Buzz
Người dùng cần cẩn trọng khi quét các mã QR được cung cấp, nên kiểm tra kỹ trước khi đồng ý kết nối
Mã QR mang lại rất nhiều tiện ích cho người dùng. Nó nhanh chóng liên kết tới các nguồn thông tin hoặc cung cấp dữ liệu mà không cần phải nhập thủ công. Do sự tiện lợi và được ứng dụng rộng rãi, mã QR đã bị các tội phạm mạng lợi dụng để lừa đảo người dùng.
Gửi mã QR dụ dỗ nạn nhân
Theo trang Malwarebytes, việc sử dụng mã QR ngày càng phổ biến có thể liên quan đến sự gia tăng thị trường điện thoại thông minh. Vì vậy, các vụ lừa đảo sử dụng mã QR cũng tăng lên.
Thay vì gửi các đường liên kết như trước đây - mà nhiều người đã cảnh giác và đề phòng, bây giờ, các kẻ xấu gửi mã QR để dẫn dụ nạn nhân. Một trong những rủi ro bảo mật lớn nhất của mã QR là QRLjacking (ăn cắp đăng nhập qua mã QR). Đây là một loại tấn công mà các tác nhân đe dọa chiếm quyền điều khiển của người dùng để thao túng tất cả các ứng dụng sử dụng tính năng 'Đăng nhập bằng mã QR', chuyển sang sử dụng mã QR của kẻ xấu thay vì mã xác thực.
Quishing là hình thức lừa đảo bằng mã QR, trong đó kẻ xấu sử dụng mã QR để đưa người dùng đến một trang web độc hại. Baiting là một loại tấn công kỹ thuật, trong đó kẻ xấu sử dụng mồi để lừa đảo mục tiêu của mình. Trên một cuộc tấn công baiting bằng mã QR, kẻ xấu có thể để lại mã QR độc hại ở nơi công cộng để thu hút mọi người quét.
Theo Malwarebytes, một ứng dụng quét mã QR trên Google Play đã lây nhiễm cho 10 triệu người dùng chỉ từ một cập nhật vào cuối năm 2020. Kẻ tấn công có thể liên kết mã QR với trang web độc hại để lợi dụng thói quen tải xuống hoặc sử dụng quảng cáo để lây nhiễm phần mềm độc hại vào máy tính và thiết bị. Các tên trộm mật khẩu hoặc keylogger bằng Trojan có thể giúp kẻ tấn công thực hiện hành vi trộm cắp danh tính hoặc các hành vi vi phạm khác.
Khó để kiểm tra tính an toàn của mã QR.
Báo The Moscow Times đưa tin ngày 7-12-2023, Sở Truyền thông và Quảng cáo TP Moscow - Nga đã ban hành văn bản cấm sử dụng mã QR trong quảng cáo ngoài trời.
Việc công khai mã QR có thể tạo cơ hội cho kẻ xấu lợi dụng, liên kết tới các nguồn chứa thông tin vi phạm Luật Quảng cáo. Cơ quan quản lý này lý giải lệnh cấm để phòng ngừa nguy cơ vi phạm pháp luật trong bối cảnh tăng hoạt động tấn công và đột nhập của tin tặc.
Theo giới chuyên gia, việc cấm công bố mã QR ngoài trời tại Moscow có những mục đích sâu xa hơn, bao gồm cả an ninh và chính trị. Trước đó, các chuyên gia an ninh mạng tại Covance đã nói về nguy hiểm của tin tặc tấn công thông qua mã QR và nhận định rằng các cuộc tấn công như vậy rất khó xác định.
Việc kiểm tra độ an toàn của mã QR rất khó do chúng trông gần như giống nhau. Người dùng cần kiểm tra mã QR theo ngữ cảnh nơi nó xuất hiện và nội dung mà nó dẫn đến. Ví dụ, nếu mã QR dẫn đến một địa chỉ trang web, người dùng nên kiểm tra xem đó có phải là trang web quen thuộc hay không.
Vì mã QR thường sử dụng các URL rút gọn, người dùng nên chờ đợi URL đầy đủ trước khi quét. Cần lưu ý nguồn gốc của mã và phát hiện các dấu hiệu giả mạo. Mã trên các trang web uy tín hoặc từ doanh nghiệp thường an toàn hơn nhưng vẫn có nguy cơ bị tin tặc thao túng.
Chuyên gia khuyên người dùng không chia sẻ mã QR trên giấy tờ cá nhân với người khác. Mọi người nên cẩn trọng trước khi quét mã QR và kiểm tra kỹ trước khi đồng ý kết nối. Với các mã thanh toán, đặc biệt là từ cửa hàng hay shipper cung cấp, người dùng nên kiểm tra xem liệu có đang mở ứng dụng ngân hàng đã liên kết hay không.
