-
09/04/2020
-
123
-
1.511 bài viết
Phân tích kỹ thuật: Khi Quishing bước sang level tấn công mới
Trong nhiều năm làm việc với các hệ thống phòng chống phishing, giới chuyên gia an ninh mạng từng tin rằng chỉ cần kiểm soát chặt liên kết (URL) và file đính kèm là đủ để ngăn chặn phần lớn email lừa đảo. Tuy nhiên, sự trỗi dậy của Quishing - phishing bằng mã QR đang buộc toàn bộ ngành bảo mật phải nhìn lại giả định đó. Những kỹ thuật mới như Split QR và Nested QR vừa được chuyên gia Barracuda cảnh báo, cho thấy hacker không chỉ né công cụ quét mà còn chủ động khai thác “điểm mù nhận thức” của cả con người lẫn AI.
Quishing về bản chất không phải là kỹ thuật hoàn toàn mới. Điểm khác biệt thay vì đặt link lừa đảo lộ liễu trong email, kẻ tấn công giấu toàn bộ liên kết bên trong một hình ảnh QR code. Khi người dùng quét mã, họ lập tức bị chuyển hướng tới website giả mạo nhằm đánh cắp tài khoản Microsoft 365, email doanh nghiệp, VPN hoặc các dịch vụ nội bộ khác.
Theo góc nhìn của chuyên gia SOC, QR code trở thành “vũ khí” ưa thích của hacker vì nó đánh trúng ba điểm yếu cùng lúc. Thứ nhất, con người không thể đọc hay đánh giá rủi ro của QR bằng mắt thường nên bản năng cảnh giác gần như bằng không. Thứ hai, rất nhiều hệ thống lọc email vẫn xem hình ảnh là nội dung ít rủi ro hơn link HTML. Cuối cùng, hành vi quét QR thường diễn ra trên điện thoại cá nhân, nơi các lớp bảo vệ doanh nghiệp khó hiện diện.
Khi các giải pháp bảo mật bắt đầu học cách bóc tách và phân tích QR code, cuộc chơi lập tức được hacker nâng cấp lên một cấp độ tinh vi hơn.
Split QR Codes: Mã QR bị “xé nhỏ” để đánh lừa máy móc
Trong kỹ thuật Split QR Codes, mã QR độc hại không còn tồn tại như một hình ảnh hoàn chỉnh. Thay vào đó, bộ công cụ phishing-as-a-service Gabagool đã chia mã QR thành nhiều mảnh ảnh nhỏ rồi ghép chúng lại bằng HTML/CSS ngay trong nội dung email.
Với người dùng, mã QR vẫn hiện lên đầy đủ và hợp lệ. Nhưng với các hệ thống bảo mật, mỗi mảnh ảnh riêng lẻ đều không đủ dữ liệu để nhận diện là QR code. Kết quả là email vượt qua lớp lọc một cách trơn tru.
Barracuda ghi nhận kỹ thuật này trong một chiến dịch giả mạo email “Microsoft Password Reset” có mức độ cá nhân hóa rất cao, dấu hiệu cho thấy nạn nhân có thể đã bị chiếm quyền hội thoại trước đó. Khi người dùng quét mã, họ bị dẫn tới trang đăng nhập Microsoft 365 giả mạo và vô tình trao toàn bộ thông tin xác thực cho kẻ tấn công.
Với người dùng, mã QR vẫn hiện lên đầy đủ và hợp lệ. Nhưng với các hệ thống bảo mật, mỗi mảnh ảnh riêng lẻ đều không đủ dữ liệu để nhận diện là QR code. Kết quả là email vượt qua lớp lọc một cách trơn tru.
Barracuda ghi nhận kỹ thuật này trong một chiến dịch giả mạo email “Microsoft Password Reset” có mức độ cá nhân hóa rất cao, dấu hiệu cho thấy nạn nhân có thể đã bị chiếm quyền hội thoại trước đó. Khi người dùng quét mã, họ bị dẫn tới trang đăng nhập Microsoft 365 giả mạo và vô tình trao toàn bộ thông tin xác thực cho kẻ tấn công.
