Kurt bị lừa

 (fly.io)
1 điểm bởi GN⁺ 2025-10-10 | 1 bình luận | Chia sẻ qua WhatsApp
  • Tài khoản Twitter của Fly.io đã bị chiếm đoạt do một cuộc tấn công phishing
  • CEO Kurt Mackey giải thích quá trình bị lộ thông tin tài khoản thông qua một email phishing tinh vi
  • Tài khoản Twitter bị xem là tài sản có mức độ quan trọng thấp trong nội bộ, nên bị loại khỏi các ưu tiên bảo mật
  • Nhấn mạnh tầm quan trọng của xác thực chống phishing (MFA, Passkeys, FIDO2, v.v.) như biện pháp ngăn chặn phishing
  • Nhân sự cố này, bài viết đề cập đến nhu cầu tăng cường MFA cho tài khoản Twitter và tái định hình nhận thức về bảo mật

Tổng quan về vụ phishing tài khoản Twitter của Fly.io

  • Tài khoản Twitter của Fly.io đã bị tấn công phishing và bị chiếm đoạt
  • CEO Kurt Mackey nhận được một email phishing được thiết kế rất tinh vi và đã nhập thông tin tài khoản, khiến vụ tấn công thành công
  • Bối cảnh cốt lõi khiến cuộc tấn công phishing thành công là việc tài khoản Twitter này bị đánh giá khách quan là ít quan trọng, cùng với điểm yếu tâm lý của nhóm quản lý do không quen thuộc với văn hóa internet trẻ

Diễn biến cụ thể của cuộc tấn công phishing

  • Từ lâu, Fly.io đã giao một phần việc quản lý kênh Twitter cho các nhà thầu bên ngoài và không thật sự quen thuộc với nội dung thế hệ mới như meme sáng tạo
  • Email phishing được dùng trong vụ việc này được thiết kế để trông giống cảnh báo thật từ x.com (Twitter), khai thác điểm tâm lý kích thích sự lo lắng của ban điều hành
  • Kurt đã lấy thông tin tài khoản từ 1Password rồi đăng nhập vào trang phishing do kẻ tấn công dựng lên
  • Ngay sau vụ tấn công, họ phát hiện dấu vết như địa chỉ email của tài khoản Twitter bị đổi sang email do kẻ tấn công kiểm soát, và nội bộ đã tiến hành kiểm tra, chặn toàn bộ quyền truy cập

Chiến lược phòng vệ phishing và hiện trạng bảo mật của tổ chức

  • Thông thường, việc chống phishing chỉ bằng “đào tạo nhân viên” là có giới hạn; cần thừa nhận rằng bất kỳ ai cũng có thể lỡ tay bấm vào
  • Giải pháp gốc rễ là áp dụng xác thực chống phishing (U2F, FIDO2, Passkeys, v.v.) với cấu trúc xác thực lẫn nhau
  • Hạ tầng nội bộ của Fly.io được bảo vệ bằng SSO và MFA an toàn thông qua Google IdP, nên chỉ khu vực Twitter và các hệ thống legacy là còn tương đối yếu
  • Từ sự cố này, công ty nhận ra cần áp dụng mức bảo mật xác thực tương đương cả với các khu vực không cốt lõi như tài khoản SNS dùng chung

Quy trình ứng phó và khôi phục sau sự cố

  • Kẻ tấn công đã ngay lập tức hủy mọi phiên đăng nhập và thử đặt lại 2FA, nên dù Fly.io nhanh chóng đổi mật khẩu thì việc khôi phục tài khoản vẫn mất thời gian
  • Nhờ hỗ trợ thủ công từ X.com, công ty đã khôi phục hoàn toàn quyền kiểm soát tài khoản trong khoảng 15 giờ
  • Nhìn chung không có rò rỉ dữ liệu người dùng hay khách hàng, nhưng đã phát sinh tổn hại ngắn hạn về hình ảnh thương hiệu và gánh nặng xử lý cho đội ngũ kỹ sư
  • Kẻ tấn công đã xóa một phần lịch sử Twitter của Fly.io, nhưng thiệt hại thực tế không lớn

