Nguyễn Tấn Sang
Bán xe 🚗
Người dùng cần cẩn trọng trước khi quét các mã QR được cung cấp, phải kiểm tra kỹ trước khi đồng ý kết nối
Mã QR mang lại rất nhiều tiện lợi cho người dùng. Nó nhanh chóng liên kết tới các nguồn thông tin hay cung cấp những dữ liệu giúp người dùng không cần phải nhập thủ công. Do sự tiện lợi và được ứng dụng ngày càng rộng rãi, mã QR đã nhanh chóng bị bọn tội phạm mạng lợi dụng để trục lợi người dùng.
Gửi mã QR dụ dỗ nạn nhân
Theo trang Malwarebytes, việc gia tăng phổ biến mã QR có thể liên quan sự thâm nhập thị trường điện thoại thông minh ngày càng tăng cao. Vì vậy, các vụ lừa đảo mã QR cũng gia tăng.
Thay vì gửi các đường link như trước đây - vốn bị nhiều người cảnh giác đề phòng, thì nay, bọn xấu gửi mã QR dụ dỗ nạn nhân quét để dẫn tới bẫy của chúng. Một trong những rủi ro bảo mật mã QR lớn nhất đã được ghi nhận là QRLjacking (ăn cắp đăng nhập mã QR). Đây là một kiểu tấn công mà trong đó, các tác nhân đe dọa chiếm quyền điều khiển của người dùng để thao túng tất cả ứng dụng sử dụng tính năng "Đăng nhập bằng mã QR" chuyển sang sử dụng mã QR của kẻ xấu, thay vì mã xác thực.
Quishing lừa đảo bằng mã QR là quá trình sử dụng mã QR cho một cuộc tấn công lừa đảo. Kẻ xấu có thể sử dụng mã QR để hướng người dùng đến một trang web độc hại. Baiting (đánh mồi) là một loại tấn công kỹ thuật, trong đó kẻ xấu sử dụng mồi để đánh lừa mục tiêu của họ. Trong một cuộc tấn công mồi chài bằng mã QR, kẻ xấu có thể để lại mã QR độc hại ngẫu nhiên ở không gian công cộng để lôi kéo mọi người quét chúng.
Theo Malwarebytes, một ứng dụng quét mã vạch được cung cấp trên Google Play đã lây nhiễm cho 10 triệu người dùng chỉ bằng một bản cập nhật vào cuối năm 2020. Trong khi đó, với nguy cơ phần mềm độc hại, kẻ tấn công có thể liên kết mã QR với một trang web, lợi dụng thói quen thích tải xuống hoặc dùng quảng cáo để lây nhiễm phần mềm độc hại vào máy tính và thiết bị. Những kẻ đánh cắp mật khẩu hoặc keylogger bằng Trojan có thể giúp kẻ tấn công thực hiện hành vi trộm cắp danh tính hoặc các hành vi vi phạm khác.
Người dùng cần lưu ý nguồn mã QR và cẩn thận để phát hiện các dấu hiệu giả mạo.Ảnh: Hoàng Triều
Khó kiểm tra mã QR an toàn
Báo The Moscow Times cho biết ngày 7-12-2023, Sở Truyền thông và Quảng cáo TP Moscow - Nga đã ban hành văn bản cấm sử dụng mã QR trong quảng cáo ngoài trời.
Lý do là việc công khai mã QR có thể tạo cơ hội cho bọn xấu lợi dụng, liên kết tới các nguồn có nội dung chứa thông tin vi phạm Luật Quảng cáo. Cơ quan quản lý này giải thích lệnh cấm nhằm phòng ngừa nguy cơ vi phạm pháp luật trong bối cảnh ngày càng gia tăng hoạt động tấn công và đột nhập của tin tặc.
Theo giới quan sát, việc nhà chức trách Moscow cấm công bố mã QR ngoài trời có những mục đích sâu xa hơn, kể cả về an ninh, chính trị. Trước đó, các chuyên gia xử lý an ninh mạng tại Covance đã mô tả sự nguy hiểm của tin tặc tấn công thông qua mã QR. Theo họ, những kiểu tấn công như vậy rất khó xác định.
Điều nguy hiểm là rất khó kiểm tra độ an toàn của mã QR do chúng trông gần giống nhau. Vì thế, người dùng phải kiểm tra độ an toàn của mã QR theo ngữ cảnh nơi nó xuất hiện và nội dung mà nó dẫn đến. Ví dụ, nếu mã QR đưa đến một địa chỉ trang web (URL) thì nên kiểm tra địa chỉ đó có đúng với trang web tổ chức mà mình quen thuộc hay không.
