Quishing – Mối đe dọa từ những điểm đen "vô hình"

Thay vì gửi các đường dẫn (URL) độc hại trực tiếp qua email hay tin nhắn, kẻ gian hiện nay lựa chọn nhúng chúng vào mã QR. Mục tiêu cuối cùng vẫn là dẫn dụ nạn nhân truy cập vào các trang web giả mạo để chiếm đoạt thông tin đăng nhập, mật khẩu và dữ liệu nhạy cảm.

Điểm khiến Quishing trở nên nguy hiểm nằm ở việc mã QR hoàn toàn "không thể đọc bằng mắt thường". Người dùng không có cách nào biết được nội dung bên trong mã là gì cho đến khi thực hiện hành động quét, dẫn đến việc thiếu hụt các dấu hiệu cảnh báo sớm. Đáng chú ý, các bộ lọc thư rác truyền thống thường chỉ tập trung quét văn bản và URL, khiến mã QR dễ dàng trở thành "tấm vé thông hành" đưa mã độc vượt qua các lớp bảo vệ.

Bên cạnh đó, việc quét mã QR thường được thực hiện trên điện thoại cá nhân – vốn nằm ngoài "vòng đai an ninh" chặt chẽ của mạng lưới doanh nghiệp – tạo điều kiện lý tưởng cho tội phạm mạng chiếm quyền điều khiển thiết bị hoặc tài khoản.

Sự xuất hiện của các kỹ thuật "ẩn mình" thế hệ mới

Theo phân tích từ hãng bảo mật Barracuda, tội phạm mạng đã bắt đầu triển khai hai kỹ thuật mới nhằm đối phó với các bộ lọc an ninh hình ảnh: mã QR tách (split QR code) và mã QR lồng nhau (nested QR code).

1. Mã QR tách đôi: Chia nhỏ để vượt rào

Phương thức split QR code được ghi nhận trong các chiến dịch lừa đảo sử dụng bộ công cụ Gabagool (PhaaS). Thay vì chèn một ảnh mã QR hoàn chỉnh, kẻ tấn công chia mã thành hai nửa rời rạc rồi ghép lại bằng bố cục giao diện sao cho người dùng vẫn nhìn thấy một mã QR bình thường.

Tuy nhiên, đối với hệ thống quét an ninh, nó chỉ nhận diện được hai hình ảnh vô hại, không có nội dung mã QR để kiểm tra. Một chiến dịch điển hình đã sử dụng email giả danh Microsoft yêu cầu đổi mật khẩu để lừa nạn nhân quét mã và truy cập vào trang đăng nhập giả mạo.

Mã QR tách đôi. Ảnh: Barracuda

2. Mã QR lồng nhau: Đánh lừa bằng sự mơ hồ

Kỹ thuật nested QR code (mã QR kép) được phát hiện trong các chiến dịch của bộ công cụ Tycoon 2FA. Ở phương thức này, kẻ tấn công chèn hai mã QR vào cùng một khung hình: mã bên ngoài chứa URL độc hại, trong khi mã bên trong dẫn tới một trang web hợp pháp (như Google).

Khi các hệ thống bảo mật tự động phân tích, kết quả trả về sẽ bị nhiễu loạn bởi sự xuất hiện của cả URL sạch và URL độc. Việc "đánh tráo" nội dung dựa trên cách hệ thống xử lý ảnh này khiến các bộ lọc dựa trên tiêu chí “một mã, một nội dung” gặp khó khăn trong việc đưa ra kết luận ngăn chặn.

Giải pháp phòng vệ trước làn sóng lừa đảo thị giác

Trước sự tinh vi của tội phạm mạng, các chuyên gia an ninh mạng khuyến nghị các tổ chức và cá nhân cần chủ động triển khai các biện pháp phòng ngừa đa lớp:

Nâng cao nhận thức: Cập nhật kiến thức về Quishing cho nhân viên, khuyến cáo tuyệt đối không quét mã QR từ các nguồn lạ hoặc chưa xác minh.

Xác thực đa yếu tố (MFA): Đây là rào cản quan trọng để bảo vệ tài khoản ngay cả khi thông tin đăng nhập bị lộ.

Ứng dụng công nghệ AI đa mô hình (Multimodal AI): Đây được coi là giải pháp tiên tiến nhất hiện nay. Khác với các bộ lọc cũ, AI đa mô hình có khả năng phân tích cấu trúc pixel, hành vi tải trang và môi trường sandbox để phát hiện bất thường ngay cả khi mã QR được che giấu tinh vi dưới dạng hình ảnh rời rạc.

Tóm lại, sự chuyển dịch của tội phạm mạng sang các kênh "thị giác" như mã QR là minh chứng cho thấy các cuộc tấn công đang ngày càng trở nên khó giám sát hơn. Trong bối cảnh mã QR gắn liền với thanh toán và dịch vụ công, việc cập nhật các giải pháp công nghệ và duy trì sự cảnh giác là yếu tố then chốt để đảm bảo an toàn thông tin.

Minh Anh