Ngày 2 tháng 7 năm 2025

Chỉ vài tháng sau khi Scattered Spider gây ra thảm họa trong ngành bán lẻ của Anh , nhóm tội phạm mạng này đã chuyển hướng sang ngành hàng không toàn cầu, với các sự cố gần đây ảnh hưởng đến Hawaiian Airlines, WestJet và Qantas.

Đây là trọng tâm lớn thứ ba của Scattered Spider trong ngành chỉ trong vòng hai tháng, sau các cuộc tấn công phối hợp vào các công ty bảo hiểm và bán lẻ tại Hoa Kỳ và Vương quốc Anh. Chỉ tính riêng từ tháng 5 đến tháng 6 năm 2025, các nhà bán lẻ như Marks & Spencer, Harrods, Cartier, Victoria's Secret và Adidas đã bị xâm phạm, cùng với các công ty bảo hiểm khổng lồ Aflac và Philadelphia Insurance Companies. Chỉ riêng cuộc tấn công của M&S ước tính đã gây thiệt hại 300 triệu bảng Anh và gây ra nhiều tháng gián đoạn hoạt động.

Theo cảnh báo của FBI , Scattered Spider “nhắm mục tiêu vào các tập đoàn lớn và các nhà cung cấp CNTT bên thứ ba, nghĩa là bất kỳ ai trong hệ sinh thái hàng không — bao gồm cả nhà cung cấp và nhà thầu — đều có thể gặp rủi ro”.

Các cuộc tấn công này được thiết kế đặc biệt để khai thác điểm yếu cơ bản của xác thực đa yếu tố (MFA) truyền thống dựa trên các bí mật được chia sẻ — các yếu tố như mật khẩu hoặc mật mã một lần có thể bị chặn, đánh cắp hoặc bị kỹ thuật xã hội. Các tổ chức không còn có thể hỏi liệu họ có bị nhắm mục tiêu hay không, mà là khi nào. Chìa khóa để giảm thiểu các cuộc tấn công này là vượt ra ngoài các bí mật được chia sẻ để chuyển sang MFA dựa trên danh tính, chống lừa đảo.

Giải phẫu của cuộc tấn công của nhện phân tán

Trong khi mục tiêu ngành của Scattered Spider thay đổi, chiến thuật của họ vẫn nhất quán:

  • Nghiên cứu tinh vi và kỹ thuật xã hội: Kẻ tấn công tiến hành do thám sâu để thu thập dữ liệu cá nhân, chẳng hạn như số An sinh xã hội và địa chỉ. 
  • Nhắm mục tiêu vào các bộ phận hỗ trợ dễ bị tấn công: Các bộ phận hỗ trợ, thường được thuê ngoài và vận hành bằng mã lệnh, là mục tiêu chính của các cuộc tấn công mạo danh. Như Austin Larsen, chuyên gia phân tích mối đe dọa chính tại Google Mandiant, lưu ý: "Các bộ phận hỗ trợ rất khó phát hiện những cuộc tấn công này, xét đến lượng thông tin mà kẻ tấn công thường nắm giữ." 
  • Hoán đổi SIM: Được trang bị dữ liệu cá nhân chi tiết, kẻ tấn công lừa các nhà mạng di động chuyển số điện thoại của nạn nhân sang SIM do kẻ tấn công kiểm soát, chặn mã truy cập một lần dựa trên SMS để bỏ qua MFA. 
  • Phần mềm tống tiền và đánh cắp dữ liệu: Với quyền MFA gian lận, kẻ tấn công có thể truy cập vào hệ thống của công ty, nâng cao đặc quyền, triển khai phần mềm tống tiền hoặc đánh cắp dữ liệu, chứng minh rằng ngay cả các biện pháp phòng thủ kỹ thuật tốt nhất cũng sẽ thất bại nếu yếu tố con người bị xâm phạm.

Lỗi trong MFA cũ

Trong nhiều năm, MFA được coi là nền tảng an ninh mạng. Nhưng MFA truyền thống cho rằng bất kỳ ai vượt qua yếu tố thứ hai đều hợp lệ — một niềm tin rằng các cuộc tấn công Scattered Spider đã chứng minh là lỗi thời một cách nguy hiểm. MFA dựa trên bí mật được chia sẻ tạo ra lỗ hổng của con người mà kỹ thuật xã hội khai thác một cách dễ dàng đáng báo động.

Thay vì xác minh những gì ai đó biết (mật khẩu, câu hỏi bí mật) hoặc những gì họ (mã một lần), các tổ chức nên xác minh cá nhân đó ai (sử dụng sinh trắc học của bên thứ ba). Bằng cách chuyển xác minh sang công nghệ thay vì dựa vào người dùng, các tổ chức có thể loại bỏ yếu tố con người - mắt xích yếu nhất trong bảo mật danh tính.

iProov vô hiệu hóa chiến thuật của những con nhện phân tán như thế nào

Khi các tổ chức áp dụng mô hình bảo mật Zero Trust, sinh trắc học với phát hiện sự sống cung cấp một lớp nhận dạng có độ tin cậy cao quan trọng cho các hoạt động có rủi ro cao như đặt lại mật khẩu, khôi phục tài khoản và xác thực thiết bị. Sinh trắc học khuôn mặt với xác minh sự sống về cơ bản thay đổi xác thực lực lượng lao động và vô hiệu hóa các chiến thuật của Scattered Spider:

  • Không có nguy cơ hoán đổi SIM: Quét khuôn mặt liên kết xác thực trực tiếp với danh tính sinh học duy nhất của một người, chứ không phải số điện thoại hoặc thiết bị dễ bị xâm phạm. 
  • Miễn nhiễm với kỹ thuật xã hội: Nhân viên không cần tiết lộ bí mật. Xác thực diễn ra theo thời gian thực, loại bỏ điểm yếu của con người mà kẻ tấn công thường khai thác. 
  • Chống AI: Công nghệ của iProov có thể phát hiện và chặn ngay cả các hành vi giả mạo dựa trên AI tiên tiến, đảm bảo chỉ có người thật mới có thể xác thực.

Ngoài khả năng bảo mật vô song, iProov Workforce MFA còn mang đến trải nghiệm nhanh chóng, trực quan, tăng năng suất mà không ảnh hưởng đến tính bảo mật.

Thêm Lớp Nhận dạng Độ tin cậy Cao vào MFA

Các nhóm như Scattered Spider đe dọa đến nền tảng của lòng tin trong tổ chức, đặc biệt là khi chúng mở rộng sang các lĩnh vực quan trọng như hàng không. Nhu cầu tăng cường các chiến lược bảo mật của lực lượng lao động chưa bao giờ cấp thiết hơn thế.

Để tìm hiểu cách thêm lớp nhận dạng sinh trắc học có độ tin cậy cao vào MFA của bạn, hãy đăng ký tham dự hội thảo trên web của chúng tôi .

shutterstock 1485113963 đã thu nhỏ
Mục lục