Do mã QR thường sử dụng các URL rút ngắn để tiết kiệm dung lượng, người dùng nên đợi URL đầy đủ xuất hiện. Ngoài ra, người dùng cần lưu ý đến nguồn mã và cẩn thận phát hiện các dấu hiệu giả mạo. Mặc dù mã trên các trang web uy tín hoặc tại doanh nghiệp thường an toàn hơn nhưng tin tặc cũng có thể thao túng.
Các chuyên gia khuyên người dùng không cung cấp cho người khác mã QR trên giấy tờ cá nhân. Tất nhiên, mọi người phải thật cẩn trọng trước khi quét mã QR được cung cấp và phải kiểm tra kỹ trước khi đồng ý kết nối. Với các mã thanh toán, đặc biệt là được cửa hàng hay shipper cung cấp, người dùng cần kiểm tra có mở tới đúng ứng dụng ngân hàng mà mình liên kết hay không.
Dùng AI mạo danh và giả mạo QR code
Theo các chuyên gia, hai thủ đoạn lừa đảo chiếm đoạt tiền phổ biến dịp cuối năm được các ngân hàng (NH) liên tục cảnh báo là mạo danh nhân viên NH bằng giọng nói được tạo ra bởi trí tuệ nhân tạo (AI) và giả mạo mã QR.
Ngân hàng TMCP Nông nghiệp và Phát triển nông thôn Chi nhánh An Bình vừa cảnh báo về việc kẻ gian sử dụng giọng nói AI gọi điện cho khách hàng, tự xưng là nhân viên NH nhắn tin mời chào mở thẻ tín dụng online và sử dụng các dịch vụ thẻ; mời chào kết bạn qua mạng xã hội để trao đổi trực tiếp; gửi và hối thúc khách hàng click vào đường link giả mạo hoặc QR dẫn tới website giả mạo.
Để tránh bị lừa đảo, các NH khuyến cáo khách hàng không thao tác theo hướng dẫn do các số điện thoại lạ gọi đến, kể cả tự xưng là nhân viên NH hay các cơ quan khác khi chưa xác minh thông tin. Khách hàng không cung cấp thông tin cá nhân, thông tin tài khoản như tên đăng nhập, mật khẩu đăng nhập, mã xác thực OTP... của dịch vụ NH điện tử cho bất kỳ ai.
Mã QR mang lại rất nhiều tiện lợi cho người dùng. Nó nhanh chóng liên kết tới các nguồn thông tin hay cung cấp những dữ liệu giúp người dùng không cần phải nhập thủ công. Do sự tiện lợi và được ứng dụng ngày càng rộng rãi, mã QR đã nhanh chóng bị bọn tội phạm mạng lợi dụng để trục lợi người dùng.
Gửi mã QR dụ dỗ nạn nhân
Theo trang Malwarebytes, việc gia tăng phổ biến mã QR có thể liên quan sự thâm nhập thị trường điện thoại thông minh ngày càng tăng cao. Vì vậy, các vụ lừa đảo mã QR cũng gia tăng.
Thay vì gửi các đường link như trước đây - vốn bị nhiều người cảnh giác đề phòng, thì nay, bọn xấu gửi mã QR dụ dỗ nạn nhân quét để dẫn tới bẫy của chúng. Một trong những rủi ro bảo mật mã QR lớn nhất đã được ghi nhận là QRLjacking (ăn cắp đăng nhập mã QR). Đây là một kiểu tấn công mà trong đó, các tác nhân đe dọa chiếm quyền điều khiển của người dùng để thao túng tất cả ứng dụng sử dụng tính năng "Đăng nhập bằng mã QR" chuyển sang sử dụng mã QR của kẻ xấu, thay vì mã xác thực.
Quishing lừa đảo bằng mã QR là quá trình sử dụng mã QR cho một cuộc tấn công lừa đảo. Kẻ xấu có thể sử dụng mã QR để hướng người dùng đến một trang web độc hại. Baiting (đánh mồi) là một loại tấn công kỹ thuật, trong đó kẻ xấu sử dụng mồi để đánh lừa mục tiêu của họ. Trong một cuộc tấn công mồi chài bằng mã QR, kẻ xấu có thể để lại mã QR độc hại ngẫu nhiên ở không gian công cộng để lôi kéo mọi người quét chúng.
