Tin tặc khai thác file ".ics" để vượt qua tính năng bảo mật email

Nguyên nhân của điểm mù chết người này đến từ chính bản chất của tệp .ics (iCalendar). Vốn là một định dạng file văn bản đơn giản, được sử dụng phổ biến bởi Google Calendar, Microsoft Outlook hay Apple iCal để chia sẻ lịch hẹn, chúng thường bị các công cụ bảo mật "bỏ qua". Thay vì quét sâu nội dung, hệ thống an ninh chỉ tập trung vào các tệp đính kèm nguy hiểm truyền thống như .exe hay tài liệu có macro. Tin tặc đã phát hiện ra "lỗ hổng" trong quy trình này, chèn các liên kết độc hại hoặc mã độc được mã hóa (dưới dạng base64) vào ngay trong phần mô tả, địa điểm, hoặc thông tin chi tiết của lời mời lịch.

Điều khiến hình thức này trở nên đặc biệt nguy hiểm là cơ chế hoạt động của các ứng dụng lịch phổ biến. Nhiều hệ thống (như Google Calendar hay Outlook) được thiết lập để tự động thêm sự kiện vào lịch của người dùng, ngay cả khi email chứa lời mời đó bị đẩy vào thư mục Rác (Spam). Điều này có nghĩa là, liên kết độc hại đã "an vị" trong lịch cá nhân, một nơi được người dùng tin tưởng tuyệt đối, trước cả khi họ kịp nhận ra có email lạ.

Mức độ thành công của kỹ thuật này đang ở mức báo động. Các thống kê từ nhiều hãng bảo mật quốc tế cho thấy một con số giật mình: có tới 59% tệp .ics độc hại vượt qua thành công các cổng bảo mật email (SEG). Tấn công qua tệp lịch đã nhanh chóng trở thành hình thức lừa đảo (phishing) qua email phổ biến thứ ba. Thực tế trong năm 2024 và 2025 đã ghi nhận hàng loạt chiến dịch tinh vi, đơn cử như việc khai thác lỗ hổng zero-day trong hệ thống email Zimbra, cho phép chạy mã độc ngay khi người dùng mở tệp .ics, nhắm mục tiêu vào các tổ chức quân sự. Đáng chú ý, một nhóm tin tặc khét tiếng (nghi là APT41) còn sáng tạo đến mức dùng chính các sự kiện trên Google Calendar làm "máy chủ điều khiển từ xa", gửi lệnh điều khiển mã độc giấu trong phần mô tả sự kiện. Các chiến dịch lừa đảo quy mô lớn khác cũng được ghi nhận, với hàng ngàn lời mời lịch giả mạo ngân hàng, sàn tiền điện tử được gửi đi, cùng các lỗ hổng Outlook bị lợi dụng để đánh cắp mật khẩu chỉ bằng một cú nhấp "Đồng ý".

Trước mối đe dọa ngày càng gia tăng này, cả doanh nghiệp và người dùng cá nhân đều cần thay đổi nhận thức khẩn cấp. Đối với người dùng, sự cảnh giác tối đa là bắt buộc: không bao giờ nhấp vào liên kết trong lời mời lịch từ người gửi lạ hoặc cho các sự kiện không hề biết tới, luôn kiểm tra kỹ nguồn gốc, địa chỉ email của người gửi lời mời, và xem xét việc tắt tính năng tự động thêm lời mời từ người gửi không xác định trong phần cài đặt của Google Calendar hoặc Outlook. Về phía doanh nghiệp, giải pháp là phải nâng cấp hệ thống bảo mật để buộc quét sâu nội dung của tệp .ics như một tệp đính kèm có rủi ro cao, đồng thời đào tạo nhân viên nhận diện hình thức lừa đảo mới này. Tấn công qua tệp lịch đang bùng nổ vì nó đánh thẳng vào hai điểm yếu: niềm tin cố hữu của người dùng vào các ứng dụng quen thuộc và sự chủ quan của các hệ thống bảo mật. Đã đến lúc chúng ta phải coi những tệp .ics không còn "vô hại" như trước nữa.