Đầu tháng 8, một ngân hàng tại Việt Nam cảnh báo tình trạng lừa đảo thẻ tín dụng thông qua mã QR. Cụ thể, kẻ gian sau khi kết bạn qua mạng xã hội để trao đổi với nạn nhân sẽ gửi mã QR để người dùng quét. Mã này dẫn tới các website giả mạo ngân hàng. Người dùng được yêu cầu nhập thông tin họ tên, số CCCD, tài khoản, mã bí mật hoặc OTP, từ đó bị chiếm tài khoản, tương tự cách thức lừa đảo bằng đường link mạo danh.
Ngày 15/8, Công an tỉnh Lâm Đồng bắt quả tang một nhóm phát tán tờ rơi chứa hình ảnh các cô gái cùng mã QR, dụ người dùng quét để truy cập website và tải ứng dụng. Thực tế, ứng dụng đó được xác định là công cụ gián điệp, chứa phần mềm độc hại chuyên dùng để đánh cắp thông tin, dữ liệu của người dùng.
“Mục tiêu của họ là nhằm đánh lừa người dùng cài đặt ứng dụng chứa mã độc, từ đó có thể ‘nằm vùng’ như một gián điệp, thu thập thông tin, điều khiển ứng dụng ngân hàng, đánh cắp tài khoản, mật khẩu và mã OTP của nạn nhân để thực hiện các hành vi vi phạm pháp luật”, thông báo của đơn vị này viết.
Không chỉ ở Việt Nam, tình trạng lừa đảo bằng mã QR cũng được ghi nhận tăng mạnh trên thế giới trong vài tháng qua. Ngày 16/8, tổ chức bảo mật Cofense cho biết đã phát hiện chiến dịch mã QR nhắm tới thông tin đăng nhập của người dùng Microsoft tại nhiều doanh nghiệp, tổ chức ở Mỹ. Email đính kèm mã QR dưới dạng tệp hình ảnh hoặc PDF, trỏ tới website mạo danh Bing.com, nhưng thực chất là trang chứa mã độc. Chiến dịch này đã bắt đầu từ tháng 5 với hơn 1.000 email nhắm tới một số tổ chức trọng yếu trong lĩnh vực năng lượng và tài chính.
Tại Anh cuối tháng 7, chiến dịch “tráo mã QR” cũng được phát hiện tại các trạm đỗ xe công cộng. Kẻ gian dán đè QR gốc của đơn vị quản lý và khi người dùng quét mã để thanh toán dịch vụ, họ bị dẫn đến một trang giả mạo và bị dụ nhập thông tin tài khoản. Nhiều người cho biết đã bị dịch vụ mạo danh này âm thầm trừ tiền trong thời gian dài, mỗi tháng khoảng 50 euro.
Tình trạng này cũng tương tự việc dán đè mã QR chuyển tiền được ghi nhận ở Việt Nam gần đây.
Vì sao kẻ gian chọn dùng mã QR?
Mã QR về mặt hiển thị có dạng hình vuông, chứa nhiều ô vuông nhỏ bên trong, được sắp xếp không theo quy tắc, nhằm “nén” một nội dung nào đó, thường là đường link trang web hoặc đoạn mã dưới dạng văn bản. Mã này xuất hiện từ lâu, nhưng trở nên phổ biến từ đại dịch Covid-19 do nhu cầu tương tác không chạm.
Theo ông Vũ Ngọc Sơn, Giám đốc công nghệ tại công ty an ninh mạng NSC, QR code chỉ có thể được giải mã và hiển thị nội dung thông qua các máy quét chuyên dụng, hoặc phổ thông hơn là qua camera điện thoại. Mắt người không thể đọc được nội dung của mã và khó phân biệt được các QR khác nhau. Mã cũng giúp việc truy cập một đường link dễ dàng hơn việc phải gõ lại địa chỉ.
“Lợi dụng yếu tố về mặt hiển thị nói trên, cùng sự phổ biến của QR code, kẻ lừa đảo có thể mã hóa các đường link hoặc số tài khoản giả mạo thành mã QR để qua mặt người dùng”, ông Sơn nói. Nếu không để ý, người dùng có thể quét và truy cập link xấu, hoặc chuyển tiền tới số tài khoản giả mạo mà không hay biết.
Theo Cofense, trước đây mã QR không phổ biến trong các cuộc tấn công mạng, do chúng gặp hạn chế về khả năng tương tác. Người dùng sẽ không thể truy cập trực tiếp nội dung độc hại qua QR, mà phải sử dụng công cụ quét.
Tuy nhiên so với đường link độc hại truyền thống, QR code có lợi thế là có thể chèn trực tiếp vào email, tin nhắn mà không bị các bộ lọc chặn lại, từ đó dễ dàng tiếp cận người dùng. Ngoài ra, việc phải quét bằng camera cũng khiến phần lớn người dùng sẽ truy cập bằng điện thoại và kết nối di động, giúp kẻ gian tránh được hàng rào bảo vệ trong môi trường doanh nghiệp, vốn chỉ được trang bị cho máy tính.
“Trước đây, chúng tôi chưa từng ghi nhận chiến dịch tấn công lớn nào sử dụng mã QR. Điều này cho thấy các nhóm tin tặc có thể đang thử nghiệm tính hiệu quả của phương pháp tấn công mới này”, Cofense đánh giá.
Cách phòng tránh
Theo chuyên gia Vũ Ngọc Sơn, người dùng không cần quá lo lắng về việc quét QR, vì bản chất QR code không phải mã độc tấn công trực tiếp mà chỉ là trung gian để truyền tải nội dung. “Người dùng có bị tấn công hay không phụ thuộc vào cách xử lý nội dung sau khi máy quét ánh xạ từ QR code ra nội dung ban đầu”, ông Sơn nói.
Tuy nhiên, ông cũng cảnh báo tình trạng một số ứng dụng quét hiện nay hỗ trợ việc tự động xử lý nội dung. Nếu vô tình quét phải QR code độc hại mà không có hàng rào bảo vệ, chúng có thể khiến người dùng bị tấn công lập tức. Một số QR chuyển tiền có thể được quét và xử lý ngay trên ứng dụng ngân hàng. Trong trường hợp đó, người dùng cần kiểm tra kỹ với bên nhận tiền để tránh chuyển nhầm.
Với đường link thông thường, ông Sơn khuyến nghị người dùng có thể sử dụng camera mặc định của thiết bị. Lúc này, máy sẽ chỉ hiển thị đường link hoặc số tài khoản, và quyền tương tác là do người dùng. “Sau khi quét, cần xem đường link xem có bắt đầu với https và có phải tên miền quen thuộc không. Nếu không, tuyệt đối không bấm vào”, ông Sơn nói.
Còn trong môi trường doanh nghiệp, các chuyên gia tại Cofense cho rằng các tổ chức cần đào tạo nhân viên không quét mã QR trong email, hạn chế nguy cơ bị tấn công và giúp tài khoản của họ được an toàn.
Nguồn: VnExpress