Nhận diện chiêu lợi dụng mã QR để tấn công mạng của tin tặc
Theo các công ty an ninh mạng uy tín như HP, Darktrace, Malwarebytes và AusCERT, phương pháp tấn công mới này được gọi là “quishing” (kết hợp từ “QR code” và “lừa đảo”).
Một cuộc tấn công quishing thường bắt đầu bằng việc gửi email chứa mã QR đến nạn nhân. Sau khi quét mã QR, người dùng sẽ bị dẫn đến một trang web lừa đảo. Những kẻ lừa đảo thường giả mạo các công ty nổi tiếng. Ví dụ, nạn nhân có thể nhận được thông báo sau khi thanh toán mua hàng trực tuyến. Tin tặc sẽ thuyết phục nạn nhân rằng giao dịch không thành công và cần phải nhập lại thông tin thẻ ngân hàng. Khách hàng không nghi ngờ thường sẽ điền vào biểu mẫu và cung cấp thông tin bí mật cho tin tặc.
Nếu mục tiêu là nhân viên một công ty lớn, mã QR có thể sẽ dẫn họ đến trang đăng nhập giả mạo tài khoản Microsoft 365 của công ty. Nghiên cứu của AusCERT đã chỉ ra rằng hầu hết email này đều cho biết người gửi là người quản lý của nạn nhân.
Các chuyên gia an ninh mạng từ Darktrace đã chỉ ra dấu hiệu phát hiện email giả mạo, thông qua việc người gửi áp đặt tình huống khẩn cấp và yêu cầu quét mã QR ngay lập tức. Đôi khi nạn nhân được đề nghị thiết lập xác thực hai yếu tố. Ví dụ, đề xuất có thể đến từ bộ phận công nghệ thông tin của công ty hoặc kích hoạt bất kỳ chức năng nào khác của máy tính/trình duyệt. Đôi khi những bức thư như vậy đến từ các tài khoản hợp pháp bị hack.
Bức thư có thể giả danh từ một tổ chức mà công ty mục tiêu gần đây đã mua lại hoặc sáp nhập, một cách tạo niềm tin. Các email thường chứa rất ít văn bản, gây khó khăn cho các bộ lọc email nội bộ trong việc phát hiện chúng là thư rác. Hơn nữa, mã QR độc hại được phát tán không chỉ qua email mà còn qua SMS và mạng xã hội.
Thực tế, một nghiên cứu của Hoxhunt đã chỉ ra rằng chỉ có 36% trong số 600.000 nhân viên từ nhiều công ty khác nhau nhận ra mối đe dọa trong các tin nhắn lừa đảo có chứa mã QR. Hơn một nửa đơn giản không nghi ngờ và 5% thậm chí quét mã QR hoặc nhấp vào liên kết độc hại.
Các chuyên gia an ninh mạng đang tích cực thảo luận về các cách kỹ thuật để ngăn chặn email như vậy, nhưng rõ ràng điều quan trọng nhất vẫn là đào tạo nhân viên về nguy cơ lừa đảo.
Có thể thấy quishing chỉ là một dạng tấn công phức tạp nên các mẹo phòng tránh thường thấy để phát hiện lừa đảo vẫn được áp dụng. Tuy nhiên, để tự bảo vệ, người dùng có thể xem trước URL đằng sau mã QR và sử dụng ứng dụng quét mã QR có tích hợp tính năng bảo mật.
Duy Trinh (theo Securitylab.ru)