CÔNG NGHỆ

Mã QR đem lại rất nhiều lợi ích cho người dùng. Nó kết nối nhanh chóng đến các nguồn thông tin hoặc cung cấp dữ liệu để giúp người dùng không cần phải nhập thủ công. Do tính tiện lợi và ứng dụng ngày càng phổ biến, mã QR đã nhanh chóng bị tội phạm mạng lợi dụng để lợi dụng người dùng.

Gửi mã QR dụ dỗ nạn nhân

Theo trang Malwarebytes, việc phổ biến mã QR ngày càng tăng có thể liên quan đến việc thâm nhập vào thị trường điện thoại thông minh ngày càng gia tăng. Do đó, số vụ lừa đảo mã QR cũng tăng lên.

Thay vì gửi các liên kết như trước đây - điều mà nhiều người đề phòng và cảnh giác, hiện nay, kẻ xấu đã sử dụng mã QR để lừa dối nạn nhân quét và rơi vào bẫy của chúng. Một trong những mối nguy hiểm lớn nhất về bảo mật mã QR đã được ghi nhận là QRLjacking (ăn cắp đăng nhập mã QR). Đây là một loại tấn công mà trong đó, kẻ tấn công đe dọa chiếm quyền điều khiển của người dùng để kiểm soát tất cả các ứng dụng sử dụng chức năng "Đăng nhập bằng mã QR" và chuyển sang sử dụng mã QR của kẻ xấu thay vì mã xác thực.

Quishing là một hình thức lừa đảo sử dụng mã QR, trong đó kẻ xấu tận dụng mã QR để điều hướng người dùng đến một trang web độc hại. Baiting (đánh mồi) là một loại tấn công kỹ thuật, trong đó kẻ xấu sử dụng mồi để đánh lừa mục tiêu của họ. Trong một cuộc tấn công baiting sử dụng mã QR, kẻ xấu có thể để lại các mã QR độc hại ngẫu nhiên ở các không gian công cộng để thu hút mọi người quét chúng.

Theo Malwarebytes, một ứng dụng quét mã vạch có sẵn trên Google Play đã lây nhiễm cho 10 triệu người dùng chỉ bằng một bản cập nhật vào cuối năm 2020. Trong khi đó, với nguy cơ phần mềm độc hại, kẻ tấn công có thể liên kết mã QR với một trang web, tận dụng thói quen thích tải xuống hoặc sử dụng quảng cáo để lây nhiễm phần mềm độc hại vào máy tính và thiết bị. Những kẻ đánh cắp mật khẩu hoặc keylogger bằng Trojan có thể giúp kẻ tấn công thực hiện hành vi trộm cắp danh tính hoặc các hành vi vi phạm khác.

Để đảm bảo an toàn, người dùng cần chú ý kiểm tra nguồn gốc của mã QR và cẩn thận để phát hiện bất kỳ dấu hiệu giả mạo nào. Hình ảnh được cung cấp bởi Hoàng Triều.

Khó kiểm tra mã QR an toàn

The Moscow Times đưa tin vào ngày 7-12-2023 rằng Sở Truyền thông và Quảng cáo TP Moscow - Nga đã phát động một văn bản cấm việc sử dụng mã QR trong quảng cáo ngoài trời.

Lý do là việc công khai mã QR có thể tạo cơ hội cho những kẻ xấu lợi dụng, liên kết với các nguồn chứa thông tin vi phạm Luật Quảng cáo. Cơ quan quản lý này giải thích lệnh cấm nhằm ngăn chặn nguy cơ vi phạm pháp luật trong bối cảnh ngày càng gia tăng hoạt động tấn công và đột nhập của tin tặc.

Theo quan sát của các chuyên gia, việc chính quyền Moscow cấm công bố mã QR ngoài trời có những tác động sâu sắc hơn, bao gồm cả về an ninh và chính trị. Trước đó, các chuyên gia về an ninh mạng tại Covance đã đưa ra mô tả về sự nguy hiểm của các tin tặc tấn công thông qua mã QR. Theo họ, các loại tấn công như vậy rất khó để xác định.

Việc kiểm tra độ an toàn của mã QR là rất khó bởi vì chúng có ngoại hình tương đồng. Do đó, người dùng cần phải kiểm tra độ an toàn của mã QR dựa trên ngữ cảnh và nội dung mà nó đưa đến. Ví dụ, nếu mã QR dẫn đến một địa chỉ trang web (URL), người dùng nên kiểm tra xem địa chỉ đó có phù hợp với trang web của tổ chức mà họ đã quen thuộc hay không.

Vì mã QR thường sử dụng các URL rút ngắn để tiết kiệm dung lượng, người dùng nên chờ đợi URL đầy đủ xuất hiện. Ngoài ra, người dùng cần chú ý đến nguồn mã và phát hiện các dấu hiệu giả mạo một cách cẩn thận. Dù mã trên các trang web uy tín hoặc từ doanh nghiệp thường an toàn hơn, nhưng tin tặc cũng có thể thao túng.

Các chuyên gia khuyên người dùng không nên tiết lộ mã QR trên giấy tờ cá nhân cho người khác. Tất nhiên, mọi người cần phải thận trọng trước khi quét mã QR được cung cấp và phải kiểm tra kỹ trước khi đồng ý kết nối. Với các mã thanh toán, đặc biệt là được cửa hàng hoặc shipper cung cấp, người dùng cần kiểm tra xem đã mở đúng ứng dụng ngân hàng mà họ đã liên kết hay chưa.