Mặc dù hầu hết smartphone hiển thị một bản xem trước ngắn về URL chứa trong mă QR được quét, nhưng thông báo pop-up này thường không đủ để người dùng có thể phát hiện ra một liên kết giả mạo…Các ngân hàng và cơ quan quản lư đang cảnh báo về dạng lừa đảo qua mă QR - c̣n được gọi là “quishing”. Đáng chú ư, quishing đang vượt qua các biện pháp pḥng thủ mạng của doanh nghiệp và ngày càng lừa được khách hàng cung cấp thông tin tài chính của họ.
Theo Finantial Times, các tổ chức cho vay như Santander, HSBC và TSB đă cùng với Trung tâm An ninh mạng Quốc gia Vương quốc Anh và Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) đang bày tỏ lo ngại về sự gia tăng của các mă QR giả mạo được triển khai cho các chiến dịch gian lận tinh vi.
LỪA ĐẢO QUA MĂ QR NGÀY CÀNG GÂY TỐN KÉM CHO CÁC CÔNG TY
Loại h́nh lừa đảo qua email mới này thường liên quan đến việc tội phạm gửi các mă QR trong các tệp PDF đính kèm. Các chuyên gia cho biết chiến lược này hiệu quả v́ những tin nhắn này thường vượt qua các bộ lọc an ninh mạng của doanh nghiệp — phần mềm thường đánh dấu các liên kết trang web độc hại, nhưng thường không quét các h́nh ảnh trong tệp đính kèm.
“Điều hấp dẫn đối với tội phạm là nó vượt qua mọi đào tạo về an ninh mạng và cũng bỏ qua các sản phẩm của chúng tôi,” ông Chester Wisniewski, cố vấn cao cấp tại công ty phần mềm bảo mật Sophos, cho biết.
Nghiên cứu của IBM cho thấy các cuộc tấn công “lừa đảo” — trong đó kẻ lừa đảo gửi email nhắm mục tiêu với các liên kết độc hại — đang ngày càng tốn kém cho các công ty, với chi phí trung b́nh toàn cầu cho một vụ vi phạm dữ liệu tăng gần 10% lên 4,9 triệu USD vào năm 2024.
Mă QR chứa dữ liệu, chẳng hạn như URL hoặc thông tin thanh toán, dưới dạng mă nhị phân. Được phát minh bởi công ty Denso Wave của Nhật Bản vào năm 1994 như một công cụ theo dơi các bộ phận ô tô, các mă này được thiết kế để các loại máy móc có thể đọc nhanh, đặc biệt là điện thoại thông minh, nhưng thường th́ con người không thể đọc được các mă này.
Mặc dù hầu hết các điện thoại thông minh hiển thị một bản xem trước ngắn về URL chứa trong mă QR được quét, các nhà nghiên cứu cho biết rằng thông báo pop-up này thường không đủ để người dùng có thể phát hiện ra rằng một liên kết có thể là giả mạo.
“Những cuộc tấn công này tận dụng thực tế rằng các mă QR, theo bản chất, rất khó để diễn giải một cách trực quan, v́ vậy nạn nhân thường không biết họ đang được chuyển đến đâu cho đến khi quá muộn,” ông Amir Sadon, giám đốc nghiên cứu tại công ty tư vấn an ninh mạng Sygnia, cho biết.
CÁC NHÀ CHỨC NĂNG CẢNH BÁO LỪA ĐẢO QR CODE
Các ngân hàng cho biết rằng sự phổ biến của loại h́nh lừa đảo này đă gia tăng kể từ khi mă QR trở nên phổ biến trong đại dịch Covid-19, khi chúng được sử dụng để hiển thị mọi thứ từ hộ chiếu vaccine đến thực đơn nhà hàng. “Chắc chắn đây là một xu hướng đang gia tăng”, bà Steph Harrison, quản lư hoạt động gian lận cao cấp tại TSB, cho biết.
Một cuộc khảo sát của công ty phần mềm bảo mật McAfee vào tháng 5 cho thấy hơn một phần năm tất cả các cuộc lừa đảo trực tuyến ở Vương quốc Anh có thể xuất phát từ mă QR. Số lượng báo cáo về các vụ lừa đảo mă QR ở Vương quốc Anh đă tăng gấp đôi trong năm đến tháng 8 năm 2024, theo Action Fraud.Ủy ban Thương mại Liên bang Hoa Kỳ, cùng với nhiều cơ quan địa phương trên khắp Vương quốc Anh, cũng đă cảnh báo trong năm nay về một loại lừa đảo “quishing” cụ thể nhắm vào tài xế, bao gồm các trường hợp mà các nhăn dán dẫn đến các trang web giả mạo đă được dán lên trên các mă QR hợp pháp được sử dụng để thanh toán đỗ xe.
Các liên kết này có thể dẫn người dùng đến một trang web sai và yêu cầu họ nhập thông tin cá nhân, hoặc dẫn họ đến việc tải xuống phần mềm độc hại. Thậm chí tồi tệ hơn, bà Harrison cho biết, “bạn cũng có thể bị phạt v́ thực sự không có vé đỗ xe.”
Nạn nhân cũng đă báo cáo về các mă QR giả mạo được đặt lên trên các mă hợp pháp tại các điểm sạc xe điện, nhà ga xe lửa và bàn nhà hàng.
Tuy nhiên, các nhà nghiên cứu cho biết rằng các cuộc lừa đảo “quishing” thường được triển khai qua email — một mối đe dọa đă đặt áp lực lên các nhà cung cấp an ninh mạng để điều chỉnh các biện pháp pḥng ngừa trực tuyến của họ.
“Ngày nay, gần như không có sản phẩm an ninh mạng nào kiểm tra các tệp đính kèm,” ông Wisniewski nói. “Nếu điều này tiếp tục là một vấn đề, tôi đoán rằng ngành công nghiệp sẽ phải nghiên cứu bổ sung thêm việc quét các tệp đính kèm, nhưng điều này sẽ làm chậm quá tŕnh gửi email và cũng sẽ làm cho mọi thứ trở nên đắt đỏ hơn”.
|