Chuyên gia an ninh mạng cảnh báo mối nguy tiềm ẩn từ bức hình mã QR
Trong bối cảnh công nghệ số phát triển, các chuyên gia bảo mật quốc tế vừa đưa ra cảnh báo về sự biến tướng khôn lường của hình thức lừa đảo qua mã QR (Quishing), với những kỹ thuật tinh vi nhằm qua mặt các hệ thống an ninh truyền thống.
Ảnh minh họa. Ảnh: Internet.
Sự trỗi dậy của "Quishing"
Theo các chuyên gia từ Barracuda Networks - công ty công nghệ an ninh mạng của Mỹ - hình thức lừa đảo bằng mã QR, hay còn gọi là Quishing (QR phishing), đang trở thành xu hướng tấn công mạng đáng báo động. Thay vì gửi các đường link độc hại trực tiếp dưới dạng văn bản, kẻ gian nhúng chúng vào mã QR để dẫn dụ nạn nhân truy cập vào các trang web giả mạo nhằm đánh cắp thông tin đăng nhập, mật khẩu hoặc dữ liệu nhạy cảm.
Điểm nguy hiểm cốt lõi của phương thức này là mã QR hoàn toàn "không thể đọc bằng mắt thường". Người dùng không thể biết mã chứa nội dung gì cho đến khi quét, nên hầu như không có dấu hiệu cảnh báo sớm. Nguy hiểm hơn, việc quét mã thường diễn ra trên điện thoại cá nhân, đưa người dùng ra khỏi "vòng đai an ninh" của hệ thống mạng công ty, nơi vốn có các lớp bảo vệ chặt chẽ hơn.
Mã QR "tàng hình" trước máy quét
Trong khi các bộ lọc an ninh đang dần nhận diện được mã QR độc hại truyền thống, tội phạm mạng đã liên tục cải tiến thủ thuật. Các nhà phân tích của Barracuda đã ghi nhận sự xuất hiện của hai kỹ thuật tấn công mới đầy tinh vi: mã QR tách (split QR code) và mã QR lồng nhau (nested QR code).
Kỹ thuật đầu tiên là mã QR tách đôi, được ghi nhận trong các chiến dịch sử dụng bộ công cụ lừa đảo dạng dịch vụ (PhaaS) mang tên Gabagool. Thay vì chèn một ảnh mã QR hoàn chỉnh, kẻ tấn công chia mã thành hai nửa riêng biệt và ghép chúng lại trong email bằng HTML.
Về mặt hiển thị, mắt thường của người dùng vẫn nhìn thấy một mã QR hoàn chỉnh. Tuy nhiên, các hệ thống quét an ninh tự động chỉ nhìn thấy hai hình ảnh rời rạc, vô hại và không thể nhận diện đó là một mã QR cần kiểm tra. Barracuda đã ghi nhận kỹ thuật này trong một chiến dịch giả danh Microsoft yêu cầu người dùng "đặt lại mật khẩu", dẫn dụ nạn nhân đến trang web giả mạo để chiếm đoạt tài khoản.
Kỹ thuật thứ hai là mã QR lồng nhau (nested QR code), được phát hiện trong các chiến dịch của bộ công cụ Tycoon 2FA PhaaS. Kẻ tấn công khéo léo chèn hai mã QR vào cùng một hình: mã bên trong dẫn tới một trang web hợp pháp (như Google), trong khi mã bên ngoài chứa URL độc hại. Khi công cụ an ninh phân tích, kết quả trả về trở nên mơ hồ hoặc chỉ nhận diện được liên kết sạch, giúp mã độc vượt qua vòng kiểm duyệt.
Giải pháp phòng vệ bằng AI đa mô hình
Trước sự phát triển của các kỹ thuật tấn công đánh vào thị giác này, các phương pháp bảo mật dựa trên văn bản và URL truyền thống đang trở nên kém hiệu quả. Các chuyên gia khuyến nghị doanh nghiệp cần triển khai AI đa mô hình (multimodal AI) để đối phó.
Công nghệ AI đa mô hình có khả năng kết hợp nhận dạng ký tự quang học (OCR), xử lý hình ảnh chuyên sâu và mô hình ngôn ngữ tự nhiên. Hệ thống này có thể định vị mã QR trực quan, giải mã nội dung, phân tích hành vi tải trang trong môi trường cô lập (sandbox) và nhận diện các mẫu pixel khả nghi mà không cần giải mã nội dung trước. Nhờ đó, hệ thống có thể phát hiện ngay cả những email lừa đảo chỉ chứa mỗi hình ảnh mã QR mà không có chữ hay đường link.
Bên cạnh giải pháp công nghệ, việc nâng cao nhận thức cho nhân viên là yếu tố then chốt. Các tổ chức cần cập nhật chương trình đào tạo, khuyến cáo nhân viên không quét mã từ nguồn lạ và áp dụng xác thực đa yếu tố (MFA) để giảm thiểu rủi ro khi thông tin đăng nhập bị đánh cắp.
Sự phát triển của Quishing là minh chứng rõ ràng cho việc tội phạm mạng đang chuyển hướng sang các kênh tấn công "thị giác" khó giám sát hơn, đòi hỏi người dùng và doanh nghiệp phải luôn chủ động cập nhật các biện pháp phòng vệ mới nhất.
