Quishing - chiêu lừa đảo qua mã QR tăng trở lại

"Mã QR (QR code) không được thiết kế với mục đích bảo mật, mà để cuộc sống dễ dàng hơn. Điều này cũng khiến chúng trở thành 'món quà' hoàn hảo cho những kẻ lừa đảo", Rob Lee, người đứng đầu bộ phận nghiên cứu về AI và các mối đe dọa mới nổi tại Viện SANS, một tổ chức chuyên về đào tạo an ninh mạng tại Mỹ, nói với CNBC.

Theo NYPost, QR code là loại mã thú vị khi áp dụng nơi công cộng, cho phép người dùng xem nhanh thông tin nào đó, chẳng hạn thói quen ăn uống của voi ma mút lông dài hoặc chiến lược quân sự của Thành Cát Tư Hãn khi tham quan bảo tàng. Theo thời gian, cùng với sự bùng nổ của smartphone, chúng xuất hiện ở những khía cạnh thiết yếu hơn, từ thanh toán ở cửa hàng tiện lợi, nhà hàng, bãi đậu xe...

Minh họa về lừa đảo qua mã QR. Ảnh: ChatGPT

Tuy nhiên, hacker từ lâu lợi dụng sự phổ biến này để triển khai kịch bản lừa đảo, cải tiến chúng đến mức khó nhận biết. "Giống như nhiều tiến bộ công nghệ vốn bắt nguồn từ mục đích tốt đẹp, mã QR ngày càng trở thành công cụ của kẻ xấu", Dustin Brewer, Giám đốc phụ trách an ninh mạng của BlueVoyant, cho biết. "Bởi mã QR có mặt ở khắp mọi nơi, từ cây xăng, biển hiệu, quảng cáo truyền hình đến nhà hàng, quán xá, chúng vừa hữu ích lại vừa nguy hiểm".

Cách thức này được gọi là Quishing (QR phishing). Theo Brewer, kẻ tấn công lợi dụng những "ô vuông" tưởng chừng vô hại để lừa nạn nhân truy cập website độc hại hoặc vô tình chia sẻ thông tin cá nhân. Sức hấp dẫn của chiêu trò đối với tội phạm mạng nằm ở sự dễ dàng thực hiện: dán mã QR giả lên máy tính tiền đỗ xe hoặc thông báo thanh toán hóa đơn điện nước, sau đó dựa vào sự gấp gáp để thực hiện phần còn lại.

Sự gia tăng của các vụ lừa đảo Quishing năm nay khiến nhiều cơ quan của Mỹ ra cảnh báo. Sở Giao thông vận tải New York và công ty Điện lực Hawaii cảnh báo khách hàng cẩn trọng khi quét mã. Ủy ban Thương mại Liên bang (FTC) khuyến cáo người dân cẩn thận, không quét những mã QR xuất hiện đáng ngờ trên các gói hàng không xác định được gửi đến, hoặc bất ngờ xuất hiện trước cửa nhà. Theo FTC, khi quét mã lạ, người dùng "có thể bị dẫn đến website lừa đảo đánh cắp thông tin cá nhân, thẻ tín dụng, tài khoản thanh toán hoặc tải xuống phần mềm độc hại".

Tại Việt Nam, mã QR là một trong những hình thức thanh toán phổ biến. Thay vì nhập tên ngân hàng, số tài khoản như trước, người dùng chỉ cần quét là thông tin được tự động điền. Việc liên kết giữa các đơn vị cũng giúp thanh toán QR trở nên đơn giản, khi ứng dụng của ngân hàng này có thể quét QR của bên khác. Tuy nhiên, kẻ gian đã lợi dụng để dán đè mã của chúng, khiến khách hàng chuyển tiền sang địa chỉ của chúng.

GS Gaurav Sharma tại Đại học Rochester dự đoán, các vụ lừa đảo qua mã QR sẽ gia tăng thời gian tới do hình thức cung cấp thông tin và thanh toán qua loại mã này ngày một phổ biến và đa dạng. Trong bối cảnh lừa đảo qua những hình thức truyền thống như email, tin nhắn ngày càng khó thực hiện do độ bảo mật cao và người dùng cảnh giác, lừa đảo QR khiến nạn nhân khó đề phòng hơn.

