Hiện nay, các mã QR đã trở nên phổ biến và thường được sử dụng trên điện thoại thông minh, cung cấp phương thức truyền dữ liệu tiện lợi với chi phí phải chăng. Tuy nhiên, sự thuận tiện này lại tiềm tàng những rủi ro bảo mật khá nghiệm trọng và dễ dàng khiến người dùng trở thành nạn nhân của các vụ rò rỉ thông tin. Và hình thức tấn công trên Internet này được gọi là Quishing.
Quishing là gì?
Quishing là sự kết hợp giữa “QR” và “Phishing”, đây được biết đến như một hình thức tấn công lừa đảo sử dụng mã QR để đánh cắp thông tin cá nhân, tài chính và dẫn dắt người dùng vào các trang web giả mạo để tải xuống phần mềm độc hại.
Quy trình một cuộc tấn công Quishing
- Tạo mã QR chứa mã độc.
- Phân tán mã QR: Bằng cách gửi chúng qua email giả mạo hoặc dán ở nơi công cộng mà nạn nhân có thể dễ dàng tiếp cận.
- Quét mã QR: Người dùng sẽ bị chuyển hướng đến trang web giả mạo hoặc tải xuống các tệp độc hại sau khi quét mã. Tại đây, nạn nhân có thể nhận được thông báo về lỗi thanh toán hoặc một vấn đề nào đó và bị yêu cầu cung cấp lại thông tin thẻ ngân hàng và các thông tin cá nhân quan trọng khác.
- Sử dụng thông tin đánh cắp: Nếu người dùng làm theo yêu cầu, tin tặc sẽ sử dụng thông tin đăng nhập này để truy cập vào tài khoản của nạn nhân bằng thiết bị của họ và thực hiện những hành vi lừa đảo sau đó.
Hậu quả của Quishing
Đối với người dùng, một cuộc tấn công Quishing thành công thường dẫn tới những hậu quả nghiêm trọng như mất tiền bạc, mất quyền truy cập vào những tệp dữ liệu quan trọng hoặc họ sẽ phải đối mặt với các khoản phí gian lận trên thẻ tín dụng. Nguy hiểm hơn, thông tin các nhân của bạn có thể bị sử dụng để thực hiện các hành vi lừa đảo khác.
Đối với các tổ chức cá nhân, hậu quả sẽ nghiêm trọng hơn thậm chí ảnh hưởng tới tài chính và uy tín của công ty. Thêm vào đó, một số mã QR độc hại có thể lây nhiễm phần mềm độc hại vào thiết bị của bạn khi bạn quét, đặt ra những nguy cơ tiềm ẩn liên quan đến bảo mật và dữ liệu.
Biện pháp phòng tránh Quishing
Để bảo vệ bản thân khỏi nguy cơ Quishing, bên cạnh việc xác minh nguồn chính thống của mã QR, bạn cũng cần xem trước URL trang web để đảm bảo chúng khớp với trang web mà mã QR đại điện. Điều này sẽ bảo vệ bạn khỏi các mã QR tự động tải xuống phần mềm độc hại trên thiết bị của bạn khi quét chúng.
Thêm vào đó, hãy ưu tiên sử dụng các phương thức MFA chống giả mạo như khóa bảo mật YubiKey thay vì chỉ dựa vào SMS hoặc email xác minh. Bởi, khóa bảo mật yêu cầu cả mật khẩu và việc cắm/chạm vào thiết bị để truy cập vào tài khoản để ngăn chặn các cuộc tấn công lừa đảo giả mạo hay đánh cắp mã xác minh. Và bạn cùng đừng quên thường xuyên cập nhật các biện pháp bảo mật mới nhất để bảo vệ bản thân khỏi các mối đe dọa trực tuyến.
Bằng cách tuân thủ những điều đơn giản này, bạn có thể ngăn chặn kẻ tấn công khỏi đánh cắp thông tin cá nhân và tài chính của mình!