt quan tâm.

Báo cáo công bố từ Google Threat Intelligence Group cho biết, nhóm Scattered Spider đã phát động chiến dịch xâm nhập có hệ thống nhắm vào ít nhất 3 công ty bảo hiểm lớn tại Mỹ. Trong số đó, Erie Indemnity - đơn vị cung cấp dịch vụ cho hơn 7 triệu khách hàng được xác nhận đã ghi nhận hiện tượng truy cập trái phép vào hệ thống nội bộ, khiến toàn bộ hoạt động kỹ thuật bị gián đoạn nghiêm trọng. Công ty phải tạm thời đóng một phần hệ thống phục vụ khách hàng để tiến hành rà soát và khôi phục.

Philadelphia Insurance Companies, một trong những công ty bảo hiểm lớn có mạng lưới toàn quốc cũng buộc phải ngắt kết nối nhiều dịch vụ số nhằm khoanh vùng và ngăn chặn nguy cơ lan rộng từ vụ xâm nhập hệ thống. Trong khi đó, Aflac - doanh nghiệp cung cấp bảo hiểm nhân thọ và y tế lớn tại Mỹ đã xác nhận gặp sự cố an ninh mạng nghiêm trọng, tuy chưa bị mã hóa dữ liệu nhưng có nguy cơ rò rỉ hồ sơ nhân viên và dữ liệu sức khỏe khách hàng.

Các chuyên gia cho rằng, điểm yếu lớn nhất của ngành bảo hiểm nằm ở chính cách tổ chức hệ thống hỗ trợ khách hàng từ xa. Tại nhiều công ty, bộ phận kỹ thuật hoặc tổng đài chăm sóc khách hàng thường được cấp quyền truy cập sâu vào hệ thống để xử lý nhanh các yêu cầu. Điều này vô tình tạo ra một “cánh cửa mở” cho tin tặc: chỉ cần giả mạo thành nhân viên nội bộ hoặc khách hàng hợp pháp, chúng có thể dễ dàng khai thác sự tin tưởng của nhân viên tuyến đầu và từ đó xâm nhập vào toàn bộ hệ thống doanh nghiệp.

Scattered Spider đã tận dụng triệt để điểm yếu này. Nhóm có khả năng giao tiếp tiếng Anh thành thạo, hiểu rõ cách các công ty phương Tây vận hành và thường dựng lên các kịch bản giả mạo rất thuyết phục. Nhờ đó, chúng không cần dùng đến mã độc tinh vi mà vẫn có thể vượt qua nhiều lớp bảo vệ, khiến các doanh nghiệp trở tay không kịp.

Trước tình hình này, các cơ quan thực thi pháp luật và an ninh mạng đã ban hành khuyến cáo tăng cường năng lực bảo vệ nội bộ cho các công ty bảo hiểm. Các biện pháp được nhấn mạnh gồm: chuyển đổi sang xác thực chống lừa đảo, siết chặt kiểm soát quyền truy cập từ xa, thực hiện sao lưu định kỳ và lưu trữ dữ liệu ngoài hệ thống mạng chính, đồng thời xây dựng kịch bản ứng phó sự cố với sự phối hợp chặt chẽ giữa bộ phận công nghệ thông tin và lực lượng an ninh mạng quốc gia.

Một trong những yêu cầu cấp thiết hiện nay là nâng cao năng lực nhận thức bảo mật cho đội ngũ nhân sự tuyến đầu, những người trực tiếp tương tác với khách hàng và có thể vô tình trở thành điểm khởi phát cho các cuộc xâm nhập. Trong bối cảnh các chiến thuật tấn công ngày càng tinh vi, việc đào tạo thường xuyên về cách phát hiện và ứng phó với các hình thức lừa đảo cần được xem là một phần thiết yếu trong chiến lược an ninh mạng tổng thể. Nếu được trang bị đầy đủ kiến thức và quy trình ứng phó phù hợp, họ chính là lớp bảo vệ đầu tiên và hiệu quả nhất trước mọi rủi ro an ninh mạng.

Trong ngành bảo hiểm, nơi xử lý lượng lớn yêu cầu, phụ thuộc chặt chẽ vào công nghệ và tương tác liên tục với khách hàng, bất kỳ sơ hở nào về quy trình hay nhận thức đều có thể trở thành “mồi ngon” cho tin tặc. Trước làn sóng tấn công có chủ đích ngày càng dày đặc và quy mô lớn, ngành bảo hiểm cần hành động sớm, phối hợp đồng bộ từ nhận thức đến kỹ thuật để vượt qua nút thắt an ninh mạng đầy rủi ro hiện nay.