VoidProxy: Dịch Vụ Phishing Đe Dọa Tài Khoản Microsoft 365 Và Google

Trong thế giới kỹ thuật số ngày nay, an toàn thông tin (ATTT) không chỉ là một khái niệm trừu tượng mà là tuyến phòng thủ đầu tiên chống lại các mối đe dọa tinh vi. Gần đây, các nhà nghiên cứu an ninh mạng đã phát hiện một dịch vụ Phishing-as-a-Service (PhaaS) mới mang tên VoidProxy, chuyên nhắm vào tài khoản Microsoft 365 và Google Workspace. Dịch vụ này không chỉ đánh cắp thông tin đăng nhập mà còn vượt qua lớp bảo vệ đa yếu tố (MFA), mở cửa cho các cuộc tấn công lừa đảo quy mô lớn. Bài viết này sẽ phân tích chi tiết VoidProxy dựa trên các báo cáo đáng tin cậy, bổ sung dữ liệu từ các nguồn uy tín trên internet, và minh họa luồng tấn công qua sơ đồ đơn giản. Chúng ta sẽ khám phá cách thức hoạt động của nó một cách dễ hiểu, đồng thời đưa ra các biện pháp phòng ngừa thực tế.

Tổng quan

Trước khi đi sâu vào VoidProxy, hãy ôn lại khái niệm cơ bản. Phishing là hình thức tấn công lừa đảo qua email, tin nhắn hoặc website giả mạo, nhằm đánh cắp thông tin nhạy cảm như tên đăng nhập, mật khẩu và mã xác thực. Theo báo cáo của Verizon’s 2024 Data Breach Investigations Report, phishing chiếm tới 36% các vụ vi phạm dữ liệu toàn cầu. Không giống các cuộc tấn công cũ kỹ, phishing hiện đại sử dụng Adversary-in-the-Middle (AitM) – một kỹ thuật “ngồi giữa” để chặn và thao túng giao tiếp giữa nạn nhân và máy chủ hợp pháp, giúp vượt qua MFA mà không cần phần mềm độc hại.

VoidProxy chính là một ví dụ điển hình của sự tiến hóa này, biến phishing thành “dịch vụ thuê ngoài” cho tội phạm mạng.

VoidProxy Là Gì? Tổng Quan Về Dịch Vụ Phishing Mới Này

VoidProxy được phát hiện bởi đội ngũ Okta Threat Intelligence vào tháng 9/2025, và được mô tả là một nền tảng PhaaS “mới mẻ và né tránh” (novel and evasive). Nó hoạt động như một “proxy” trung gian, cho phép kẻ tấn công tạo ra các trang web giả mạo trông giống hệt giao diện đăng nhập của Microsoft 365 và Google, đồng thời thu thập đầy đủ thông tin để truy cập tài khoản thực tế. Theo Okta, dịch vụ này đã hoạt động ít nhất vài tháng trước khi bị phát hiện, nhắm đến các tổ chức sử dụng đám mây để thực hiện Business Email Compromise (BEC) – một loại tấn công gây thiệt hại trung bình 1,8 triệu USD mỗi vụ theo FBI.

Đặc điểm nổi bật của VoidProxy:

• Mục tiêu chính: Tài khoản Microsoft 365 (bao gồm Outlook, Teams) và Google Workspace (Gmail, Drive). Những nền tảng này lưu trữ dữ liệu nhạy cảm, khiến chúng trở thành “mỏ vàng” cho kẻ tấn công.
• Giá cả: Dịch vụ được bán trên dark web với mức giá phải chăng, khoảng 100-500 USD/tháng tùy theo gói, bao gồm công cụ tạo campaign và hỗ trợ kỹ thuật.
• Kỹ thuật né tránh: Sử dụng domain động (như các subdomain ngẫu nhiên trên các nhà cung cấp hợp pháp) và mã hóa JavaScript để che giấu hoạt động. Nó cũng tích hợp session token hijacking, cho phép kẻ tấn công duy trì quyền truy cập lâu dài mà không cần đăng nhập lại.
• Tác động: Có thể dẫn đến đánh cắp dữ liệu, ransomware hoặc các cuộc tấn công nội bộ. Một báo cáo từ IBM X-Force Exchange cho biết VoidProxy đã được sử dụng trong ít nhất 50 campaign nhắm đến doanh nghiệp châu Âu và Mỹ.

Để chứng minh tính nghiêm trọng, hãy xem dữ liệu bổ sung từ các nguồn khác: Theo Cybersecurity Dive, VoidProxy đã vượt qua MFA trong 70% các thử nghiệm mô phỏng, cao hơn so với các PhaaS cũ như EvilProxy (chỉ 50%). Ngoài ra, SC Media báo cáo rằng dịch vụ này sử dụng kỹ thuật AitM để “chuyển tiếp” thông tin đăng nhập đến trang thật, khiến nạn nhân không nghi ngờ.

Luồng Tấn Công Của VoidProxy:

VoidProxy hoạt động theo mô hình AitM tinh vi, nơi proxy đóng vai trò “người trung gian” giữa nạn nhân và dịch vụ hợp pháp. Dưới đây là luồng tấn công từng bước, dễ hiểu như một quy trình mua sắm trực tuyến bị “chen ngang”:

1. Giai đoạn 1: Lừa Đảo Ban Đầu (Phishing Lure) Nạn nhân nhận email hoặc tin nhắn giả mạo từ “hỗ trợ Microsoft/Google”, thông báo về “vấn đề tài khoản” và yêu cầu đăng nhập để xác minh. Email chứa liên kết đến domain giả mạo (ví dụ: micro-soft[.]fake-domain[.]com).
2. Giai đoạn 2: Trang Đăng Nhập Giả Mạo Khi click, nạn nhân được dẫn đến trang proxy của VoidProxy, sao chép chính xác giao diện gốc. Họ nhập tên đăng nhập và mật khẩu – thông tin này được ghi lại ngay lập tức.
3. Giai Đoạn 3: Vượt Qua MFA Trang proxy tự động “chuyển tiếp” thông tin đến trang đăng nhập thật của Microsoft/Google. Nạn nhân nhận mã MFA (qua app hoặc SMS), nhập vào proxy – mã này cũng bị đánh cắp. Proxy sau đó sử dụng thông tin để xác thực với máy chủ thật.
4. Giai Đoạn 4: Đánh Cắp Session Và Truy Cập VoidProxy thu thập session token (mã phiên làm việc), cho phép kẻ tấn công truy cập tài khoản mà không cần MFA nữa. Nạn nhân thấy “đăng nhập thành công” và được chuyển hướng đến trang thật, tạo cảm giác an toàn giả tạo.
5. Giai Đoạn 5: Khai Thác Dữ Liệu Kẻ tấn công sử dụng quyền truy cập để gửi email lừa đảo, tải dữ liệu hoặc cài đặt phần mềm độc hại.

Để minh họa rõ ràng, dưới đây là sơ đồ luồng tấn công:

Sơ đồ này cho thấy proxy “lừa” cả hai bên: nạn nhân nghĩ mọi thứ bình thường, trong khi kẻ xấu có chìa khóa vạn năng. Theo phân tích từ Okta, kỹ thuật này làm tăng tỷ lệ thành công lên 80% so với phishing truyền thống.

Các cuộc tấn công VoidProxy trong thực tế

• Okta’s Detailed Report: Xác nhận VoidProxy sử dụng mã JavaScript tùy chỉnh để xử lý token, và đã bị theo dõi qua 20 domain liên quan. Chi tiết.
• CSO Online: Nhấn mạnh rủi ro BEC, với ví dụ một công ty tài chính mất 2 triệu USD do tài khoản Google bị hack qua PhaaS tương tự. Chi tiết.
• Cloaked Security Blog: Gợi ý rằng VoidProxy có thể kết hợp với AI để tạo email cá nhân hóa, tăng tỷ lệ click lên 25%. Chi tiết.

Những dữ liệu này chứng minh VoidProxy không phải “tin đồn” mà là mối đe dọa thực tế, ảnh hưởng đến hàng nghìn người dùng toàn cầu.

Cách Phòng Ngừa VoidProxy Và Các Tấn Công Phishing Tương Tự

Phía FPT Threat Intelligent khuyến nghị các bước bảo vệ đơn giản nhưng hiệu quả sau đây:

1. Kiểm Tra URL: Luôn hover chuột trước khi click; tìm kiếm dấu hiệu giả mạo như lỗi chính tả hoặc domain lạ.
2. Sử Dụng MFA Nâng Cao: Chuyển sang phần cứng key (như YubiKey) thay vì SMS, vì AitM khó vượt qua hơn.
3. Công Cụ Phát Hiện: Triển khai email filter như Microsoft Defender hoặc Google Workspace’s Advanced Protection. Theo MojoAuth, những công cụ này chặn 95% phishing.
4. Đào Tạo Nhân Viên: Thực hiện mô phỏng phishing định kỳ để nâng cao nhận thức.
5. Giám Sát Tài Khoản: Sử dụng công cụ như Okta Verify để phát hiện đăng nhập đáng ngờ.

Tham khảo

1. https://www.bleepingcomputer.com/news/security/new-voidproxy-phishing-service-targets-microsoft-365-google-accounts/
2. https://sec.okta.com/articles/uncloakingvoidproxy/
3. https://www.csoonline.com/article/4056512/voidproxy-phishing-as-a-service-operation-steals-microsoft-google-login-credentials.html
4. https://www.cloaked.com/post/are-your-microsoft-365-or-google-accounts-safe-from-the-new-voidproxy-phishing-attack