Lộ diện 2 chiêu lừa đảo mã QR cực tinh vi qua mặt hệ thống bảo mật

Hiệp hội An ninh mạng quốc gia (NCA) vừa đưa ra cảnh báo 2 chiêu lừa đảo mới bằng mã QR. Đó là QR được chia nhỏ để qua mặt hệ thống và QR lồng nhau để che dấu mã độc.

Thêm hình thức lừa đảo mới bằng mã QR

Cụ thể, QR chia nhỏ là phương thức được ghi nhận trong các chiến dịch sử dụng bộ công cụ lừa đảo dạng dịch vụ mang tên Gabagool. Thay vì chèn một ảnh mã QR hoàn chỉnh vào email, kẻ tấn công chia mã thành hai nửa riêng biệt, sau đó ghép chúng thành một bố cục trông như mã QR bình thường.

Ở cấp hiển thị, người dùng gần như không thể nhận ra sự bất thường. Tuy nhiên, khi hệ thống quét thư xem xét ảnh trong email, nó chỉ nhìn thấy hai hình ảnh rời rạc, vô hại, không phải một mã QR hoàn chỉnh cần kiểm tra. Kỹ thuật này cho phép mã QR độc hại lọt qua các lớp bảo mật mà không bật cảnh báo, đồng thời duy trì giao diện hoàn chỉnh đối với người dùng cuối.

Kỹ thuật thứ hai được gọi là nested QR code (mã QR lồng nhau hoặc mã QR kép). Đây là phương thức được phát hiện trong các chiến dịch của bộ công cụ Tycoon 2FA PhaaS.

Trong trường hợp này, kẻ tấn công chèn hai mã QR vào cùng một hình: mã bên ngoài chứa URL độc hại, trong khi mã bên trong dẫn tới một trang web hoàn toàn hợp pháp (chẳng hạn Google). Khi công cụ quét phân tích, nội dung trở nên mơ hồ và khó kết luận, do kết quả giải mã trả về nhiều URL khác nhau, bao gồm cả đường dẫn hợp pháp.

Điều này gây khó khăn cho các hệ thống bảo mật tự động vốn dựa trên tiêu chí “một mã, một nội dung”. Với kỹ thuật lồng mã, kẻ tấn công tận dụng cách hệ thống xử lý ảnh để che giấu hành vi – một biến thể tấn công thông minh và tinh vi hơn.

Lừa đảo bằng mã QR, hay còn được gọi là Quishing (QR phishing), đang trở thành xu hướng tấn công mạng mới. Thay vì gửi đường link độc hại trực tiếp, đối tượng nhúng chúng vào mã QR để dẫn dụ nạn nhân truy cập vào các trang web giả mạo được tạo dựng sẵn nhằm đánh cắp thông tin đăng nhập, mật khẩu hay dữ liệu nhạy cảm khác.

Theo các chuyên gia, điểm nguy hiểm của mã QR là chúng hoàn toàn “không thể đọc bằng mắt thường”. Người dùng không thể biết mã chứa nội dung gì cho tới khi quét, nên gần như không có dấu hiệu cảnh báo sớm. Ngoài ra, hầu hết các công cụ lọc thư rác hay quét link độc hại vẫn tập trung vào văn bản và URL, khiến mã QR dễ dàng vượt qua lớp bảo vệ này.

Một yếu tố khác khiến hình thức Quishing hiệu quả là việc quét mã thường diễn ra trên điện thoại cá nhân, thay vì trong hệ thống mạng công ty nơi có lớp bảo vệ chặt chẽ hơn. Điều này đưa người dùng ra khỏi “vòng đai an ninh” và tạo điều kiện cho tội phạm mạng chiếm quyền điều khiển.

Quét mã QR, mất quyền kiểm soát zalo

Mới đây, Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (PA05, Công an TP.HCM) cũng phát đi thông báo khẩn, cảnh báo về một hình thức lừa đảo mới nhằm chiếm đoạt tài khoản zalo.

Theo cơ quan chức năng, các đối tượng xấu lợi dụng mức độ phổ biến và tiện lợi của ứng dụng trong đời sống hàng ngày để giăng bẫy người dùng. Đặc biệt, tính năng quét mã QR đăng nhập nhanh trên máy tính đã bị khai thác nhằm tấn công những người thiếu cảnh giác.

Cụ thể, các đối tượng lừa đảo thường dụ dỗ người dùng quét mã QR với lời mời nhận quà hoặc xem nội dung giật gân. Thực chất, đây là mã đăng nhập tài khoản Zalo trên thiết bị của nhóm lừa đảo công nghệ cao, cho phép chúng chiếm quyền kiểm soát tài khoản.

Điểm nguy hiểm của hình thức này nằm ở thói quen sử dụng nhanh của người dân. Khi người dùng đưa điện thoại lên quét mã QR theo hướng dẫn của kẻ gian, màn hình điện thoại sẽ hiện lên thông báo xác nhận đăng nhập.

