-
08/10/2013
-
401
-
989 bài viết
Lừa đảo quét mã QR nhúng trong email
Việc sử dụng mã QR đã trở nên phổ biến trong thời kỳ đại dịch COVID-19 vì không cần tiếp xúc mà vẫn có thể lấy được thông tin quan trọng. Và khi mã QR càng trở nên phổ biến, các kẻ tấn công đã ý và lợi dụng để thực hiện các cuộc tấn công lừa đảo qua email.
Ảnh: Lưu Quý
Theo báo cáo và dữ liệu mới nhất từ Cisco Talos Incident Response (Talos IR), có một sự tăng đáng kể về các cuộc tấn công lừa đảo sử dụng mã QR trong năm 2023. Các đối tượng đã lừa cho nạn nhân dùng thiết bị di động quét các mã QR độc hại được nhúng trong email lừa đảo, rồi dẫn đến hậu quả là mã độc được thực thi trên các thiết bị di động. Hoặc các đối tượng đã gửi các email spear-phishing có chứa mã QR độc hại trỏ đến trang đăng nhập giả mạo của Microsoft Office 365, rồi lấy cắp thông tin đăng nhập của người dùng khi họ đăng nhập vào.
Các cuộc tấn công sử dụng mã QR đặc biệt nguy hiểm vì giờ đây mục tiêu là thiết bị di động của người dùng, thường có ít tính năng bảo vệ an ninh hơn và là nơi chứa nhiều thông tin nhạy cảm.
Trong các cuộc tấn công sử dụng mã QR, kẻ gian nhúng một mã QR vào trong nội dung của email lừa đảo và yêu cầu nạn nhân quét nó bằng thiết bị di động để mở một tệp đính kèm hoặc liên kết web cụ thể. Như bất kỳ mã QR nào khác, nạn nhân sẽ phải sử dụng một ứng dụng quét mã QR trên thiết bị di động của họ hoặc chức năng quét tích hợp trong ứng dụng camera để mở liên kết được yêu cầu.
Nội dung của những mã QR này có sự khác biệt lớn. Nó trỏ đến một trang web trông giống như một trang đăng nhập hợp lệ, nhưng thực tế là để đánh cắp thông tin đăng nhập của người dùng. Hoặc nó có thể dẫn đến một tệp đính kèm có mã độc để rồi cài đặt malware lên thiết bị của nạn nhân.
Với thói quen làm việc từ xa sau đại dịch COVID-19, nhiều nhân viên đang truy cập thông tin doanh nghiệp từ thiết bị di động của họ, làm cho các cuộc tấn công này trở nên phổ biến hơn. Theo Báo cáo An toàn (mạng) cho môi trường việc làm năm 2023 bởi công ty an ninh mạng Agency, 97% người tham gia truy cập tài khoản công việc của họ từ thiết bị cá nhân. Điều này có thể làm lộ thông tin kinh doanh nhạy cảm trong các cuộc tấn công mã QR, nếu kẻ tấn công có thể lấy được thông tin đăng nhập nội bộ hoặc tải xuống các tệp độc hại trên thiết bị nạn nhân mục tiêu.
Ảnh: Lưu Quý
Các cuộc tấn công sử dụng mã QR đặc biệt nguy hiểm vì giờ đây mục tiêu là thiết bị di động của người dùng, thường có ít tính năng bảo vệ an ninh hơn và là nơi chứa nhiều thông tin nhạy cảm.
Sự khác biệt giữa mã QR độc hại và một tệp đính kèm hoặc liên kết độc hại truyền thống là gì?
Trong các cuộc tấn công lừa đảo kiểu "truyền thống", kẻ gian viết một email lừa đảo dụ nạn nhân mở một tệp đính kèm hoặc nhấp vào một liên kết độc hại trỏ đến một trang web (đã được được kiểm soát bởi kẻ tấn công). Email thường được thiết kế để giả mạo một cá nhân hoặc tổ chức mà nạn nhân quen biết và do đó không nghi ngờ gì khi mở một tài liệu Microsoft Word hoặc một URL trong nội dung email.Trong các cuộc tấn công sử dụng mã QR, kẻ gian nhúng một mã QR vào trong nội dung của email lừa đảo và yêu cầu nạn nhân quét nó bằng thiết bị di động để mở một tệp đính kèm hoặc liên kết web cụ thể. Như bất kỳ mã QR nào khác, nạn nhân sẽ phải sử dụng một ứng dụng quét mã QR trên thiết bị di động của họ hoặc chức năng quét tích hợp trong ứng dụng camera để mở liên kết được yêu cầu.
