Gia tăng các vụ tấn công mạng qua quét mã QR
Mã QR đang ngày càng phổ biến, được dùng với nhiều mục đích truy cập website, thanh toán, khảo sát… Tuy nhiên, đây cũng có thể là một hình thức tấn công mạng mới của các tin tặc.
Quishing – Phương thức tấn công mới
Bên cạnh việc lừa đảo qua email, hiện nay, còn xuất hiện thêm nhiều phương thức tấn công mạng mới qua tin nhắn (Smishing) và mã QR (Quishing).
- Smishing là hình thức tấn công thông qua dịch vụ tin nhắn SMS chứa các liên kết về những trang web độc hại, email có mã độc, số điện thoại lừa đảo… Cửa sổ trình duyệt sẽ tự động mở khi người dùng nhấn vào liên kết có chứa mã độc được gửi kèm tin nhắn.
- Quishing là hình thức tấn công thông qua mã QR, chuyển hướng truy cập của nạn nhân đến trang web lừa đảo mà tin tặc có thể đánh cắp dữ liệu thông tin hoặc lừa chuyển tiền.
Hình thức lừa đảo qua QR ngày càng phổ biến ở các quốc gia Đông Nam Á. Tại Singapore, Quishing đã được cảnh sát cảnh báo công khai nhưng trên thực tế, vẫn có nhiều nạn nhân rơi vào bẫy của các kẻ lừa đảo.
Theo khuyến cáo của các chuyên gia bảo mật đám mây, các cuộc tấn công quishing tinh vi có thể đánh lừa những phương pháp bảo vệ truyền thống. Sau khi mã QR được nhúng vào email, các cổng bảo mật email sẽ phân loại những email này là vô hại và được gửi đến hộp thư người dùng. Sau khi nạn nhân truy cập vào các mã QR, cửa sổ trình duyệt sẽ được mở ra và dẫn họ đến website lừa đảo. Hầu hết các nạn nhân của hình thức lừa đảo Quishing sẽ bị mất tiền, còn một vài trường hợp khác thì có thể bị đánh cắp dữ liệu, thông tin cá nhân khi thực hiện đăng nhập.
Lưu ý khi quét mã QR
Các hình thức lừa đảo ngày càng tinh vi, đòi hỏi người dùng phải cẩn trọng và nhận thức rõ trách nhiệm của mình khi thực hiện quét mã QR hay nhấn vào link liên kết qua email, tin nhắn…
Khi quét mã QR, người dùng nền tiến hành theo các bước dưới đây:
- Kiểm tra lại URL sau khi quét mã để đảm bảo trang web chuyển hướng là chính xác
- Cẩn trọng khi nhập thông tin cá nhân
- Nếu không chắc chắn về phương thức thanh toán qua QR, hãy dừng lại và yêu cầu thực hiện qua một kênh khác
- Nếu thấy xuất hiện những yêu cầu có vẻ kì quặc, cần kiểm tra kĩ lại nguồn cấp và báo cáo với các bên liên quan
Bên cạnh đó, các doanh nghiệp cũng cần nâng cao nhận thức của nhân viên về các phương thức lừa đảo, tấn công mạng và nâng cấp hệ thống bảo mật mạng bằng việc: thường xuyên sử dụng các dịch vụ bảo trì hệ thống mạng, cài đặt tường lửa, nâng cấp phần mềm, sao lưu dữ liệu…
Theo Tạp chí Thông tin truyền thông