Theo Malwarebytes, một ứng dụng quét mã vạch được cung cấp trên Google Play đã lây nhiễm cho 10 triệu người dùng chỉ bằng một bản cập nhật vào cuối năm 2020. Trong khi đó, với nguy cơ phần mềm độc hại, kẻ tấn công có thể liên kết mã QR với một trang web, lợi dụng thói quen thích tải xuống hoặc dùng quảng cáo để lây nhiễm phần mềm độc hại vào máy tính và thiết bị. Những kẻ đánh cắp mật khẩu hoặc keylogger bằng Trojan có thể giúp kẻ tấn công thực hiện hành vi trộm cắp danh tính hoặc các hành vi vi phạm khác.
Người dùng cần lưu ý nguồn mã QR và cẩn thận để phát hiện các dấu hiệu giả mạo.Ảnh: Hoàng Triều
Khó kiểm tra mã QR an toàn
Báo The Moscow Times cho biết ngày 7-12-2023, Sở Truyền thông và Quảng cáo TP Moscow - Nga đã ban hành văn bản cấm sử dụng mã QR trong quảng cáo ngoài trời.
Lý do là việc công khai mã QR có thể tạo cơ hội cho bọn xấu lợi dụng, liên kết tới các nguồn có nội dung chứa thông tin vi phạm Luật Quảng cáo. Cơ quan quản lý này giải thích lệnh cấm nhằm phòng ngừa nguy cơ vi phạm pháp luật trong bối cảnh ngày càng gia tăng hoạt động tấn công và đột nhập của tin tặc.
Theo giới quan sát, việc nhà chức trách Moscow cấm công bố mã QR ngoài trời có những mục đích sâu xa hơn, kể cả về an ninh, chính trị. Trước đó, các chuyên gia xử lý an ninh mạng tại Covance đã mô tả sự nguy hiểm của tin tặc tấn công thông qua mã QR. Theo họ, những kiểu tấn công như vậy rất khó xác định.
Điều nguy hiểm là rất khó kiểm tra độ an toàn của mã QR do chúng trông gần giống nhau. Vì thế, người dùng phải kiểm tra độ an toàn của mã QR theo ngữ cảnh nơi nó xuất hiện và nội dung mà nó dẫn đến. Ví dụ, nếu mã QR đưa đến một địa chỉ trang web (URL) thì nên kiểm tra địa chỉ đó có đúng với trang web tổ chức mà mình quen thuộc hay không.
Do mã QR thường sử dụng các URL rút ngắn để tiết kiệm dung lượng, người dùng nên đợi URL đầy đủ xuất hiện. Ngoài ra, người dùng cần lưu ý đến nguồn mã và cẩn thận phát hiện các dấu hiệu giả mạo. Mặc dù mã trên các trang web uy tín hoặc tại doanh nghiệp thường an toàn hơn nhưng tin tặc cũng có thể thao túng.
Các chuyên gia khuyên người dùng không cung cấp cho người khác mã QR trên giấy tờ cá nhân. Tất nhiên, mọi người phải thật cẩn trọng trước khi quét mã QR được cung cấp và phải kiểm tra kỹ trước khi đồng ý kết nối. Với các mã thanh toán, đặc biệt là được cửa hàng hay shipper cung cấp, người dùng cần kiểm tra có mở tới đúng ứng dụng ngân hàng mà mình liên kết hay không.
Dùng AI mạo danh và giả mạo QR code
Theo các chuyên gia, hai thủ đoạn lừa đảo chiếm đoạt tiền phổ biến dịp cuối năm được các ngân hàng (NH) liên tục cảnh báo là mạo danh nhân viên NH bằng giọng nói được tạo ra bởi trí tuệ nhân tạo (AI) và giả mạo mã QR.
Ngân hàng TMCP Nông nghiệp và Phát triển nông thôn Chi nhánh An Bình vừa cảnh báo về việc kẻ gian sử dụng giọng nói AI gọi điện cho khách hàng, tự xưng là nhân viên NH nhắn tin mời chào mở thẻ tín dụng online và sử dụng các dịch vụ thẻ; mời chào kết bạn qua mạng xã hội để trao đổi trực tiếp; gửi và hối thúc khách hàng click vào đường link giả mạo hoặc QR dẫn tới website giả mạo.
Để tránh bị lừa đảo, các NH khuyến cáo khách hàng không thao tác theo hướng dẫn do các số điện thoại lạ gọi đến, kể cả tự xưng là nhân viên NH hay các cơ quan khác khi chưa xác minh thông tin. Khách hàng không cung cấp thông tin cá nhân, thông tin tài khoản như tên đăng nhập, mật khẩu đăng nhập, mã xác thực OTP... của dịch vụ NH điện tử cho bất kỳ ai.