Mã QR trong bảo mật doanh nghiệp: Những cân nhắc và cách phòng tránh

ma QR trong bao mat doanh nghiep

Khi nói đến lừa đảo trực tuyến, chúng ta thường nghĩ ngay đến các email đáng ngờ. Tuy nhiên, cùng với sự tiện lợi, mã QR cũng mở ra những cánh cửa mới cho các mối đe dọa an ninh mạng, đặc biệt là trong môi trường doanh nghiệp. Các cuộc tấn công lừa đảo bằng mã QR, hay còn gọi là “Quishing” đang nổi lên như một nguy cơ đáng kể mà các tổ chức cần đặc biệt chú ý.

Quishing là gì?

Quishing là một dạng tấn công lừa đảo (phishing) sử dụng mã QR làm “mồi nhử” để lừa người dùng tiết lộ thông tin cá nhân hoặc thực hiện các hành động nguy hiểm như tải xuống phần mềm độc hại. Mã QR là một loại mã vạch hình vuông có thể đọc được bằng camera điện thoại thông minh, đang ngày càng trở nên phổ biến trong nhiều lĩnh vực, từ thanh toán đến truy cập thông tin, và điều này đã biến chúng thành công cụ mới cho những kẻ tấn công.

Trong các cuộc tấn công Quishing, tội phạm mạng sử dụng mã QR, dù là dạng in hay kỹ thuật số, để dẫn dụ người dùng đến các trang web giả mạo. Những trang web này được thiết kế tinh vi để trông giống như các trang web hợp pháp của ngân hàng, cửa hàng, hoặc các dịch vụ khác,… nhằm mục đích đánh cắp thông tin nhạy cảm của bạn như tên đăng nhập, mật khẩu, thông tin thẻ tín dụng, hoặc lây nhiễm phần mềm độc hại vào thiết bị của bạn.

Các hình thức tấn công mã QR phổ biến nhắm vào doanh nghiệp

Kẻ tấn công có nhiều cách để lợi dụng mã QR để thực hiện các cuộc tấn công vào doanh nghiệp:

  • Sao chép mã QR hợp pháp: Kẻ tấn công có thể sao chép các mã QR hợp pháp của công ty (ví dụ: mã QR trên tài liệu nội bộ, cổng thông tin) và sử dụng chúng để tạo ra các trang lừa đảo.
  • Thay thế mã QR hợp pháp: Thay thế các mã QR hợp pháp bằng mã giả mạo ở nơi công cộng hoặc trong các tài liệu nội bộ. Điều này còn được gọi là “đầu độc giếng” (well poisoning).
  • Quishing trong email/tin nhắn: Gửi mã QR độc hại qua email hoặc tin nhắn văn bản giả mạo các thông báo từ phòng IT, nhân sự, hoặc các nhà cung cấp dịch vụ quen thuộc.

Các doanh nghiệp cần nhận thức rõ về những rủi ro ngày càng tăng liên quan đến mã QR và tác động của chúng đến an ninh mạng, quyền riêng tư của người tiêu dùng, và danh tiếng. Việc triển khai và sử dụng mã QR mà không có các biện pháp bảo mật phù hợp có thể tạo ra lỗ hổng lớn.

Các phương pháp phòng tránh hiệu quả

Để bảo vệ doanh nghiệp và nhân viên khỏi các cuộc tấn công liên quan đến mã QR, hãy áp dụng các phương pháp bảo mật sau:

Kiểm soát và quản lý mã QR trong nội bộ

  • Đánh giá rủi ro: Thực hiện đánh giá rủi ro định kỳ cho tất cả các quy trình sử dụng mã QR trong doanh nghiệp.
  • Sử dụng dịch vụ tạo mã QR an toàn: Nếu doanh nghiệp cần tạo mã QR cho mục đích riêng, hãy sử dụng các dịch vụ uy tín có tính năng bảo mật tích hợp và khả năng theo dõi.
  • Hạn chế việc sử dụng mã QR không được kiểm soát: Đề ra chính sách rõ ràng về việc sử dụng mã QR trong công việc và khuyến khích nhân viên không quét mã QR từ các nguồn không xác định.

Triển khai xác thực mạnh mẽ

  • Thay thế xác thực một yếu tố bằng Passkeys: Passkeys, dựa trên tiêu chuẩn FIDO2/WebAuthn, là một giải pháp xác thực không mật khẩu và chống lừa đảo hiệu quả hơn nhiều. Passkeys giúp loại bỏ mật khẩu và thay thế chúng bằng một cặp khóa mã hóa liên kết với thiết bị của người dùng, làm giảm đáng kể rủi ro từ Quishing và các cuộc tấn công lừa đảo khác.
  • Bật xác thực đa yếu tố (MFA): Đối với tất cả các tài khoản doanh nghiệp, hãy yêu cầu MFA. Ưu tiên sử dụng các phương thức MFA chống lừa đảo như khóa bảo mật vật lý YubiKey thay vì mã OTP qua SMS, vì chúng cung cấp lớp bảo vệ vững chắc hơn chống lại các cuộc tấn công chiếm đoạt tài khoản.

Đôi điều về YubiKey

Trong bối cảnh các mối đe dọa lừa đảo ngày càng tinh vi, đặc biệt là Quishing, việc triển khai các giải pháp xác thực mạnh mẽ là điều tối quan trọng. YubiKey là một ví dụ điển hình về khóa bảo mật vật lý, cung cấp một lớp bảo vệ bổ sung chống lại các cuộc tấn công chiếm đoạt tài khoản.

YubiKey hoạt động dựa trên các tiêu chuẩn mở như FIDO2 và WebAuthn, cho phép xác thực đa yếu tố (MFA) chống lừa đảo hiệu quả. Khi sử dụng YubiKey, người dùng cần cắm khóa vào thiết bị và chạm vào khóa để xác nhận đăng nhập. Điều này tạo ra một rào cản vật lý mà kẻ tấn công từ xa không thể vượt qua, ngay cả khi chúng có được thông tin đăng nhập của bạn thông qua các cuộc tấn công lừa đảo. Đối với doanh nghiệp, việc trang bị YubiKey cho nhân viên có thể giảm đáng kể rủi ro bị chiếm đoạt tài khoản, đảm bảo an toàn cho dữ liệu và hệ thống nội bộ trước các mối đe dọa từ mã QR độc hại hay các chiến dịch lừa đảo tinh vi khác.

Bằng cách kết hợp nhận thức của nhân viên với việc triển khai các công nghệ xác thực mạnh mẽ và các biện pháp bảo mật chặt chẽ, doanh nghiệp có thể giảm thiểu đáng kể rủi ro từ các cuộc tấn công liên quan đến mã QR, bảo vệ tài sản và thông tin quan trọng của mình.

Các thông tin chi tiết hơn về việc triển khai hệ thống Yubikey bảo mật dữ liệu trong doanh nghiệp, quý khách vui lòng liên hệ với DigiBit – Đại lý chính thức của Yubico tại thị trường Việt Nam. Hotline: 0985.600.466

Giỏ hàng0
Không có sản phẩm nào trong giỏ hàng!
Tiếp tục mua hàng
Zalo phone

DigiBit – Đại lý Ủy quyền LEDGER tại VN

×

Mua ví lạnh tại DigiBit.vn để tránh hàng giả không rõ nguồn gốc, đảm bảo chất lượng sản phẩm và an tâm sử dụng lâu dài.

Hình ảnh xác nhận Đại lý Ủy quyền Ledger trên website của hãng:

Xem chi tiết.