Thực tế, theo Makeuseof, mã QR được đánh giá nguy hiểm hơn email, tin nhắn lừa đảo truyền thống vì người dùng thường không thể đọc hoặc xác minh địa chỉ web được mã hóa. Dù chúng vẫn chứa văn bản dễ đọc, kẻ tấn công có thể sửa đổi nhằm đánh lừa người tin tưởng vào liên kết website dẫn đến.

Một số thống kê cho thấy xu hướng này. Chẳng hạn, nghiên cứu do công ty an ninh mạng KeepNet Labs công bố hồi tháng 9 cho thấy 26% liên kết độc hại hiện được gửi qua mã QR. Còn theo công ty an ninh mạng NordVPN, 73% người Mỹ quét mã QR mà không cần xác minh, và hơn 26 triệu người đã bị chuyển hướng đến trang độc hại.

Khi thiết bị di động bùng nổ, các vụ lừa đảo mã QR thường nhắm vào cả iPhone và smartphone Android. Theo công ty phần mềm diệt virus Malwarebytes, người dùng iPhone dễ trở thành nạn nhân hơn, khi 70% người dùng thiết bị này đã quét mã QR để bắt đầu hoặc hoàn tất giao dịch mua hàng, cao hơn so với 63% người dùng Android.

"Mấu chốt ở đây là niềm tin", nhà nghiên cứu David Ruiz của Malwarebytes viết trên blog. "Người dùng iPhone thể hiện sự tin tưởng vào thiết bị của họ hơn so với người dùng Android và có thể khiến họ mất cảnh giác".

Về độ tuổi, một nghiên cứu của IBM công bố giữa năm cho thấy người lớn tuổi dễ bị ảnh hưởng bởi các chiêu lừa Quishing nhất. Tuy nhiên, các thế hệ sau am hiểu công nghệ hơn cũng đối mặt rủi ro cao do thường xuyên quét mã QR mà không suy nghĩ kỹ.

"Vấn đề chưa đến mức đáng báo động, nhưng đây chính xác là kiểu chiến thuật ít tốn công sức, mang lại lợi nhuận cao mà kẻ tấn công rất thích khai thác", chuyên gia bảo mật an ninh mạng Josh Nadeau của IBM viết trên blog.

Theo Nadeau, để phòng tránh lừa đảo, người dùng cần suy nghĩ kỹ trước khi quét, đảm bảo mã đến từ nguồn đáng tin cậy. Khi sử dụng mã QR ở nơi công cộng, nên tìm kiếm các dấu hiệu giả mạo vật lý như có bị vỡ pixel, lệch vị trí hay bị dán đè mã khác không. Khi quét, sẽ có một liên kết hiển thị trên màn hình, người dùng cần kiểm tra kỹ trước khi đồng ý cho chuyển hướng.

Một số giải pháp mới bảo mật hơn đang được phát triển để cảnh báo hoặc ngăn chặn lừa đảo qua mã QR. Chẳng hạn, GS Sharma của Đại học Rochester đang tạo loại mã mới có tên SDMQR (Self-Authenticating Dual-Modulated QR) - mã chứa hai thông điệp gồm nội dung chính và chữ ký số. Khi quét, phần mềm đọc QR có thể kiểm tra chữ ký để xác nhận mã đó có do một đơn vị có uy tín ký hay không, giúp người dùng biết được mã "chính chủ" hay khả nghi. Trong khi đó, bảo tàng trẻ em lớn nhất thế giới Children's Museum of Indianapolis (Mỹ), nơi đón hơn một triệu lượt khách mỗi năm, cũng áp dụng loại QR cách điệu với logo và màu sắc riêng thay vì mã đơn sắc tiêu chuẩn, đồng thời nêu rõ những gì mọi người có thể thấy khi quét mã.

Bảo Lâm tổng hợp