Công an TP.HCM khuyến cáo người dân tuyệt đối không quét mã QR do người lạ gửi. Trong trường hợp đã lỡ quét mã và thấy màn hình hiện lên dòng chữ “đăng nhập” hoặc hỏi về việc liên kết thiết bị mới, người dùng phải nhấn ngay vào nút “Từ chối” để chặn đứng phiên truy cập trái phép.

Ngoài ra, nếu nghi ngờ tài khoản của mình đã bị xâm nhập hoặc có dấu hiệu bị tấn công, người dùng có thể đổi mật khẩu zalo ngay lập tức để vô hiệu hóa các phiên đăng nhập cũ. Đồng thời, phần cài đặt quyền riêng tư cũng cho phép kiểm tra lịch sử đăng nhập và đăng xuất khỏi tất cả các thiết bị lạ.

Trong trường hợp phát hiện bản thân đã bị lừa đảo chiếm đoạt tài sản hoặc bị đe dọa, người dân cần nhanh chóng liên hệ với cơ quan công an gần nhất để được hỗ trợ và giải quyết kịp thời, tránh để kẻ xấu tiếp tục lợi dụng danh tính đi lừa đảo người khác.

Phòng vệ trước thế hệ lừa đảo QR mới

Điện Thoại Di Động Honor X6c 6GB + 128GB/256GB - Pin 5300mAh NFC - Camer

Chia sẻ với báo chí tại tọa đàm “Bảo vệ dữ liệu cá nhân” mới đây, Thượng tá Nguyễn Đình Đỗ Thi, Phó trưởng phòng Tham mưu, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) khuyến cáo, khi tham gia môi trường mạng, người dùng cần chủ động áp dụng các biện pháp, giải pháp để bảo vệ các tài khoản số.

“Không nên chia sẻ thông tin cá nhân một cách tùy tiện, bởi điều này có thể tạo điều kiện cho các đối tượng thu thập và sử dụng thông tin vào mục đích phạm tội. Người dùng cần bảo vệ tài khoản của mình bằng các biện pháp như đặt mật khẩu an toàn, đồng thời hạn chế tối đa việc công khai hay chia sẻ dữ liệu cá nhân trên không gian mạng” , Thượng tá Nguyễn Đình Đỗ Thi nêu rõ.

Thượng tá Nguyễn Đình Đỗ Thi khuyến nghị, khi xảy ra tình huống thông tin hoặc dữ liệu cá nhân bị rò rỉ hay bị đánh cắp, người dân có thể và cần kịp thời báo cho các cơ quan chức năng. Hiện nay, Bộ Công an đã phân cấp cho công an các đơn vị, địa phương, trong đó có các đơn vị chuyên trách tiếp nhận và xử lý các đơn khiếu nại, tố cáo liên quan đến hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo đúng quy định của pháp luật.

Các chuyên gia an ninh mạng khuyến nghị một số biện pháp quan trọng:

Nâng cao nhận thức nhân viên: chương trình đào tạo an ninh mạng cần cập nhật nội dung liên quan đến mã QR, khuyến cáo không quét mã từ email, tài liệu lạ hoặc không xác minh.

Nâng cao nhận thức nhân viên: chương trình đào tạo an ninh mạng cần cập nhật nội dung liên quan đến mã QR, khuyến cáo không quét mã từ email, tài liệu lạ hoặc không xác minh.

Áp dụng xác thực đa yếu tố (MFA): giảm thiểu rủi ro khi thông tin đăng nhập bị đánh cắp.

Sử dụng bộ lọc thư và malware nhiều lớp kết hợp phân tích hành vi, phân tích hình ảnh và phân tích URL.

Triển khai trí tuệ nhân tạo đa mô hình (multimodal AI) để tăng khả năng phát hiện quishing dựa trên cấu trúc mã, hành vi tải trang và thành phần hình ảnh. AI đa mô hình có khả năng giải mã mã QR bằng xử lý ảnh, kiểm tra nội dung URL đích, phân tích hành vi trong môi trường sandbox, nhận diện mẫu pixel khả nghi mà không cần giải mã nội dung trước. Nhờ đó, hệ thống có thể phát hiện ngay cả email chỉ chứa mỗi mã QR mà không có chữ hay đường link.

Chuyên gia an ninh mạng nhận định, sự phát triển của Quishing là minh chứng rằng tội phạm mạng đang chuyển hướng từ các đường tấn công truyền thống sang các kênh “thị giác” khó giám sát hơn. Trong bối cảnh mã QR ngày càng phổ biến trong vận hành doanh nghiệp, thanh toán và dịch vụ công, xu hướng này được dự báo sẽ tiếp tục tăng trong thời gian tới. Việc chủ động phòng vệ và cập nhật giải pháp là yếu tố then chốt để hạn chế thiệt hại từ loại hình tấn công mới này.