404 Not Found
Writer
Trong thời đại số, quét mã QR bằng điện thoại đã trở thành thói quen hàng ngày, từ thanh toán, đăng nhập đến nhận thông tin. Tuy nhiên, tội phạm mạng đang lợi dụng thói quen này thông qua các cuộc tấn công lừa đảo tinh vi, được gọi là “quishing”. Các cuộc tấn công này khai thác sự phổ biến của chức năng quét di động và vượt qua nhiều biện pháp bảo mật truyền thống.
Một số nhóm tội phạm mạng, như Gabagool, đã phát triển kỹ thuật chia một mã QR độc hại thành hai hình ảnh riêng biệt trong email lừa đảo. Khi hệ thống bảo mật quét email, chúng chỉ thấy hai hình ảnh riêng lẻ, có vẻ vô hại, thay vì nhận ra toàn bộ mã QR chứa mối nguy. Các chuyên gia của Barracuda phát hiện kỹ thuật này trong một chiến dịch lừa đảo đặt lại mật khẩu Microsoft. Dù với người dùng, mã QR trông hoàn chỉnh, nhưng phân tích HTML cho thấy hai hình ảnh này kết hợp lại tạo thành mã dẫn đến trang web lừa đảo, đánh cắp thông tin đăng nhập.
Một kỹ thuật khác là mã QR lồng nhau, trong đó mã độc được nhúng bên trong hoặc xung quanh mã QR hợp pháp. Cách này khiến hệ thống bảo mật nhận tín hiệu mâu thuẫn: mã bên ngoài dẫn đến trang độc hại, trong khi mã bên trong trỏ đến các trang hợp pháp như Google. Kết quả là phân tích tự động trở nên khó khăn và người dùng dễ bị đánh lừa.
Những phương thức tấn công này nhấn mạnh giới hạn của bảo mật truyền thống. Các chuyên gia khuyến nghị người dùng:
Một số nhóm tội phạm mạng, như Gabagool, đã phát triển kỹ thuật chia một mã QR độc hại thành hai hình ảnh riêng biệt trong email lừa đảo. Khi hệ thống bảo mật quét email, chúng chỉ thấy hai hình ảnh riêng lẻ, có vẻ vô hại, thay vì nhận ra toàn bộ mã QR chứa mối nguy. Các chuyên gia của Barracuda phát hiện kỹ thuật này trong một chiến dịch lừa đảo đặt lại mật khẩu Microsoft. Dù với người dùng, mã QR trông hoàn chỉnh, nhưng phân tích HTML cho thấy hai hình ảnh này kết hợp lại tạo thành mã dẫn đến trang web lừa đảo, đánh cắp thông tin đăng nhập.
Một kỹ thuật khác là mã QR lồng nhau, trong đó mã độc được nhúng bên trong hoặc xung quanh mã QR hợp pháp. Cách này khiến hệ thống bảo mật nhận tín hiệu mâu thuẫn: mã bên ngoài dẫn đến trang độc hại, trong khi mã bên trong trỏ đến các trang hợp pháp như Google. Kết quả là phân tích tự động trở nên khó khăn và người dùng dễ bị đánh lừa.
- Cẩn trọng với email hoặc tin nhắn chứa mã QR từ nguồn không rõ ràng.
- Không quét mã QR nếu không chắc chắn về nguồn gửi.
- Sử dụng xác thực đa yếu tố để bảo vệ tài khoản.
- Dùng phần mềm bảo mật có khả năng quét hình ảnh và phân tích URL trước khi truy cập.
- Một số tổ chức triển khai AI đa phương thức để nhận diện email lừa đảo chứa mã QR, kết hợp nhận diện ký tự, xử lý hình ảnh sâu và mô hình ngôn ngữ nhằm phát hiện các mã QR độc hại mà hệ thống truyền thống khó nhận ra.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