Kết luận và bài học rút ra

  • Bài học cốt lõi của sự cố này là: “Ngay cả CEO cũng dễ tin email, và ai cũng có thể trở thành nạn nhân của phishing
  • Trong tương lai, công ty sẽ bắt buộc áp dụng MFA dựa trên Passkeys cho mọi tài khoản quan trọng, đồng thời dự định dùng sự cố này như một ví dụ trong các trường hợp tuân thủ bảo mật như SOC2
  • Trong quá trình ra quyết định bảo mật của tổ chức, nếu có tài sản nào chưa áp dụng “xác thực chống phishing và SSO IdP” thì nhất định phải được nhìn nhận là một yếu tố rủi ro
  • Hy vọng sự cố này sẽ trở thành một ví dụ cảnh tỉnh cho các tổ chức tương tự

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-10-10
Ý kiến trên Hacker News

  • Mỗi khi công ty cũ nhận kiểm toán bảo mật pentest hằng năm, công ty kiểm toán luôn đề xuất thử cả tấn công phishing hoặc social engineering, nhưng rồi lại không khuyến nghị vì nói rằng kiểu gì cũng thành công.
    Có một câu chuyện đáng nhớ là nếu công ty pentest cố tình vứt vài USB trong bãi đậu xe của công ty, sẽ luôn có ai đó nhặt lên rồi thử cắm vào PC ở văn phòng, và cuối cùng bị hack.
    Phishing thực ra cũng không khác mấy.
    Đây là thời điểm tốt để thiết lập Passkeys, tham khảo hướng dẫn Passkeys

    • Công ty tôi cũng thường xuyên tổ chức diễn tập phishing nhắm vào đội ngũ nội bộ, và tỷ lệ không bấm vào link lên tới 90% (không chắc con số chính xác).
      Dù vậy, việc 10% tương đương 1.500 người vẫn khiến tôi giật mình.
      Gần đây họ đổi domain người gửi email phishing thành domain nội bộ, nên banner thông báo đây là email bên ngoài như thường lệ không hiện nữa, và tôi cũng bị dính.

    • Có người nhắc đến chuyện ai đó cắm USB nhặt được rồi bị hack, và tôi có một câu trích dẫn rất thích.
      Đó là lời của một nhân vật ẩn danh có liên quan đến cuộc tấn công vào nhà máy điện hạt nhân Iran năm 2012 (Stuxnet).
      "Lúc nào cũng có một kẻ ngốc chẳng bận tâm gì đến chiếc USB đang cầm trên tay."

    • Năm ngoái tôi nhận được một email phishing gửi tới hòm thư công ty, và nó khá thuyết phục.
      Tôi biết đó là phishing, nhưng nếu lúc đó thực sự quá bận thì có lẽ tôi cũng đã mắc bẫy.
      Khi gặp các trang phishing tinh vi như vậy, tôi thích mở chúng trong môi trường sandbox và chỉ nhập dữ liệu giả vào form để lãng phí thời gian của kẻ tấn công.
      Nhưng hóa ra nó được gửi từ công ty pentest do công ty tôi thuê, và URL chứa mã gắn với tài khoản của tôi, nên dù tôi không nhập bất kỳ thông tin nào, vẫn bị ghi nhận là đã mắc phishing.
      Nếu đánh giá thành công của phishing theo kiểu đó thì tôi thấy pentest không có nhiều ý nghĩa.

    • Nếu bị hack vì vô tư chạy file thực thi từ USB drive hay nguồn tương tự, thì passkeys cũng không giúp được gì.
      Nếu social engineering khiến người dùng cài một file thực thi ngẫu nhiên thì cũng vậy.

    • Có câu chuyện rằng Stuxnet cũng được phát tán chính bằng cách này, qua USB drive, nhưng thật lòng tôi không chắc trong thế giới ngày nay cách đó còn hiệu quả đến vậy không.

