Cách thức khai thác mã QR để thực hiện các hành vi lừa đảo

07:15, 14/04/2022

Kể từ khi đại dịch COVID-19 bùng nổ, giao dịch số đã có một sự thay đổi mạnh mẽ trên toàn cầu, công nghệ Quick Response (mã QR hay QR code) vì thế được sử dụng rộng rãi hơn. Tuy nhiên, chính sự phổ biến của các giao dịch kỹ thuật số thông qua công nghệ mã QR cũng đặt ra những mối đe dọa mạng tiềm ẩn và khó lường.

Theo báo cáo của công ty nghiên cứu thị trường Juniper Research (Vương Quốc Anh), hơn 1,5 tỷ người sử dụng mã QR cho các giao dịch kỹ thuật số vào năm 2020. Nắm bắt được xu hướng, các tin tặc đã nhanh chóng nghiên cứu và tìm cách để khai thác công nghệ này nhằm vào những mục đích lừa đảo khác nhau.

Mã QR là mã vạch cho phép người dùng truy cập thông tin ngay lập tức bằng thiết bị kỹ thuật số. Mã này sẽ lưu trữ dữ liệu dưới dạng một chuỗi pixel trong một lưới hình vuông và trở thành giải pháp hiệu quả để thu thập dữ liệu trực tiếp. Giờ đây, mã QR đang bị các nhóm tin tặc lạm dụng để khai thác và gây ra những mối đe dọa bảo mật nghiêm trọng đối với hệ thống cũng như dữ liệu của nhiều tổ chức. Một số tin tặc khai thác mã QR thông qua các cuộc tấn công Quishing và QRLjacking để xâm nhập các thiết bị được nhắm mục tiêu và đánh cắp dữ liệu thông tin nhạy cảm.

Các loại hình tấn công mã QR

Giống như các cuộc tấn công lừa đảo được biết đến, các tin tặc sử dụng những hành vi và chiến thuật khác nhau để đánh lừa vào sự tin cậy của người dùng để quét mã QR độc hại. Các loại tấn công mã QR bao gồm:

Quishing

Trong một cuộc tấn công Quishing, tin tặc sẽ gửi một email lừa đảo có chứa tệp đính kèm mã QR độc hại. Khi quét mã này, nó sẽ chuyển hướng truy cập của người dùng đến một trang lừa đảo mà tin tặc kiểm soát, để từ đó đánh cắp thông tin dữ liệu nhạy cảm.

QRLjacking

Hầu hết các tổ chức sử dụng Quick Response Code Login (QRL) như một giải pháp thay thế cho quy trình xác thực dựa trên mật khẩu. QRL cho phép người dùng đăng nhập vào tài khoản của họ bằng cách quét mã QR, mã này sẽ được mã hóa bằng thông tin đăng nhập của người dùng.

QRLJacking giống như một cuộc tấn công kỹ nghệ xã hội, có khả năng chiếm quyền điều khiển phiên và ảnh hưởng đến tất cả các tài khoản dựa trên tính năng đăng nhập bằng mã QR. Trong một cuộc tấn công QRLjacking, các tin tặc sẽ đánh lừa người dùng quét một QRL được thiết kế đặc biệt thay vì một QRL hợp pháp. Khi quét QRL độc hại, thiết bị sẽ bị xâm nhập, cho phép tin tặc chiếm quyền kiểm soát hoàn toàn.

Ngoài ra, một số phương thức làm mồi nhử có thể kể đến, ví dụ như lôi kéo người dùng bằng mạng Wifi miễn phí để quét mã QR. Các tin tặc cũng thay thế mã QR ở những nơi công cộng bằng những mã độc hại để chuyển hướng người dùng đến các trang web lừa đảo. Mã QR này có thể kết nối thiết bị của người dùng với một mạng độc hại để tiết lộ vị trí và thực hiện hành vi gian lận thanh toán. Hầu hết các mã QR độc hại đều có thể dễ dàng trốn tránh các phát hiện bảo mật truyền thống, khi chỉ quét nội dung email hay trang web hơn là các mã vạch đáng ngờ và bất thường.

Cách ngăn chặn các cuộc tấn công bằng mã QR

Mặc dù việc tránh quét mã QR có thể không thực tế, nhưng việc thực hiện một số biện pháp chủ động nhất định có thể giúp giảm thiểu rủi ro liên quan đến công nghệ mã QR.

  • Không đăng nhập vào ứng dụng hoặc dịch vụ bất thường thông qua mã QR.

  • Cẩn thận trước những phần thưởng. Ví dụ, quét mã QR để nhận một khoản tiền nào đó.

  • Tránh việc quét mã QR ngẫu nhiên từ các nguồn đáng ngờ và không xác định.

  • Đảm bảo mã QR là mã gốc và không bị ghi đè.

  • Sử dụng phần mềm để xác định trước đường dẫn URL của mã trước khi thực hiện quét QR.

