Chiến dịch lừa đảo bằng mã QR giả mạo Microsoft lan rộng, người dùng cần cảnh giác

[Kaya]

Từ đầu tháng 10/2025, các chuyên gia an ninh mạng ghi nhận một chiến dịch lừa đảo quy mô lớn đang nhắm vào người dùng Microsoft, đặc biệt là những ai đang sử dụng Office 365, Teams và Authenticator.

Điểm đặc biệt của chiến dịch này là kẻ tấn công không gửi link hay file đính kèm như thường thấy, mà ẩn mã độc trong mã QR (QR code), chiêu thức gọi là “Quishing” (QR + Phishing).

Thay vì yêu cầu bạn “nhấp vào link”, tin tặc sẽ gửi email hoặc thông báo có giao diện giống hệt Microsoft, thậm chí có logo, màu sắc và ngôn ngữ chuyên nghiệp.Nội dung email thường là:

• “Tài khoản của bạn đang gặp sự cố, quét mã để xử lý ngay”
• Hoặc: “Kích hoạt tính năng bảo mật nâng cao, quét mã để xác minh”

Khi người dùng quét mã QR bằng điện thoại, họ sẽ được dẫn đến trang web giả mạo đặt trên máy chủ của Microsoft (Azure CDN) hoặc trang “có vẻ hợp lệ”, nhưng thực tế đang tải mã độc về thiết bị.

Sau khi quét, điện thoại hoặc máy tính sẽ bị tải ngầm một chương trình đánh cắp thông tin (Infostealer). Phần mềm này có thể:

• Lấy cắp mật khẩu, dữ liệu đăng nhập và thông tin hệ thống.
• Tự cài đặt lại mỗi khi bạn bật máy (nhờ tạo tác vụ ẩn tên “MSAuthSync”).
• Gửi toàn bộ thông tin thu thập được về máy chủ của tin tặc qua kết nối bảo mật (HTTPS).

Nguy hiểm hơn, chiến dịch này còn dùng kỹ thuật ẩn mã QR trong nhiều lớp hình ảnh khác nhau, khiến phần mềm diệt virus hoặc trình quét email khó phát hiện. Nói cách khác, mã QR trông vô hại nhưng lại chứa mã độc tinh vi mà mắt thường không thể nhận ra.

​

Trong nhiều năm gần đây, Microsoft và các nền tảng lớn đều khuyến khích dùng mã QR để đăng nhập nhanh hoặc xác thực hai lớp (MFA). Chính điều này khiến nhiều người quên kiểm tra kỹ nguồn gửi, và dễ dàng quét mã mà không nghi ngờ gì khi thấy logo Microsoft hay cụm từ “tăng cường bảo mật”. Kẻ tấn công lợi dụng niềm tin sẵn có đó để đánh lừa người dùng.

Để tránh rơi vào bẫy của các chiến dịch lừa đảo dạng này, người dùng nên ghi nhớ:

• Không quét mã QR từ email, tin nhắn hoặc thông báo lạ, kể cả khi chúng mang thương hiệu Microsoft.
• Luôn xác minh email trước khi hành động
• Kiểm tra kỹ địa chỉ người gửi: Microsoft thật chỉ gửi từ tên miền chính thức như @microsoft.com hoặc @office.com.
• Tránh đăng nhập qua liên kết hoặc mã QR được gửi trong email, hãy truy cập trực tiếp qua trình duyệt hoặc ứng dụng Microsoft chính thức.
• Bật xác thực đa lớp (MFA) nhưng chỉ thiết lập trong ứng dụng Authenticator thật, không qua email hay link lạ.
• Cập nhật phần mềm diệt virus và hệ điều hành để tăng khả năng phát hiện mã độc ẩn trong tệp hình ảnh hoặc PDF.

Chiến dịch “Quishing giả mạo Microsoft” là bước tiến mới của tội phạm mạng, lợi dụng thói quen “quét cho nhanh” của người dùng để cài mã độc và đánh cắp dữ liệu. Dù thủ thuật ngày càng tinh vi, người dùng vẫn có thể tự bảo vệ mình bằng các thói quen cảnh giác. Một giây dừng lại để kiểm tra kỹ có thể giúp bạn tránh mất cả tài khoản và dữ liệu cá nhân.

Theo WhiteHat.vn​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview