Cẩn trọng chiêu lừa đảo mới bằng mã QR
Cụ thể, QR chia nhỏ là phương thức được ghi nhận trong các chiến dịch sử dụng bộ công cụ lừa đảo dạng dịch vụ mang tên Gabagool. Thay vì chèn một ảnh mã QR hoàn chỉnh vào email, kẻ tấn công chia mã thành 2 nửa riêng biệt, sau đó ghép chúng thành một bố cục trông như mã QR bình thường.
Ở cấp hiển thị, người dùng gần như không thể nhận ra sự bất thường. Tuy nhiên, khi hệ thống quét thư xem xét ảnh trong email, nó chỉ nhìn thấy 2 hình ảnh rời rạc, vô hại, không phải một mã QR hoàn chỉnh cần kiểm tra. Kỹ thuật này cho phép mã QR độc hại lọt qua các lớp bảo mật mà không bật cảnh báo, đồng thời duy trì giao diện hoàn chỉnh đối với người dùng cuối.
QR tách đôi - Mã độc được chia nhỏ để qua mặt hệ thống. Ảnh: Barracuda.
Kỹ thuật thứ hai được gọi là nested QR code (mã QR lồng nhau hoặc mã QR kép). Đây là phương thức được phát hiện trong các chiến dịch của bộ công cụ Tycoon 2FA PhaaS.
Trong trường hợp này, kẻ tấn công chèn hai mã QR vào cùng một hình: mã bên ngoài chứa URL độc hại, trong khi mã bên trong dẫn tới một trang web hoàn toàn hợp pháp (chẳng hạn Google). Khi công cụ quét phân tích, nội dung trở nên mơ hồ và khó kết luận, do kết quả giải mã trả về nhiều URL khác nhau, bao gồm cả đường dẫn hợp pháp.
Điều này gây khó khăn cho các hệ thống bảo mật tự động vốn dựa trên tiêu chí “một mã, một nội dung”. Với kỹ thuật lồng mã, kẻ tấn công tận dụng cách hệ thống xử lý ảnh để che giấu hành vi - một biến thể tấn công thông minh và tinh vi hơn.
QR lồng nhau để che giấu mã độc. Ảnh: Barracuda.
Lừa đảo bằng mã QR, hay còn được gọi là Quishing (QR phishing), đang trở thành xu hướng tấn công mạng mới. Thay vì gửi đường link độc hại trực tiếp, đối tượng nhúng chúng vào mã QR để dẫn dụ nạn nhân truy cập vào các trang web giả mạo được tạo dựng sẵn nhằm đánh cắp thông tin đăng nhập, mật khẩu hay dữ liệu nhạy cảm khác.
Theo các chuyên gia, điểm nguy hiểm của mã QR là chúng hoàn toàn “không thể đọc bằng mắt thường”. Người dùng không thể biết mã chứa nội dung gì cho tới khi quét, nên gần như không có dấu hiệu cảnh báo sớm. Ngoài ra, hầu hết công cụ lọc thư rác hay quét link độc hại vẫn tập trung vào văn bản và URL, khiến mã QR dễ dàng vượt qua lớp bảo vệ này.
Một yếu tố khác khiến hình thức Quishing hiệu quả là việc quét mã thường diễn ra trên điện thoại cá nhân, thay vì trong hệ thống mạng công ty nơi có lớp bảo vệ chặt chẽ hơn. Điều này đưa người dùng ra khỏi “vòng đai an ninh” và tạo điều kiện cho tội phạm mạng chiếm quyền điều khiển.
Quét mã QR, chiếm quyền kiểm soát tài khoảnMới đây, Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (PA05, Công an TP.HCM) cũng phát đi thông báo khẩn, cảnh báo về một hình thức lừa đảo mới nhằm chiếm đoạt tài khoản Zalo.
Theo cơ quan chức năng, các đối tượng xấu lợi dụng mức độ phổ biến và tiện lợi của ứng dụng trong đời sống hàng ngày để giăng bẫy người dùng. Đặc biệt, tính năng quét mã QR đăng nhập nhanh trên máy tính đã bị khai thác nhằm tấn công những người thiếu cảnh giác.
Cụ thể, các đối tượng lừa đảo thường dụ dỗ người dùng quét mã QR với lời mời nhận quà hoặc xem nội dung giật gân. Thực chất, đây là mã đăng nhập tài khoản
Thượng tá Nguyễn Đình Đỗ Thi. Ảnh: NCA
Chia sẻ với báo chí tại tọa đàm "Bảo vệ dữ liệu cá nhân" mới đây, Thượng tá Nguyễn Đình Đỗ Thi, Phó trưởng phòng Tham mưu, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) khuyến cáo, khi tham gia môi trường mạng, người dùng cần chủ động áp dụng các biện pháp, giải pháp để bảo vệ các tài khoản số.
“Không nên chia sẻ thông tin cá nhân một cách tùy tiện, bởi điều này có thể tạo điều kiện cho các đối tượng thu thập và sử dụng thông tin vào mục đích phạm tội. Người dùng cần bảo vệ tài khoản của mình bằng các biện pháp như đặt mật khẩu an toàn, đồng thời hạn chế việc công khai hay chia sẻ dữ liệu cá nhân trên không gian mạng”, Thượng tá Nguyễn Đình Đỗ Thi nêu rõ.
Thượng tá Nguyễn Đình Đỗ Thi khuyến nghị, khi xảy ra tình huống thông tin hoặc dữ liệu cá nhân bị rò rỉ hay bị đánh cắp, người dân có thể và cần kịp thời báo cho các cơ quan chức năng. Hiện nay, Bộ Công an đã phân cấp cho công an các đơn vị, địa phương, trong đó có các đơn vị chuyên trách tiếp nhận và xử lý các đơn khiếu nại, tố cáo liên quan đến hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo đúng quy định của pháp luật.
Khánh Linh (theo Tri thức, Thanh niên)