PV

TIN LIÊN QUAN
Từ khóa: mã QRQRLcông nghệkỹ thuật số

Bài khác

Báo động chiêu trò của kẻ lừa đảo chuyên đánh cắp tài khoản ngân hàng và chứng khoán Báo động chiêu trò của kẻ lừa đảo chuyên đánh cắp tài khoản ngân hàng và chứng khoán
02:27 pm, 17/04/2024
Lỗ hổng trên iPhone được mua với giá lên tới 7 triệu USD Lỗ hổng trên iPhone được mua với giá lên tới 7 triệu USD
04:20 pm, 16/04/2024
Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS
03:42 pm, 16/04/2024
Cơ quan chức năng yêu cầu Apple gỡ bỏ các game, ứng dụng vi phạm tại Việt Nam Cơ quan chức năng yêu cầu Apple gỡ bỏ các game, ứng dụng vi phạm tại Việt Nam
02:39 pm, 16/04/2024
Cảnh báo 4 hình thức lừa đảo chiếm đoạt tài sản người dùng lên đến 90 tỷ đồng Cảnh báo 4 hình thức lừa đảo chiếm đoạt tài sản người dùng lên đến 90 tỷ đồng
01:00 pm, 16/04/2024
Cisco cảnh báo các cuộc tấn công password spray nhắm vào các dịch vụ VPN Cisco cảnh báo các cuộc tấn công password spray nhắm vào các dịch vụ VPN
10:18 am, 16/04/2024
Cảnh báo thủ đoạn mạo danh Bộ Công an, công ty Luật, Văn phòng Luật sư hỗ trợ lấy lại tiền bị lừa, bị treo Cảnh báo thủ đoạn mạo danh Bộ Công an, công ty Luật, Văn phòng Luật sư hỗ trợ lấy lại tiền bị lừa, bị treo
08:33 am, 16/04/2024
Người dùng iPhone cần làm ngay việc này khi bị mã độc tấn công Người dùng iPhone cần làm ngay việc này khi bị mã độc tấn công
04:00 pm, 13/04/2024
Trang Facebook MidJourney AI giả mạo đã quảng cáo phần mềm độc hại tới 1,2 triệu người Trang Facebook MidJourney AI giả mạo đã quảng cáo phần mềm độc hại tới 1,2 triệu người
08:50 am, 13/04/2024
Cảnh báo 7 hình thức lừa đảo phổ biến Cảnh báo 7 hình thức lừa đảo phổ biến
03:08 pm, 12/04/2024

Bài mới nhất

Hai công ty Alibaba, Shein thúc đẩy “con đường tơ lụa kỹ thuật số” của Trung Quốc Hai công ty Alibaba, Shein thúc đẩy “con đường tơ lụa kỹ thuật số” của Trung Quốc
Khai mạc Ngày Sách và Văn hóa đọc Việt Nam lần thứ Ba Khai mạc Ngày Sách và Văn hóa đọc Việt Nam lần thứ Ba
Phạt FPT, VTV 135 triệu đồng vì phát nội dung quảng bá, quảng cáo trang thông tin điện tử (website) cá độ bất hợp pháp Phạt FPT, VTV 135 triệu đồng vì phát nội dung quảng bá, quảng cáo trang thông tin điện tử (website) cá độ bất hợp pháp
ĐHQGHN công bố chương trình ươm tạo nhân tài cho học sinh phổ thông ĐHQGHN công bố chương trình ươm tạo nhân tài cho học sinh phổ thông
Hà Nội công bố chỉ tiêu tuyển sinh vào lớp 10 công lập Hà Nội công bố chỉ tiêu tuyển sinh vào lớp 10 công lập
Thủ tướng chỉ đạo tiếp tục đẩy mạnh chuyển đổi số trong lĩnh vực hải quan Thủ tướng chỉ đạo tiếp tục đẩy mạnh chuyển đổi số trong lĩnh vực hải quan
Việt Nam có thành tích đầu tiên tại Chung kết toàn cầu ICPC 2023 Việt Nam có thành tích đầu tiên tại Chung kết toàn cầu ICPC 2023
Phát triển vi mạch bán dẫn: Năng lực công nghệ là yếu tố quyết định Phát triển vi mạch bán dẫn: Năng lực công nghệ là yếu tố quyết định
Khẩn trương xây dựng cơ chế khuyến khích phát triển điện mặt trời áp mái Khẩn trương xây dựng cơ chế khuyến khích phát triển điện mặt trời áp mái
Hàng trăm giải pháp công nghệ hỗ trợ phát triển thành phố thông minh Hàng trăm giải pháp công nghệ hỗ trợ phát triển thành phố thông minh
Microchip mua lại VSI Hàn Quốc củng cố vị thế dẫn đầu thị trường mạng ô tô Microchip mua lại VSI Hàn Quốc củng cố vị thế dẫn đầu thị trường mạng ô tô
SHB thông báo điều chỉnh mức phí SMS Banking SHB thông báo điều chỉnh mức phí SMS Banking
Đầu tư năng lượng tái tạo ở Đông Nam Á đang đi lệch hướng, xếp hạng gần cuối thế giới Đầu tư năng lượng tái tạo ở Đông Nam Á đang đi lệch hướng, xếp hạng gần cuối thế giới
Chính thức ban hành kế hoạch, các mốc thời gian cụ thể tuyển sinh 2024 Chính thức ban hành kế hoạch, các mốc thời gian cụ thể tuyển sinh 2024
Báo động chiêu trò của kẻ lừa đảo chuyên đánh cắp tài khoản ngân hàng và chứng khoán Báo động chiêu trò của kẻ lừa đảo chuyên đánh cắp tài khoản ngân hàng và chứng khoán