“Chúng tôi đang giới thiệu tính năng phát hiện mới trong Microsoft Defender trên Office 365 giúp bảo vệ các tổ chức trước các mối đe dọa email bombing ngày càng gia tăng. Cuộc tấn công này sẽ làm tràn ngập hộp thư của nạn nhân bằng khối lượng lớn email nhằm che giấu các tin nhắn quan trọng hoặc làm quá tải hệ thống. Tính năng phát hiện email bombing mới sẽ tự động xác định và ngăn chặn các cuộc tấn công này, giúp các nhóm bảo mật duy trì khả năng theo dõi các mối đe dọa thực sự”, Microsoft giải thích.
Tính năng mới dự kiến bắt đầu triển khai vào cuối tháng 6/2025. Theo chia sẻ của Microsoft, tính năng này được bật theo mặc định, không yêu cầu cấu hình thủ công và tự động gửi tất cả các email được xác định là một phần của chiến dịch email bombing vào thư mục Junk email (spam).
Với các cuộc tấn công email bombing, kẻ tấn công sẽ gửi hàng nghìn hoặc hàng chục nghìn tin nhắn đến hộp thư đến của nạn nhân chỉ trong vài phút. Trong hầu hết các trường hợp, mục tiêu cuối cùng của kẻ tấn công là làm quá tải hệ thống bảo mật email, mở đường cho các cuộc tấn công bằng phần mềm độc hại hoặc mã độc tống tiền, từ đó có thể giúp chúng đánh cắp dữ liệu nhạy cảm từ hệ thống bị xâm phạm của nạn nhân.
Email bombing đã được sử dụng trong các cuộc tấn công của nhiều nhóm tội phạm mạng và mã độc tống tiền trong hơn một năm qua. Bắt đầu với băng nhóm Black Basta, sử dụng chiến thuật này để “lấp đầy” hộp thư của nạn nhân bằng email trong vòng vài phút trước khi làm bàn đạp cho các cuộc tấn công.
Theo các chuyên gia an ninh mạng, các tin tặc dự kiến có xu hướng tiếp tục thực hiện các cuộc gọi lừa đảo bằng giọng nói, đóng giả là nhóm hỗ trợ công nghệ thông tin của công ty để đánh lừa những nhân viên cấp quyền truy cập từ xa vào thiết bị của họ, có thể bằng AnyDesk hoặc công cụ Windows Quick Assist tích hợp sẵn. Sau khi xâm nhập vào hệ thống, những kẻ tấn công sẽ triển khai nhiều công cụ và phần mềm độc hại khác nhau, cho phép chúng di chuyển ngang hàng trước khi triển khai mã độc tống tiền.
Gần đây hơn, một chi nhánh của nhóm tin tặc 3AM và tội phạm mạng có liên quan đến nhóm FIN7 đã sử dụng hình thức tấn công email bombing, các tin tặc này cũng đã giả mạo bộ phận hỗ trợ công nghệ thông tin trong các cuộc tấn công kỹ nghệ xã hội, nhằm thuyết phục nhân viên cung cấp thông tin đăng nhập để truy cập từ xa vào hệ thống của mục tiêu.