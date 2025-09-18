Theo TechRadar, một nền tảng lừa đảo dưới dạng dịch vụ (PhaaS) mới và cực kỳ tinh vi có tên 'VoidProxy' đang được tội phạm mạng sử dụng để tấn công hàng loạt vào các tài khoản Microsoft 365 và Google. Đáng báo động, công cụ này có khả năng vô hiệu hóa lớp phòng thủ quan trọng mà nhiều người tin tưởng nhất là xác thực đa yếu tố (MFA).

Bảo mật hai lớp (2FA) tài khoản không còn an toàn trước VoidProxy

Theo cảnh báo từ công ty bảo mật Okta, các chiến dịch lừa đảo sử dụng VoidProxy đang có xu hướng gia tăng. Đây không phải là những cuộc tấn công thông thường, mà là một mối đe dọa được 'đóng gói' chuyên nghiệp để ngay cả những kẻ tấn công tay nghề thấp cũng có thể sử dụng.

PhaaS về cơ bản là một bộ công cụ 'plug-and-play' dành cho tội phạm mạng. Kẻ tấn công chỉ cần thuê dịch vụ VoidProxy là sẽ có trong tay mọi thứ cần thiết, từ các trang web đăng nhập giả mạo Microsoft, Google cho đến các công cụ gửi email lừa đảo hàng loạt. Điều này làm hạ thấp rào cản kỹ thuật, khiến các cuộc tấn công tinh vi trở nên phổ biến hơn.

Cách VoidProxy vượt qua lớp bảo vệ MFA

Kỹ thuật của VoidProxy cực kỳ nguy hiểm và được thiết kế để đánh lừa cả những người dùng cẩn thận nhất:

Email lừa đảo tinh vi : Cuộc tấn công thường bắt đầu bằng một email được gửi từ một tài khoản hợp pháp nhưng đã bị xâm nhập, giúp nó dễ dàng vượt qua các bộ lọc spam.

: Cuộc tấn công thường bắt đầu bằng một email được gửi từ một tài khoản hợp pháp nhưng đã bị xâm nhập, giúp nó dễ dàng vượt qua các bộ lọc spam. Trang đăng nhập giả mạo : Email sẽ chứa một đường link dẫn đến một trang đăng nhập giả mạo, giống hệt với trang thật của Microsoft hoặc Google.

: Email sẽ chứa một đường link dẫn đến một trang đăng nhập giả mạo, giống hệt với trang thật của Microsoft hoặc Google. Đánh cắp 'chìa khóa' phiên đăng nhập: Khi nạn nhân nhập tên người dùng, mật khẩu và cả mã xác thực hai lớp (MFA/2FA), VoidProxy sẽ hoạt động như một kẻ trung gian. Nó chuyển tiếp thông tin này đến trang web thật để đăng nhập, nhưng đồng thời, nó sẽ đánh chặn và sao chép 'session cookie'.

'Session cookie' chính là một "chìa khóa tạm thời" chứng minh bạn đã đăng nhập thành công. Bằng cách chiếm đoạt chiếc chìa khóa này, hacker có thể truy cập thẳng vào tài khoản của bạn mà không cần đến mật khẩu hay mã MFA một lần nữa.

Thêm vào đó, nhờ sự trợ giúp của AI tạo sinh (GenAI), các email lừa đảo giờ đây được viết một cách chuyên nghiệp, không còn lỗi chính tả hay ngữ pháp, khiến chúng càng khó bị phát hiện hơn.

Cách tự bảo vệ bản thân

Đầu tiên, hãy luôn kiểm tra kỹ những đường link nhận được qua email. Dù email nhìn có thật đến đâu, hãy luôn rê chuột qua các đường link để xem địa chỉ web thực sự trước khi nhấp vào. Tiếp đến, ưu tiên sử dụng khóa bảo mật vật lý. Các loại khóa bảo mật phần cứng (như YubiKey) có khả năng chống lại kiểu tấn công trung gian này. Cuối cùng, ý thức cảnh giác luôn được để lên hàng đầu, bất kỳ yêu cầu đăng nhập đột xuất nào cũng cần được xem xét một cách cẩn trọng.