Lừa đảo trực tuyến ngày càng tinh vi và phức tạp hơn, trong đó nổi bật gần đây là lừa đảo quishing. “Quishing” (kết hợp của “QR code” và “phishing”) là hình thức lừa đảo sử dụng mã QR độc hại để dẫn dụ nạn nhân đến các trang web giả mạo, cài đặt phần mềm độc hại hoặc thực hiện các giao dịch không mong muốn… 405CYSE sẽ cung cấp những thông tin hữu ích giúp bạn hiểu rõ hơn về vấn đề này.
Lừa đảo quishing là gì?
Lừa đảo quishing (hay QR phishing) là một biến thể của phương thức lừa đảo phishing truyền thống nhưng thay vì sử dụng đường link liên kết thông thường thì kẻ tấn công sử dụng mã QR để dẫn dụ người dùng đến các trang web có mã độc hoặc vô tình thực hiện chuyển tiền/giao dịch ngoài ý muốn.
Thông thường, một cuộc tấn công phishing sẽ gửi email hoặc tin nhắn chứa đường link độc hại. Khi người dùng nhấp vào liên kết này, họ sẽ bị chuyển hướng đến trang web giả mạo nhằm đánh cắp thông tin cá nhân hoặc cài đặt phần mềm độc hại vào thiết bị. Hiện nay, có nhiều hình thức của Quishing tại Việt Nam:
– Mã QR giả mạo nơi công cộng: Dán đè hoặc thay thế mã QR thanh toán, thông tin tại nhà hàng, bến xe… bằng mã QR của các đối tượng để chiếm đoạt tiền khi người dùng thanh toán.
– Mã QR trong thư điện tử và tin nhắn lừa đảo: Giả mạo các tổ chức uy tín gửi thông báo kèm mã QR dẫn đến trang web đánh cắp thông tin đăng nhập hoặc yêu cầu chuyển tiền.
– Mã QR trên sản phẩm và tài liệu giả: In mã QR của các đối tượng trên hàng giả, vé số ảo, tài liệu lừa đảo để dẫn dụ người dùng truy cập các trang web nguy hiểm hoặc cung cấp thông tin cá nhân.
– Tấn công trung gian qua mã QR: Can thiệp vào quá trình quét, chuyển hướng người dùng qua một trang web thu thập dữ liệu trước khi đến trang thật.
Tại TP. HCM, một nhà hàng ở Quận 8 mới đây bị thiệt hại bởi đối tượng lừa đảo đã theo dõi và dán đè toàn bộ các mã QR code thanh toán qua ví điện tử được gắn tại vị trí dễ thấy như trên tường, mặt bàn ăn mà không hề phát hiện ra.
Rủi ro từ Quishing
Mã QR vốn được thiết kế để giúp người dùng dễ dàng truy cập vào các trang web mà không cần nhập URL thủ công. Tuy nhiên, việc quét phải mã QR lừa đảo sẽ dẫn bạn đến những trang web chứa mã độc hoặc trang web giả mạo nhằm đánh cắp thông tin cá nhân như tài khoản ngân hàng, mật khẩu email, thông tin đăng nhập các tài khoản mạng xã hội…Có thể phân loại các rủi ro từ Quishing như sau:
– Đánh cắp thông tin cá nhân: Rò rỉ tên tuổi, địa chỉ, số điện thoại, email, tài khoản mạng xã hội.
– Mất tiền trong tài khoản: Bị chiếm đoạt thông tin ngân hàng, thẻ tín dụng và thực hiện các giao dịch trái phép.
– Thiết bị nhiễm mã độc: Bị cài đặt phần mềm gián điệp, virus, khóa dữ liệu tống tiền.
– Trở thành nạn nhân của các hình thức lừa đảo khác: Thông tin cá nhân bị đánh cắp có thể được sử dụng cho các mục đích xấu xa hơn.
Tác hại khi truy cập vào các trang web độc hại thông qua mã QR tương tự như khi bạn nhấp vào các liên kết độc hại thông thường, có thể khiến bạn mất thông tin quan trọng hoặc thiết bị bị nhiễm mã độc.
Ở phía doanh nghiệp, lừa đảo quishing gây ra những thiệt hại và thách thức đặc biệt đối với các tổ chức và doanh nghiệp bởi hình thức này thường liên quan đến nhiều thiết bị khác nhau. Ví dụ, người dùng nhận được email chứa mã QR trên máy tính công ty nhưng lại dùng điện thoại cá nhân để quét mã QR đó.
Điều này khiến việc kiểm soát và ngăn chặn trở nên khó khăn hơn, bởi các thiết bị cá nhân thường không được bảo vệ bởi các chính sách an ninh mạng của tổ chức. Tương tự, nếu người dùng nhận email quishing trong hộp thư cá nhân và sử dụng thiết bị công ty để quét mã, thiết bị công ty có thể bị nhiễm mã độc nếu hệ thống bảo mật không kịp thời phát hiện và ngăn chặn.
Cách nhận biết lừa đảo quishing
Để phát hiện các cuộc tấn công quishing, bạn có thể chú ý một số dấu hiệu sau:
- Các dấu hiệu phổ biến của phishing: Email quishing thường chứa các lỗi chính tả, ngữ pháp sai, địa chỉ email giả mạo hoặc tương tự địa chỉ thật.
Phân tích nội dung: Các email lừa đảo thường sử dụng các thủ thuật tâm lý như tạo cảm giác khẩn cấp, thúc giục người dùng hành động ngay lập tức.
Nhận diện mã QR: Quishing sử dụng mã QR được nhúng trong email. Việc quét và phân tích các hình ảnh để phát hiện mã QR có thể giúp xác định các cuộc tấn công này.
Cách phòng tránh lừa đảo quishing hiệu quả
Dưới đây là những phương pháp hữu hiệu chuyên gia từ 405CYSE đưa ra giúp bạn và tổ chức của mình tránh được các cuộc tấn công quishing:
- Đào tạo và nâng cao nhận thức người dùng
- Giáo dục nhân viên về hình thức lừa đảo quishing và rủi ro khi quét mã QR từ các nguồn không tin cậy.
- Sử dụng công cụ rà soát bảo mật email, các công cụ giao tiếp trong công việc.
- Tuyệt đối không quét mã QR từ các email, tin nhắn, hay các nguồn lạ, không đáng tin cậy.
Kiểm tra URL sau khi quét mã QR - Luôn kiểm tra kỹ URL hiển thị sau khi quét mã QR trước khi truy cập hoặc nhập thông tin cá nhân.
Kích hoạt xác thực đa yếu tố (MFA) - Sử dụng xác thực đa yếu tố (MFA) giúp giảm thiểu tối đa thiệt hại nếu chẳng may thông tin đăng nhập của bạn bị đánh cắp.
Kết luận
Lừa đảo quishing là một hình thức lừa đảo mới mẻ và nguy hiểm, đòi hỏi sự cảnh giác cao độ từ người dùng và các tổ chức. Bằng cách hiểu rõ về cách thức hoạt động, dấu hiệu nhận biết và các biện pháp phòng tránh, bạn hoàn toàn có thể bảo vệ bản thân và tổ chức khỏi những rủi ro tiềm ẩn từ lừa đảo quishing.