Cảnh báo chiêu lừa mới núp bóng mã QR đe dọa người dùng

Hiệp hội An ninh mạng quốc gia (NCA) cùng nhiều hãng bảo mật quốc tế mới đây đồng loạt phát đi cảnh báo về những kỹ thuật lừa đảo mới bằng mã QR, cho thấy xu hướng tấn công “thị giác” đang gia tăng mạnh mẽ. Từ các chiến dịch email giả mạo cho tới thủ đoạn chiếm quyền điều khiển tài khoản Zalo, Quishing (QR phishing) đang nổi lên như một mối đe dọa âm thầm nhưng đặc biệt nguy hiểm đối với người dùng cá nhân lẫn doanh nghiệp.

Mã QR “qua mặt” hệ thống bảo mật bằng kỹ thuật chia tách và lồng ghép

Theo các chuyên gia, tội phạm mạng đang sử dụng hai kỹ thuật mới để biến mã QR thành công cụ vượt qua hàng rào an ninh của hệ thống lọc thư và phần mềm bảo mật.

Kỹ thuật thứ nhất là “mã QR chia nhỏ”. Thay vì chèn một hình ảnh QR hoàn chỉnh vào email, kẻ tấn công tách mã thành hai phần riêng biệt rồi ghép lại bằng bố cục HTML. Với mắt người dùng, đây vẫn là một mã QR bình thường và có thể quét thành công.

Tuy nhiên, với các hệ thống quét an ninh tự động, hai nửa hình ảnh này chỉ được xem như hai file vô hại, không bị nhận diện là mã QR cần kiểm tra. Nhờ đó, mã độc dễ dàng lọt qua lớp bảo vệ mà không kích hoạt bất kỳ cảnh báo nào. Nhiều chiến dịch đã lợi dụng thủ thuật này để giả danh thông báo đặt lại mật khẩu, dẫn nạn nhân tới trang web giả mạo nhằm đánh cắp tài khoản.

Ảnh minh họa.

Kỹ thuật thứ hai tinh vi hơn, được gọi là “mã QR lồng nhau”. Trong cùng một hình ảnh, kẻ gian chèn hai mã QR: mã bên trong dẫn tới một trang web hợp pháp như Google, trong khi mã bên ngoài chứa đường link độc hại. Khi hệ thống bảo mật phân tích, kết quả trả về thường lẫn lộn giữa liên kết sạch và liên kết xấu, khiến việc đánh giá rủi ro trở nên mơ hồ.

Cách tiếp cận này đánh thẳng vào nguyên tắc “một mã - một nội dung” vốn được nhiều hệ thống an ninh áp dụng. Khi quy tắc bị phá vỡ, mã QR độc hại có thể tồn tại hợp pháp trong email, tài liệu hoặc quảng cáo mà không bị phát hiện.

Điểm đáng lo ngại là người dùng hoàn toàn không thể “đọc” nội dung mã QR bằng mắt thường. Chỉ một thao tác quét, thiết bị có thể bị điều hướng tới trang web giả mạo, cài mã độc hoặc đánh cắp thông tin đăng nhập mà nạn nhân không hề hay biết.

Quét mã, mất quyền kiểm soát tài khoản và cái giá của sự chủ quan

Không chỉ xuất hiện trong email giả mạo, Quishing đã nhanh chóng lan sang các nền tảng quen thuộc với người Việt. Theo vtcnews, mới đây Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (PA05, Công an TP.HCM) cảnh báo về thủ đoạn chiếm đoạt tài khoản Zalo thông qua mã QR đăng nhập.

Lợi dụng tính năng đăng nhập nhanh bằng QR trên máy tính, các đối tượng lừa đảo gửi mã QR kèm lời mời nhận quà hoặc xem nội dung hấp dẫn. Thực chất, đó là mã đăng nhập vào thiết bị của kẻ gian. Khi nạn nhân quét và vô tình xác nhận, toàn bộ tài khoản Zalo lập tức bị chiếm quyền điều khiển.

Nguy hiểm ở chỗ, thao tác quét và xác nhận diễn ra rất nhanh, phù hợp với thói quen sử dụng vội vàng của người dùng. Chỉ một lần bấm nhầm, kẻ xấu có thể đọc trộm tin nhắn, mạo danh vay tiền, phát tán link độc hại hoặc tiếp tục lừa đảo người khác.

Theo cơ quan chức năng, nhiều nạn nhân chỉ phát hiện sự việc khi tài khoản đã bị sử dụng để nhắn tin vay tiền hoặc gửi đường link lạ tới danh bạ. Việc khôi phục sau đó gặp không ít khó khăn do dữ liệu đã bị thay đổi và quyền kiểm soát nằm trong tay đối tượng xấu.

Công an khuyến cáo người dân tuyệt đối không quét mã QR từ nguồn không rõ ràng. Nếu màn hình hiện thông báo đăng nhập hoặc liên kết thiết bị mới, cần nhấn “Từ chối” ngay lập tức. Trong trường hợp nghi ngờ bị xâm nhập, người dùng nên đổi mật khẩu, kiểm tra lịch sử đăng nhập và đăng xuất khỏi toàn bộ thiết bị lạ.

Sự trỗi dậy của Quishing cho thấy tội phạm mạng đang chuyển hướng từ tấn công văn bản sang tấn công “bằng hình ảnh”, một mặt trận mới khó giám sát hơn. Trước xu thế này, các chuyên gia khuyến nghị doanh nghiệp cần triển khai AI đa mô hình để phân tích hình ảnh, nhận diện mã QR và đánh giá hành vi truy cập trong môi trường cô lập.

Với người dùng cá nhân, nguyên tắc quan trọng nhất vẫn là thận trọng. Không quét mã lạ, không xác nhận đăng nhập khi không chủ động thực hiện, và luôn bật xác thực nhiều lớp cho các tài khoản quan trọng.

Trong kỷ nguyên số, một mã QR tưởng như vô hại có thể trở thành chìa khóa mở toang cánh cửa dữ liệu cá nhân. Sự cảnh giác vì thế không còn là lựa chọn, mà là điều kiện sống còn để bảo vệ chính mình trên không gian mạng.

T.An (t/h)