Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

“Quishing” - Mối Đe Dọa Nguy Hiểm Từ Mã QR Giả Mạo

Updated
5 min read
“Quishing” - Mối Đe Dọa Nguy Hiểm Từ Mã QR Giả Mạo
N
Nguyễn Văn Trung
Part of seriesNewsletters

"Quishing" - một hình thức tấn công mạng mới nổi kết hợp giữa mã QR và kỹ thuật lừa đảo. Thông qua việc nghiên cứu các trường hợp điển hình và số liệu thống kê, bài viết đề xuất các giải pháp toàn diện nhằm nâng cao khả năng phòng chống loại hình tấn công này.

Tổng quan

Hầu hết mọi người đều quen thuộc với lời khuyên không nên nhấp vào các liên kết lạ hoặc đăng nhập vào các trang web đáng ngờ. Tuy nhiên, mã QR vẫn tạo ra cảm giác tin tưởng cùng với ý tưởng rằng mã này không thể bị làm giả. Bởi vì những mã quét này là một phần của cuộc sống hàng ngày đối với nhiều người — đặc biệt là sau các giao dịch không tiếp xúc và sử dụng mã trong đại dịch — chúng không được xem xét kỹ lưỡng, tạo ra một vector lý tưởng cho cuộc tấn công.

Nguy Hiểm của Quishing có thể vượt qua các biện pháp bảo mật truyền thống vì hầu hết phần mềm chống virus không thể đọc mã QR, ẩn phần mềm độc hại khỏi quá trình quét của chúng. Việc trở thành nạn nhân của những trò lừa đảo này có thể dẫn đến những hậu quả nghiêm trọng:

Theo báo cáo của Cybersecurity Ventures, thiệt hại do tội phạm mạng gây ra dự kiến đạt 10.5 nghìn tỷ USD vào năm 2025. Trong đó, các cuộc tấn công sử dụng mã QR giả mạo (Quishing) đang gia tăng đáng kể, đặc biệt sau đại dịch COVID-19 khi việc sử dụng mã QR trở nên phổ biến.

Thống kê tấn công

Theo dữ liệu từ Global Cyber Alliance (2024)

  • 60% tấn công Quishing nhắm vào khu vực tài chính

  • 30% tập trung vào thương mại điện tử

  • 10% nhắm vào các lĩnh vực khác

Tác động kinh tế

Thiệt hại trung bình cho mỗi vụ tấn công:

  • Doanh nghiệp nhỏ: $150,000

  • Doanh nghiệp vừa: $500,000

  • Tập đoàn lớn: $2.5 triệu

Quishing sử dụng mã QR giả mạo để chuyển hướng người dùng đến các trang web lừa đảo, từ đó kẻ tấn công có thể:

  • Thu thập thông tin cá nhân và tài chính.

  • Đánh cắp thông tin đăng nhập.

  • Tải xuống phần mềm độc hại hoặc ransomware.

Yếu tố tâm lý:
Quishing lợi dụng niềm tin vào mã QR, đặc biệt sau đại dịch khi mọi người đã quen với giao dịch không tiếp xúc. Sự tin tưởng này khiến người dùng ít cảnh giác hơn, tạo điều kiện thuận lợi cho các cuộc tấn công.

Ba kỹ thuật chính của quishing:

  1. Mã QR trong tệp đính kèm email:

    • Mã QR giả mạo được nhúng trong email, hóa đơn hoặc tài liệu nhằm lừa người dùng cung cấp thông tin cá nhân.

    • Tội phạm nhúng mã QR giả vào email, tệp đính kèm, hóa đơn và các tài liệu khác. Mục đích là lừa người nhận tin rằng việc quét mã QR sẽ cung cấp thông tin kinh doanh thiết yếu, nhưng thay vào đó, nó tạo ra một liên kết thu thập thông tin cá nhân.

  2. Mã QR giả mạo tại nơi công cộng:

    • Tội phạm thay thế mã QR hợp lệ tại nhà hàng, rạp chiếu phim bằng mã giả dẫn đến trang web độc hại.

    • Mã QR cho phép mọi người đặt vé tại rạp chiếu phim và truy cập thực đơn nhà hàng, chỉ kể một vài công dụng. Những kẻ lừa đảo thay thế những mã này bằng phiên bản của họ, trông có vẻ hoàn toàn vô hại.

  3. Chiến thuật đánh vào tâm lý con người:

    • Trong mùa lễ hội, người mua sắm tìm kiếm những ưu đãi tốt nhất, và mã QR có thể được quảng cáo như một phần của ưu đãi phút chót. Điều này có thể được sử dụng như một kế hoạch kỹ thuật xã hội, thuyết phục họ tin tưởng vào các liên kết và mã.

    • Ví dụ như lợi dụng tâm lý muốn nhận khuyến mãi, giảm giá để dụ người dùng quét mã độc.

      Avoiding QR Code Scams Tips for Safe Scanning

Ngoài ra Quishing 2.0 sử dụng các kỹ thuật tiên tiến để vượt qua biện pháp bảo mật:

  • Giả mạo email: Email được thiết kế giống như từ nguồn đáng tin cậy nhưng chứa mã QR giả mạo.

  • Chuyển hướng nhiều lớp: Sử dụng dịch vụ hợp pháp (ví dụ: Me-QR, Sharepoint) để tạo sự tin cậy trước khi chuyển hướng đến trang phishing.

  • Chuyển hướng cuối cùng: Đưa người dùng đến trang đăng nhập giả để đánh cắp thông tin đăng nhập.

Quishing 2.0 kết hợp kỹ thuật lừa đảo tâm lý, giả mạo tên miền và chuyển hướng nhiều lớp, tạo nên hình thức tấn công tinh vi và khó phát hiện.

Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị một số biện pháp phòng tránh tấn công lừa đảo Quishing cho người dùng và các tổ chức như sau:

  • Đối với người dùng bật xác thực đa yêu tố khi đăng nhập các tài khoản quan trọng.

  • Đối với tổ chức thì triển khai MFA trên các hệ thống xác thực như là:

    • Sử dụng Microsoft Authenticator hoặc Google Authenticator

    • Tích hợp với hệ thống Single Sign-On (SSO)

    • Áp dụng sinh trắc học (vân tay, khuôn mặt)

  • Thường xuyên kiểm tra giám sát quá trình hoạt động đăng nhập của tài khoản của mình

  • Kiểm tra tính độc hại của URL trước khi truy cập qua trang web: https://www.virustotal.com/gui/home/url

  • Đối với các tổ chức doanh nghiệp cần thường xuyên thực hiện diễn tập Phishing và đào tạo nhận thức nhân viên.

Tham khảo

  1. “Quishing” - The Emerging Threat of Fake QR Codes<https://www.tripwire.com/state-of-security/extra-extra-vert-reads-all-about-it-cybersecurity-news-for-the-week-of-january-24-2022\>

  2. What is Quishing? Ultimate QR Code Phishing Prevention Guide<https://hoxhunt.com/blog/quishing#:~:text=In%20phishing%20emails%2C%20threat%20actors,website%20using%20the%20provided%20link.>

#quishing#threat-intelligence#phishing

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.