Một chuyên gia an ninh mạng nhận xét: “Hệ thống bảo mật chỉ nhìn thấy hai hình ảnh vô hại, trong khi người dùng lại thấy một mã QR hoàn chỉnh kèm thông điệp quen thuộc. Chính khoảng cách này khiến các lớp phòng thủ truyền thống trở nên bất lực.”Một chuyên gia phân tích mối đe dọa nhận định: “Máy quét chỉ thấy hai hình ảnh vô hại nhưng con người lại thấy một lời kêu gọi hành động quen thuộc và đáng tin. Đây là điểm mà phòng thủ truyền thống hoàn toàn thất bại.”
Nested QR Codes: “QR trong QR” và bài toán gây nhiễu AI
Nếu Split QR đánh vào khả năng giải mã hình ảnh thì Nested QR Codes lại nhắm thẳng vào logic phân tích của công cụ bảo mật. Kỹ thuật này được ghi nhận từ nền tảng Tycoon 2FA PhaaS, lồng một mã QR độc hại vào bên trong hoặc bao quanh một mã QR hợp lệ.
Trong một số email lừa đảo, hacker cố tình đặt hai mã QR chồng lên nhau: mã ở giữa dẫn tới Google hoàn toàn hợp lệ, còn mã bao quanh lại đưa người dùng tới trang giả mạo. Khi gặp tình huống này, các công cụ quét tự động dễ bị lúng túng vì vừa thấy yếu tố an toàn, vừa phát hiện dấu hiệu đáng ngờ. Để tránh chặn nhầm, nhiều hệ thống đã bỏ lọt email, vô tình mở đường cho kẻ tấn công.
Đây là một bước chuyển rất đáng chú ý: Hacker không chỉ tìm cách né các quy tắc kiểm tra cũ mà còn cố tình làm hệ thống bảo mật “bối rối”, khiến nó không dám chặn vì sợ nhầm lẫn.
Trong một số email lừa đảo, hacker cố tình đặt hai mã QR chồng lên nhau: mã ở giữa dẫn tới Google hoàn toàn hợp lệ, còn mã bao quanh lại đưa người dùng tới trang giả mạo. Khi gặp tình huống này, các công cụ quét tự động dễ bị lúng túng vì vừa thấy yếu tố an toàn, vừa phát hiện dấu hiệu đáng ngờ. Để tránh chặn nhầm, nhiều hệ thống đã bỏ lọt email, vô tình mở đường cho kẻ tấn công.
Đây là một bước chuyển rất đáng chú ý: Hacker không chỉ tìm cách né các quy tắc kiểm tra cũ mà còn cố tình làm hệ thống bảo mật “bối rối”, khiến nó không dám chặn vì sợ nhầm lẫn.
Vì sao cách phòng thủ truyền thống không còn hiệu quả?
Trong nhiều năm, bảo mật email vận hành hiệu quả nhờ một cách tiếp cận quen thuộc: kiểm tra link và file đính kèm. Tuy nhiên, Quishing cho thấy mô hình đó đang dần lỗi thời. Khi liên kết không còn xuất hiện trực tiếp trong nội dung email mà được giấu kín trong mã QR, nhiều hệ thống phòng thủ truyền thống gần như “không nhìn thấy” mối nguy.Nguy hiểm hơn, mã QR ngày nay không còn là một khối hình ảnh đơn giản. Chúng có thể bị chia nhỏ, lồng ghép hoặc làm nhiễu khiến email trông hoàn toàn vô hại về mặt kỹ thuật. Rủi ro chỉ thực sự xuất hiện ở thời điểm người dùng quét mã và làm theo hướng dẫn. Đây chính là nghịch lý cốt lõi của Quishing: hệ thống thấy an toàn nhưng hành vi người dùng lại bị dẫn dắt vào bẫy.
Thực tế đó cho thấy, chỉ dựa vào đào tạo nhận thức là chưa đủ. Các giải pháp bảo mật cũng cần thay đổi cách tiếp cận, từ việc “đọc dữ liệu” sang “hiểu ngữ cảnh”, nhìn được hình ảnh, nhận diện mã QR và theo dõi hành vi phía sau mỗi thao tác quét.
Split QR và Nested QR vì thế không chỉ là thủ thuật mới mà là dấu hiệu cho thấy phishing đang chuyển hướng sang thao túng nhận thức và thị giác. Trong một thế giới ngày càng tin tưởng mã QR, câu hỏi đặt ra không còn là có nên quét hay không mà là hệ thống bảo mật đã thực sự nhìn thấy những gì người dùng đang nhìn hay chưa.
Chỉnh sửa lần cuối: