Chiêu lừa mới: Phishing được gửi trực tiếp từ địa chỉ email thật của Microsoft

2. Chỉnh sửa thông tin branding của tenant
Trong Microsoft Entra ID, mỗi tenant có thể tùy chỉnh thông tin nhận diện như tên tổ chức. Kẻ tấn công chèn nội dung lừa đảo vào các trường này — ví dụ cảnh báo mua hàng giả, hóa đơn giả hoặc số điện thoại “hỗ trợ kỹ thuật”.

3. Kích hoạt một quy trình thông báo hợp lệ
Sau đó, chúng kích hoạt một quy trình hệ thống thật, chẳng hạn thêm địa chỉ email làm phương thức đăng nhập hoặc khôi phục tài khoản cho người dùng trong tenant. Nhưng thay vì nhập email của mình, chúng nhập email của nạn nhân.

4. Microsoft gửi email tới nạn nhân
Hành động trên khiến hệ thống Microsoft gửi một email thông báo tự động đến địa chỉ của nạn nhân. Vì mẫu email chứa tên tổ chức hoặc dữ liệu branding của tenant, nội dung lừa đảo mà kẻ tấn công chèn vào sẽ xuất hiện trong email hợp pháp này.

Kết quả là một email phishing được “nhúng” vào trong email thông báo thật của Microsoft.

Các thủ thuật né tránh bộ lọc

Để tăng khả năng qua mặt bộ lọc spam, chiến dịch này còn dùng nhiều thủ thuật kỹ thuật:

• Chiếm dụng dòng tiêu đề – Nội dung lừa đảo được nhét vào các trường branding dài để phần preview hoặc tiêu đề email hiển thị thông điệp giả mạo.
• Ký tự giống nhau (homoglyph) – Dùng ký tự nhìn giống chữ cái thông thường để tránh hệ thống phát hiện từ khóa.
• Che giấu số điện thoại – Viết số bằng chữ hoặc ký tự đặc biệt để vượt qua bộ lọc tự động.

Những kỹ thuật này giúp email vừa vượt qua hệ thống lọc, vừa đủ rõ ràng để người đọc hiểu thông điệp lừa đảo.

Vì sao email trông rất đáng tin

Điểm nguy hiểm nhất của chiến dịch này là email không bị giả mạo địa chỉ gửi.

Vì thông báo được tạo và gửi trực tiếp từ hệ thống Microsoft nên chúng có thể vượt qua các cơ chế xác thực email phổ biến như SPF, DKIM và DMARC — những kiểm tra mà nhiều hệ thống email dùng để xác minh nguồn gửi.

Ngoài ra, người nhận còn thấy địa chỉ gửi quen thuộc liên quan đến cảnh báo bảo mật tài khoản Microsoft, nên mức độ tin tưởng dễ tăng lên dù nội dung bên trong có dấu hiệu đáng ngờ.

Các báo cáo từ giới nghiên cứu và tổ chức chống spam

Các cuộc điều tra của nhà báo và chuyên gia bảo mật cho thấy việc lạm dụng này đã diễn ra trong nhiều tháng.

Một số phát hiện đáng chú ý gồm:

• Nhiều email phishing được gửi từ địa chỉ thông báo chính thức của Microsoft tới các hộp thư khác nhau.
• Nội dung lừa đảo thường xoay quanh hóa đơn giả, cảnh báo mua hàng, hoặc yêu cầu gọi ngay đến “bộ phận hỗ trợ”.
• Kẻ tấn công tạo và bỏ hàng loạt tenant Microsoft 365 dùng một lần theo kiểu "burn‑and‑churn".

Các chuyên gia chống spam cho rằng mức độ tùy chỉnh trong hệ thống thông báo tự động có thể bị lợi dụng nếu thiếu các biện pháp kiểm soát chặt chẽ.

Đáng chú ý, tại thời điểm các sự cố này được ghi nhận, Microsoft chưa công bố nguyên nhân kỹ thuật chính xác của việc lạm dụng.

Cách nhận biết email Microsoft đáng ngờ

Trong trường hợp này, địa chỉ người gửi hợp lệ không còn là dấu hiệu đáng tin duy nhất. Người dùng nên chú ý đến ngữ cảnh của email.

Một số dấu hiệu cảnh báo gồm:

• Email thông báo mua hàng hoặc giao dịch mà bạn không thực hiện
• Thông điệp yêu cầu gọi ngay đến số điện thoại hỗ trợ
• Yêu cầu nhấp vào liên kết để xử lý vấn đề thanh toán khẩn cấp
• Mã xác minh cho hành động bạn không hề thực hiện

Ngay cả khi email đến từ địa chỉ thật của Microsoft, nội dung bên trong vẫn có thể bị lợi dụng.

Cách tự bảo vệ

Nếu nhận được email Microsoft đáng ngờ:

• Không nhấp vào liên kết hoặc gọi số điện thoại trong email.
• Tự mở trang Microsoft chính thức bằng cách gõ địa chỉ website vào trình duyệt.
• Kiểm tra hoạt động tài khoản trong bảng điều khiển tài khoản Microsoft.
• Báo cáo email là phishing trong ứng dụng email hoặc cho bộ phận IT của tổ chức.
• Nếu đã tương tác với email, hãy đổi mật khẩu Microsoft và kiểm tra lịch sử đăng nhập.

Sự việc này cho thấy một xu hướng mới trong tội phạm mạng: thay vì chỉ giả mạo dịch vụ lớn, kẻ tấn công ngày càng tìm cách lợi dụng chính hạ tầng hợp pháp của các nền tảng lớn để phát tán lừa đảo. Khi một dịch vụ đáng tin trực tiếp gửi email, những dấu hiệu tin cậy truyền thống có thể không còn đủ để bảo vệ người dùng.