Trang Trắng

Cảnh báo 2 chiêu lừa đảo mã QR tinh vi vượt qua hệ thống bảo mật

  • lừa đảo mã QR
  • quishing
  • bảo mật
  • Trang Trắng
  • an ninh mạng
đọc mất khoảng 7 phút

Cảnh báo 2 chiêu lừa đảo mã QR tinh vi vượt qua hệ thống bảo mật

Mã QR chia nhỏ và QR lồng nhau là 2 phương thức lừa đảo mới tinh vi. Trang Trắng cảnh báo cách phòng tránh và bảo vệ tài khoản cá nhân của bạn.

Trong thời đại công nghệ số, các phương thức lừa đảo ngày càng trở nên tinh vi và khó phát hiện. Một trong những hình thức tấn công mới nhất mà người dùng cần cảnh báo là lừa đảo thông qua mã QR. Khác với những chiêu lừa truyền thống, phương pháp này tận dụng độ phổ biến và sự tin tưởng của người dùng đối với công nghệ mã QR để thực hiện các hành động lừa đảo. Trang Trắng muốn giúp bạn hiểu rõ hơn về các chiêu lừa này để có thể bảo vệ bản thân và tài khoản cá nhân một cách hiệu quả.

Hai chiêu lừa đảo mã QR tinh vi nhất hiện nay

Các chuyên gia an ninh mạng đã phát hiện ra hai phương thức lừa đảo mã QR cực kỳ tinh vi, có khả năng vượt qua các lớp bảo vệ tự động của hệ thống:

Chiêu thứ nhất: Mã QR chia nhỏ

Kẻ tấn công chia một mã QR hoàn chỉnh thành hai nửa riêng biệt, sau đó ghép chúng lại để tạo thành hình ảnh trông giống như một mã QR bình thường. Khi người dùng nhìn vào bằng mắt thường, họ gần như không thể phát hiện được sự bất thường.

Tuy nhiên, điểm tinh vi của phương thức này nằm ở cách nó qua mặt các hệ thống quét thư tự động. Khi công cụ bảo mật kiểm tra email, nó chỉ nhìn thấy hai hình ảnh rời rạc, vô hại, không phải một mã QR hoàn chỉnh cần kiểm tra. Nhờ đó, mã QR độc hại lọt qua các lớp bảo mật mà không kích hoạt bất kỳ cảnh báo nào, đồng thời vẫn giữ giao diện hoàn chỉnh khi hiển thị với người dùng cuối.

Chiêu thứ hai: Mã QR lồng nhau

Trong phương thức này, kẻ tấn công chèn hai mã QR vào cùng một hình ảnh. Mã bên ngoài chứa một URL độc hại dẫn tới trang web giả mạo, trong khi mã bên trong dẫn tới một trang web hoàn toàn hợp pháp như Google hoặc các dịch vụ phổ biến khác.

Khi các công cụ quét phân tích hình ảnh này, kết quả giải mã trở nên mơ hồ vì hệ thống nhận được nhiều URL khác nhau, bao gồm cả đường dẫn hợp pháp. Điều này gây khó khăn cho các hệ thống bảo mật tự động vốn dựa trên tiêu chí "một mã, một nội dung". Đây là một biến thể tấn công vô cùng thông minh.

Tại sao lừa đảo mã QR lại hiệu quả?

Có nhiều lý do khiến phương thức lừa đảo này trở nên nguy hiểm và hiệu quả:

  • Mã QR không thể đọc bằng mắt thường: Người dùng hoàn toàn không biết mã chứa nội dung gì cho tới khi quét, nên gần như không có dấu hiệu cảnh báo sớm.
  • Hệ thống bảo vệ chưa cập nhật: Hầu hết các công cụ lọc thư rác hay quét link độc hại vẫn tập trung chính vào văn bản và URL, khiến mã QR dễ dàng vượt qua lớp bảo vệ này.
  • Quét trên thiết bị cá nhân: Quét mã QR thường diễn ra trên điện thoại cá nhân, thay vì trong hệ thống mạng công ty nơi có lớp bảo vệ chặt chẽ hơn. Điều này đưa người dùng ra khỏi "vòng đai an ninh" và tạo điều kiện cho tội phạm mạng hoạt động.
  • Tính tiện lợi cao: Mã QR rất phổ biến trong đời sống hàng ngày, nên người dùng có xu hướng quét mà không ngần ngại.

Cách phòng tránh lừa đảo mã QR

Để bảo vệ bản thân khỏi các cuộc tấn công lừa đảo mã QR, bạn cần áp dụng các biện pháp phòng vệ sau:

  • Tuyệt đối không quét mã QR do người lạ gửi, đặc biệt là qua email, tin nhắn hoặc các tài liệu không xác minh được nguồn gốc.
  • Khi quét mã QR, hãy kiểm tra URL hiển thị trước khi nhấn vào. Nếu URL trông lạ hoặc không quen thuộc, đừng tiếp tục.
  • Cảnh báo sớm: Nếu bạn thấy màn hình hiện lên dòng chữ "đăng nhập" hoặc hỏi về việc liên kết thiết bị mới sau khi quét mã, hãy nhấn ngay nút "Từ chối" để chặn đứng phiên truy cập trái phép.
  • Sử dụng xác thực đa yếu tố (MFA) cho các tài khoản quan trọng để giảm thiểu rủi ro khi thông tin đăng nhập bị đánh cắp.
  • Đặt mật khẩu an toàn và định kỳ thay đổi mật khẩu cho các ứng dụng và dịch vụ mà bạn sử dụng.
  • Không chia sẻ thông tin cá nhân một cách tùy tiện trên mạng, vì điều này có thể tạo điều kiện cho kẻ xấu thu thập và sử dụng thông tin vào mục đích phạm tội.

Nếu bạn nghi ngờ tài khoản của mình đã bị xâm nhập, hãy đổi mật khẩu ngay lập tức. Đồng thời, kiểm tra lịch sử đăng nhập và đăng xuất khỏi tất cả các thiết bị lạ mà bạn không nhận ra. Hầu hết các ứng dụng và dịch vụ hiện nay đều có phần cài đặt quyền riêng tư cho phép bạn thực hiện các thao tác này.

Khi phát hiện bị lừa đảo

Trong trường hợp bạn phát hiện bản thân đã bị lừa đảo hoặc bị đe dọa, cần thực hiện ngay các bước sau:

  • Liên hệ với cơ quan công an gần nhất để báo cáo tình hình và được hỗ trợ kịp thời.
  • Cung cấp đầy đủ thông tin về sự việc để cơ quan chức năng có thể điều tra và xử lý.
  • Tránh để kẻ xấu tiếp tục lợi dụng danh tính của bạn để lừa đảo những người khác.

Lời khuyên từ Trang Trắng: Bảo vệ thông tin cá nhân và tài khoản số của bạn là trách nhiệm quan trọng trong thời đại công nghệ. Hãy luôn cảnh báo và nâng cao nhận thức về các phương thức lừa đảo mới. Không quét mã QR từ nguồn không xác minh, sử dụng xác thực đa yếu tố, và cập nhật các biện pháp bảo mật là những cách hiệu quả nhất để bảo vệ bản thân. Nếu bạn cần tra cứu thông tin hoặc xác minh độc lập của các liên hệ trước khi tương tác, hãy sử dụng các dịch vụ tra cứu đáng tin cậy như Trang Trắng để giảm thiểu rủi ro bị lừa đảo.