Loạt ngân hàng và tổ chức tài chính thế giới đang cảnh báo về sự gia tăng lừa đảo mã QR “quishing”

Các ngân hàng HSBC, Santander và Ủy ban Thương mại Liên bang Mỹ… đang cảnh báo về sự gia tăng của các vụ lừa đảo bằng mã QR -còn được gọi là “quishing”, đặc biệt là lừa đảo qua email. Hình thức lừa đảo này đang vượt qua được hàng phòng thủ mạng của các công ty và lừa nạn nhân cung cấp thông tin tài chính cho những kẻ gian núp phía sau.

Cụ thể, các tổ chức cho vay và ngân hàng lớn gồm Santander, HSBC, TSB của Mỹ, cùng với Trung tâm An ninh mạng Quốc gia Anh, Ủy ban Thương mại liên bang Mỹ cùng nhiều bên khác đã nêu lên mối lo ngại về sự gia tăng của các mã QR gian lận, được sử dụng cho nhiều chiến dịch lừa đảo tinh vi đang gia tăng nhanh chóng gần đây.

Theo đó, những kẻ lừa đảo sẽ gửi một email có chữa mã QR giả mạo trong tệp PDF đính kèm tới nạn nhân. Chiến lược này tỏ ra khá hiệu quả vì các bộ lọc email của các công ty thường chỉ đánh dấu các liên kết website độc hại nhưng lại bỏ qua hình ảnh trong tệp đính kèm.

lua-dao-ma-qr-1730515641.jfif
Tội phạm mạng gửi các mã QR "quishing" trong các tệp PDF đính kèm trong email gửi đến để dẫn dụ các nạn nhân truy cập.

Điều nguy hiểm là các mã QR “quishing” giả mạo thường chỉ là một yếu tố trong các cuộc tấn công mạng rộng lớn hơn. Nghiên cứu mới của IBM phát hiện ra rằng các cuộc tấn công lừa đảo, trong đó kẻ lừa đảo gửi email có mục tiêu kèm theo liên kết độc hại ngày càng gây ra những thiệ hại nhiều hơn đối với các nạn nhân là tổ chức. Chi phí trung bình toàn cầu cho một vụ vi phạm dữ liệu đã tăng gần 10% lên 4,9 triệu USD vào năm 2024.

Mã QR chứa dữ liệu, bao gồm URL hoặc thông tin thanh toán được lưu dưới dạng mã nhị phân, giúp người dùng có thể thanh toán các khoản chi tiêu tức thì, truy cập vào website của các tổ chức, doanh nghiệp, cá nhân nhanh chóng mà không phải nhập đường dẫn… nên vô cùng tiện lợi và đã trở thành thói quen sử dụng của nhiều người. Mặc dù hầu hết điện thoại thông minh đều hiển thị bản xem trước ngắn về URL có trong mã QR được quét, tuy nhiên cửa sổ bật ra này thường không đủ để người dùng có thể phát hiện ra rằng liên kết có thể là lừa đảo.

Amirr Sadon, Giám đốc nghiên cứu tại công ty tư vấn an ninh mạng Sygnia cho biết: “Những cuộc tấn công này lợi dụng thực tế là mã QR vốn khó diễn giải trực quan, do đó nạn nhân thường không biết họ đang bị chuyển hướng đến đâu cho đến khi quá muộn”.

Sự phổ biến của loại lừa đảo này đã tăng tốc kể từ khi mã QR trở nên phổ biến trong đại dịch Covid-19, khi chúng được sử dụng để hiển thị mọi thứ, từ hộ chiếu vắc xin đến thực đơn nhà hàng.

“Đây chắc chắn là một xu hướng đang gia tăng về số lượng, được thể hiện qua các báo cáo mà chúng tôi đang thấy”, Steph Harrison – Giám đốc điều hành hoạt động gian lận cấp cao tại TSB cho biết.

Một cuộc khảo sát của công ty phần mềm bảo mật McAfee vào tháng 5 cho thấy, hơn 1/5 trong số tất cả các vụ lừa đảo trực tuyến ở Anh có thể bắt nguồn từ mã QR. Theo Action Fraud, các báo cáo về các vụ lừa đảo bằng mã QR ở Anh cũng đã tăng gấp đôi trong năm, tính đến tháng 8/2024.

Trước đó, Ủy ban Thương mại Liên bang Mỹ cũng như nhiều chính quyền địa phương trên khắp Vương quốc Anh cũng đã cảnh báo về một loại lừa đảo “quishing” cụ thể nhắm vào người lái xe. Kẻ lừa đảo sẽ dán các mã QR giả mạo đè lên mã QR hợp pháp được dùng để thanh toán chi phí đỗ xe. Nếu lái xe quét mã (với mục đích thanh toán tiền), thiết bị sẽ bị chuyển hướng tới các trang web lừa đảo. Tại những website đó, nạn nhân sẽ tiếp tục bị yêu cầu nhập thông tin chi tiết hoặc dẫn dụ tải xuống phần mềm độc hại. Thiết bị bị nhiễm mã độc, bị mất tiền trong tài khoản, điều tồi tệ hơn là nạn nhân có thể bị cơ quan chức năng phạt thêm một lần nữa vì đã không thanh toán chi phí đỗ xe.

lua-dao-qr-quishing-1730515936.jfif
Các cuộc tấn công lừa đảo mã QR "quishing" tại các bãi đỗ xe, nhà ga, bên tàu... đã được cơ quan chức năng nhiều nước cảnh báo tới người dân.

Việc các mã QR gian lận được dán đè lên các điểm sạc xe điện, nhà ga xe lửa, bàn ăn trong nhà hàng cũng không còn là điều lạ lẫm với nhiều người, đã được rất nhiều cơ quan chức năng các nơi cảnh báo. Tuy nhiên, theo các nhà nghiên cứu, các vụ lừa đảo “quishing” thường được triển khai nhiều hơn qua email. Đây là một mối đe dọa khiến các nhà cung cấp dịch vụ bảo mật doanh nghiệp phải chịu áp lực điều chỉnh biện pháp phòng thủ trực tuyến của mình.

Chester Wisniewski, cố vấn cấp cao tại công ty phần mềm bảo mật Sophos cho biết, ngày nay hầu như không có sản phẩm an ninh mạng nào xem đến các tệp đính kèm. Điều này buộc các công ty này phải thay đổi phương thức để bảo vệ khách hàng của mình. Chi phí cho công tác bảo mật cũng trở nên đắt đỏ hơn, việc kiểm soát email đến và đi cũng sẽ mất nhiều thời gian hơn…