Nội dung của những mã QR này có sự khác biệt lớn. Nó trỏ đến một trang web trông giống như một trang đăng nhập hợp lệ, nhưng thực tế là để đánh cắp thông tin đăng nhập của người dùng. Hoặc nó có thể dẫn đến một tệp đính kèm có mã độc để rồi cài đặt malware lên thiết bị của nạn nhân.
Điều gì làm cho việc sử dụng mã QR trong các cuộc tấn công trở nên nguy hiểm?
Nhiều máy tính và thiết bị được sở hữu bởi doanh nghiệp sẽ có các công cụ bảo mật tích hợp để phát hiện lừa đảo và ngăn người dùng mở các liên kết độc hại. Tuy nhiên, trên thiết bị cá nhân, các công cụ này không còn hiệu quả nữa. Các giao thức bảo mật doanh nghiệp và hệ thống giám sát có ít quyền kiểm soát và khả năng "nhìn thấy xuyên thấu" vào các thiết bị cá nhân. Đó là điều kiện để mã độc "hoành hành" mà không bị phát hiện.Với thói quen làm việc từ xa sau đại dịch COVID-19, nhiều nhân viên đang truy cập thông tin doanh nghiệp từ thiết bị di động của họ, làm cho các cuộc tấn công này trở nên phổ biến hơn. Theo Báo cáo An toàn (mạng) cho môi trường việc làm năm 2023 bởi công ty an ninh mạng Agency, 97% người tham gia truy cập tài khoản công việc của họ từ thiết bị cá nhân. Điều này có thể làm lộ thông tin kinh doanh nhạy cảm trong các cuộc tấn công mã QR, nếu kẻ tấn công có thể lấy được thông tin đăng nhập nội bộ hoặc tải xuống các tệp độc hại trên thiết bị nạn nhân mục tiêu.
Bảo vệ chống lại các cuộc tấn công lừa đảo sử dụng mã QR
- Khuyến cáo của hãng bảo mật Cisco, các tổ chức nên triển khai một nền tảng quản lý thiết bị di động (MDM), cung cấp cho người quản trị khả năng "nhìn xuyên thấu" vào các hoạt động của thiết bị cá nhân nhưng vẫn đảm bảo quyền riêng tư của chủ sở hữu thiết bị di động.
- Đào tạo người dùng là chìa khóa để ngăn chặn các cuộc tấn công lừa đảo sử dụng mã QR. Ban lãnh đạo và người quản trị nên đảm bảo tất cả nhân viên đều được đào tạo về nguy cơ của các cuộc tấn công lừa đảo và việc sử dụng ngày càng nhiều mã QR trong email độc hại. Mã QR độc hại có thể có chất lượng hình ảnh kém hoặc trông mờ khi được nhúng trong email. Điều này có thể là dấu hiệu ban đầu cho thấy mã QR không hợp lệ.
- Các ứng dụng quét mã QR thường sẽ cung cấp một bản xem trước (preview) của liên kết mà mã đang trỏ đến. Cần thông báo người dùng rằng họ chỉ nên truy cập các trang web đáng tin cậy với các URL mà họ nhận biết. Hoặc họ có thể sử dụng thiết bị được quản lý để nhập thủ công địa chỉ URL đích mong muốn thay vì sử dụng mã QR như một phương tiện điều hướng.
- Các dấu hiệu của email lừa đảo thường có địa chỉ nguồn đáng nghi, có lỗi chính tả hoặc ngữ pháp trong nội dung email.
- Không bao giờ cung cấp thông tin cá nhân khi chưa có sự kiểm tra chéo (double check).
Theo Cisco Talos
Chỉnh sửa lần cuối bởi người điều hành: