Quishing là gì?
Quishing (QR Phishing) là hình thức tấn công giả mạo sử dụng mã QR độc hại. Thay vì gửi những đường link rác dễ bị phát hiện, kẻ gian ẩn giấu trang web lừa đảo bên dưới một hình ảnh mã QR trông có vẻ vô hại. Quishing không chỉ là một trào lưu nhất thời mà đang thực sự trở thành một "cơn sóng ngầm" nguy hiểm. Sau đại dịch, mã QR đã len lỏi vào mọi ngách của đời sống: từ menu nhà hàng, thanh toán hóa đơn, đăng nhập Wi-Fi đến khai báo thông tin. Việc quét mã QR đã trở thành một phản xạ vô điều kiện và thói quen hàng ngày của hàng tỷ người. Kẻ xấu chỉ đơn giản là "tát nước theo mưa", lợi dụng sự tiện lợi và lòng tin của người dùng vào một công cụ vốn dĩ được coi là an toàn. Thủ đoạn Quishing (kết hợp giữa "QR code" và "Phishing") đang trở thành một thách thức lớn đối với an ninh mạng vì khả năng "tàng hình" trước các hệ thống phòng thủ truyền thống.
* Vì sao Quishing là thủ đoạn vô cùng nguy hiểm và khó phát hiện?
- Vô hiệu hóa bộ lọc URL truyền thống
+ Các hệ thống bảo mật email (Email Gateway) thường quét nội dung văn bản để tìm các đường link (URL) độc hại. Tuy nhiên, mã QR thực chất là một tệp hình ảnh. Do không có văn bản chứa link trực tiếp, các bộ lọc này thường coi đó là một hình ảnh vô hại và cho phép email đi qua hộp thư đến.
- Sử dụng kỹ thuật "Làm mù" công nghệ quét hình ảnh (OCR)
Khi các giải pháp bảo mật bắt đầu sử dụng công nghệ nhận dạng ký tự quang học (OCR) để đọc mã QR, tin tặc đã nâng cấp lên các kỹ thuật tinh vi hơn:
+ Chia mã QR thành nhiều mảnh nhỏ đặt cạnh nhau. Máy quét chỉ thấy các hình ảnh rời rạc, nhưng mắt người lại thấy một mã QR hoàn chỉnh - Split QR (Phân tách mã)
+ Thay vì dùng ảnh (JPG, PNG), tin tặc tạo mã QR bằng các ký tự văn bản (như khối █). Hệ thống bảo mật chỉ nhận diện đây là một đoạn văn bản lạ, không phải mã QR để quét - ASCII QR
+ Chèn mã độc vào giữa các lớp của một mã QR hợp lệ để đánh lừa thuật toán phân tích - Nested QR (Mã lồng mã)
- Đưa người dùng ra khỏi "Vành đai an ninh"
+ Hầu hết các email lừa đảo được nhận trên máy tính công ty (có tường lửa, phần mềm soi link), nhưng để quét mã QR, người dùng buộc phải sử dụng điện thoại cá nhân. Thường thì điện thoại cá nhân thường không có các lớp bảo vệ nghiêm ngặt như mạng doanh nghiệp; Khi quét xong, trình duyệt di động thường tự động truy cập link, khiến người dùng không có thời gian để kiểm tra kỹ URL.
- Khai thác "Điểm mù nhận thức"
+ Về mặt tâm lý, con người thường tin tưởng mã QR hơn là các đường link lạ. Mã QR tạo ra một sự tò mò và cảm giác hiện đại, khiến nạn nhân ít đề phòng hơn so với việc nhấn vào một liên kết dài loằng ngoằng trong email.
- Sử dụng Redirect (Chuyển hướng) và Captcha
+ Sau khi quét mã, thay vì dẫn trực tiếp đến trang độc hại, tin tặc thường dùng các trang trung gian hợp lệ hoặc thêm một lớp Captcha. Hệ thống bảo mật tự động khi quét link sẽ bị chặn lại ở bước Captcha, trong khi người dùng thật sẽ tự tay giải mã và tự dẫn mình vào "bẫy".
* Những "kịch bản" lừa đảo phổ biến dùng thủ đoạn Quishing (mã QR)
- Dán đè tại nơi công cộng: Thay thế mã QR thanh toán tại các cửa hàng, bãi giữ xe, hoặc thực đơn nhà hàng bằng mã QR của kẻ lừa đảo.
- Giả danh cơ quan chức năng: Gửi email hoặc tin nhắn giả mạo ngân hàng, cơ quan thuế, bảo hiểm xã hội hoặc thẩm chí là cơ quan Công an... yêu cầu người dùng quét mã QR để "cập nhật thông tin" hoặc "nhận tiền hỗ trợ".
- Ưu đãi ảo: Các tờ rơi quảng cáo trúng thưởng, giảm giá sốc kèm mã QR yêu cầu người dùng nhập thông tin cá nhân để nhận quà.
* Hậu quả khôn lường từ thủ đoạn Quishing
- Mất tài khoản ngân hàng: Kẻ gian chiếm đoạt mã OTP và rút sạch tiền trong tài khoản.
- Rò rỉ thông tin cá nhân: Các dữ liệu về CCCD, số điện thoại, email bị bán cho bên thứ ba.
- Cài đặt mã độc: Điện thoại bị kiểm soát từ xa, theo dõi cuộc gọi và tin nhắn.
* 4 quy tắc vàng để tự bảo vệ mình khỏi thủ đoạn Quishing (mã QR)
Để không trở thành nạn nhân của Quishing, hãy ghi nhớ:
1. QUAN SÁT KỸ: Trước khi quét mã QR ở nơi công cộng, hãy kiểm tra xem mã đó có bị dán đè, bong tróc hay có dấu hiệu chỉnh sửa hay không.
2. KIỂM TRA ĐƯỜNG LINK (PREVIEW): Luôn xem kỹ địa chỉ trang web hiển thị trên màn hình sau khi quét. Tuyệt đối không truy cập các tên miền lạ, sai chính tả hoặc có đuôi lạ (ví dụ: .top, .xyz, .cc).
3. KHÔNG NHẬP THÔNG TIN NHẠY CẢM: Không bao giờ nhập mật khẩu ngân hàng, mã OTP hoặc thông tin cá nhân vào các trang web được mở ra từ mã QR không rõ nguồn gốc.
4. SỬ DỤNG ỨNG DỤNG QUÉT AN TOÀN: Sử dụng một số ứng dụng bảo mật (như của Kaspersky hoặc Trend Micro) có tính năng kiểm tra độ an toàn của đường link trong mã QR trước khi mở hoặc cài đặt phần mềm diệt virus trên điện thoại để ngăn chặn các trang web độc hại.