  • Tôi từng suýt bị phishing cách đây không lâu.
    Tôi đã vào một domain bị biến tấu nhẹ mà không nhận ra, nhưng nhờ dùng ví phần cứng nên tránh được.
    Điều đó khiến tôi nhận ra rằng bất kỳ ai, nếu đang bận, mệt, hoặc chỉ mất cảnh giác trong một khoảnh khắc, đều có thể dính phishing.
    Như Thomas nói, điều quan trọng là dùng passkeys cho mọi dịch vụ.

    • Nếu bạn quen với hệ sinh thái Apple, có một hướng dẫn tự viết về cách triển khai PassKey trong ứng dụng iOS.

    • Nói theo hướng phản biện thì tôi thấy passkeys hiện vẫn khá rối rắm và đầy hạn chế, nên chưa có lợi thế rõ rệt so với việc dùng một password manager tốt cùng mật khẩu mạnh.

    • Tôi rất đồng cảm với câu "không ai an toàn 100% trước phishing".
      Vài năm trước chúng tôi thậm chí còn khiến cả người phụ trách bảo mật mắc phishing trong một bài test.
      Điều đó thật sự cho thấy ai cũng có nguy cơ.

  • Trong chủ đề về vụ phishing lừa đảo liên quan đến Fly.io, tôi nghĩ nếu cuộc tấn công thực sự gây thiệt hại lớn thì mọi người đã không xem nhẹ như vậy.
    Dù thế, tôi vẫn lo rằng nếu ai đó thực sự mất tiền mã hóa qua link đó, thì trách nhiệm phía Fly.io có thể trở thành vấn đề.

  • Có nghiên cứu cho thấy đào tạo phishing không hiệu quả lắm.
    Xem "Understanding the Efficacy of Phishing Training in Practice"

    • Kiểu lời khuyên như "đừng nhập mật khẩu vào website không nên nhập, chỉ nhập vào nơi cần nhập" rốt cuộc chỉ là cách nói vòng vo.
      Nó giống như với 2FA SMS, lúc nào cũng bảo "đừng đưa mã này cho bất kỳ ai!" nhưng rồi lại thiết kế quy trình để người dùng tự nhập mã đó vào website khi đăng nhập và truyền nó đi.
      Tôi luôn thấy những thông điệp cảnh báo kiểu này rất bực bội.

    • Tôi làm việc trong một ngành chịu quản lý rất chặt, và vài năm trước sau khi một nhân viên mắc phishing, cơ quan quản lý đã yêu cầu hồ sơ 5 năm về các bài test và đào tạo phishing.
      Với những người như chúng tôi, các bài huấn luyện này vẫn là một cái xấu cần thiết.

    • Chính bài viết gốc cũng đã nhắc tới link của đúng bài nghiên cứu đó.

    • Tôi đồng cảm với câu nói kiểu "đứa con Zoomer của chúng tôi bảo rằng những người lớn như chúng tôi quá quê mùa nên không thể tin cậy về mấy chuyện này".
      Dù vậy tôi nghĩ việc tiếp nhận điều đó bằng sự hài hước là khá hay.

  • Email phishing kiểu "nội dung đăng trên X đã vi phạm" quá phổ biến, đến mức tôi nhận hơn 10 cái gần như mỗi tuần.
    Vì thế tôi đã phải thay bộ lọc email nhiều lần (không dễ chỉ lọc theo chữ X, và bọn lừa đảo cũng liên tục thay đổi câu chữ).
    Cuối cùng tôi còn đổi cả dịch vụ bảo mật email đang dùng, và dù đã thử nhiều nhà cung cấp, chỉ có Check Point là chặn được toàn bộ email phishing giả danh X (không phải quảng cáo, chỉ chia sẻ thông tin).
    Từ góc nhìn công ty bảo mật thì thật sự khá xấu hổ khi nhiều trường hợp dấu hiệu phishing quá rõ ràng mà vẫn không chặn được.

  • Tôi cũng từng gặp đúng kiểu tấn công phishing này vài tháng trước.
    Mức độ UI engineering của nó thực sự rất đáng nể.
    Chia sẻ ảnh chụp màn hình phishing

    • Có tin Chromium đang phát triển việc bổ sung các tính năng AI cục bộ vào trình duyệt, và tôi nghĩ một ngày nào đó kiểu này có thể được dùng cả cho kiểm tra an ninh.
      Ví dụ, với các link mở ra tab mới từ bên ngoài, AI có thể phát hiện và cảnh báo rằng 'trang này trông giống một website nổi tiếng nhưng URL lại khác'.
      Chỉ cần áp dụng cho khoảng 1.000 website nổi tiếng hàng đầu thôi cũng có thể ngăn được rất nhiều vụ phishing.

    • URL như "imagecontent-x.com" theo tôi là dấu hiệu mà ai cũng nên cảnh giác.

    • Tôi tò mò không biết trong trường hợp đó trình duyệt có tự động điền thông tin đăng nhập hay không.
      Tôi cũng muốn biết liệu chuyện này có thường xảy ra cả với lưu lượng hợp lệ hay không, và biểu tượng ổ khóa cạnh thanh địa chỉ có hiển thị đúng hay không.

  • Nhìn cách kẻ tấn công làm trang đích giả và email phishing rất thuyết phục, tôi thấy họ thật sự đáng gờm.
    Bình thường tôi không rành mảng crypto lắm, nên tôi tò mò cơ sở nào để họ nói rằng "xác suất thành công thấp và sẽ không có thiệt hại".
    Tôi muốn biết có thể lần theo chiếc ví được dùng trên trang đích giả để xác minh rằng thật sự không có nạn nhân nào bị thiệt hại hay không.

  • Trải nghiệm này lại nhắc tôi về tầm quan trọng của một password manager hoạt động đúng cách.
    Nếu là người vận hành website thì nên chú ý để password manager không bị hỏng chức năng.
    Khi một site không cho tự động điền mật khẩu, đó ngay lập tức là dấu hiệu cảnh báo khiến tôi cực kỳ đề phòng.
    Tôi cho rằng 2FA dựa trên mã hoàn toàn vô dụng trong việc chống phishing.
    Nếu tôi đăng nhập thì kẻ tấn công cũng có thể lấy được mã 2FA, nên dùng kiểu nào cũng chẳng giúp gì.

    • Người tạo haveibeenpwned.com cũng từng bị phishing (dù vẫn dùng password manager).

    • Tôi tò mò mọi người dung hòa chuyện này thế nào với các trường hợp người rất giỏi kỹ thuật, vẫn dùng password manager, nhưng vẫn bị phishing.

    • Nên tắt tính năng tự động điền.
      Các cuộc tấn công mới nhất còn có cả những cách như tapjacking nên rất nguy hiểm.

  • Ban đầu tôi thắc mắc vì sao bài này lại được đẩy lên đầu, nhưng đến cuối thấy tên tác giả là Kurt thì tôi hiểu ra.
    Bài học là "nếu cả Kurt còn dính thì ai cũng có thể dính".
    Lần này thiệt hại rất nhỏ, nhưng ai cũng có điểm mù, đặc biệt là ở những góc bị bỏ mặc một cách vô thức thì kiểu lỗ hổng này rất dễ ẩn nấp.
    Nếu kẻ tấn công không chỉ là lừa đảo vặt mà thật sự độc hại, tôi nghĩ chúng hoàn toàn có thể bắt đầu từ tài khoản chính thức của công ty rồi tiếp tục social engineering sâu hơn.

    • Có lẽ đúng là đang nói về người tên Kurt.

  • Bản thân bài viết đã rất hay, nhưng tôi cũng thấy kỹ thuật phishing thực sự rất tinh vi.

    • Tôi nghe nói kiểu lừa đảo phishing này gần đây đang thịnh hành, và không chỉ mỗi chúng ta bị nhắm tới.
      Nhưng trước khi chuyện này xảy ra thì tôi không hề biết.

    • Kiểu tự giễu bản thân khá buồn cười.
      Tôi cũng nhớ mình từng một hai lần suýt mắc bẫy trước đây.
      Thường là ngay sau khi bấm vào mới chợt nhận ra "toang rồi", rồi lập tức khóa tài khoản để chặn thiệt hại.
      Ảnh minh họa giai thoại