Mã QR và nguy cơ bị tin tặc lợi dụng

Mã QR trở thành xu hướng chủ đạo trong thời kỳ đại dịch, khi các doanh nghiệp tìm cách cung cấp dịch vụ "không chạm" cho khách hàng. Tội phạm đã để ý tới hiện tượng này và đã trao đổi các mẹo khai thác mã QR để đánh cắp tiền và đột nhập vào hệ thống. Các tổ chức cần phải tăng cường bảo mật di động của họ, tham vấn các chuyên gia và đảm bảo rằng nhân viên và khách hàng của họ nhận thức được các rủi ro.

Mã QR trở thành xu hướng chủ đạo

Mã QR (Quick response) được phát minh vào năm 1994 bởi nhà sản xuất phụ tùng xe hơi Nhật Bản Denso Wave để theo dõi các phương tiện trong quá trình sản xuất. Mã QR về cơ bản là một mã vạch hai chiều, với dung lượng lưu trữ dữ liệu gấp khoảng 100 lần mã vạch thông thường. Kết hợp với việc sử dụng điện thoại thông minh rộng rãi, mã QR cung cấp phương thức truyền dữ liệu với chi phí phải chăng có thể được gắn vào bất kỳ bề mặt nào.

Ban đầu bị đánh giá là công nghệ thấp ở phương Tây, mã QR đã trở thành một phần thiết yếu của cơ sở hạ tầng thanh toán kỹ thuật số ở Trung Quốc. Hai ứng dụng thanh toán lớn nhất của quốc gia này - WeChat Pay và AliPay - đã áp dụng mã QR cho phương tiện thanh toán vào năm 2011. Đến năm 2016, ước tính khối lượng giao dịch trị giá khoảng 1,25 nghìn tỷ đô la Mỹ được thực hiện bằng mã QR ở Trung Quốc.

Mã QR đã trở thành một hiện tượng toàn cầu trong thời kỳ đại dịch, khi khách hàng tìm cách tránh tiếp xúc vật lý với các bề mặt. 'Dịch vụ không cần chạm', nơi khách hàng có thể quét mã QR để tìm thực đơn hoặc để thanh toán, ngày càng phổ biến. Mã QR là trọng tâm trong ứng dụng theo dõi liên hệ của chính phủ Vương quốc Anh, ứng dụng này yêu cầu công dân đăng ký khi đến các địa điểm bằng cách quét mã trên điện thoại của họ.

Theo một báo cáo của Juniper Research, 1,5 tỷ người trên toàn cầu đã sử dụng mã QR để thực hiện thanh toán vào năm 2020. Một cuộc khảo sát đối với công dân Anh và Mỹ vào tháng 9 năm 2020 của MobileIron cho thấy 8% người tham gia đã quét mã QR trước đó 24 tiếng.

Các nhà cung cấp thanh toán kỹ thuật số PayPal và Apple Pay đều đã ra mắt tính năng quét mã QR vào năm ngoái, trong khi các ngân hàng như Natwest, Ngân hàng Hoàng gia Scotland (RBS) và Deutsche Bank hiện cho phép người dùng đăng nhập vào các dịch vụ ngân hàng trực tuyến bằng mã QR. Một số tổ chức tài chính khác đã cho phép dùng mã QR để rút tiền tại ATM. Kết quả là, việc áp dụng mã QR đang sẵn sàng để tăng trưởng nhanh chóng, đặc biệt là ở Mỹ, nơi Juniper dự đoán số lượng người dùng sẽ tăng 240% vào năm 2025.

Mã QR có an toàn không?

Việc sử dụng mã QR ngày càng tăng này đã không thoát khỏi sự chú ý của bọn tội phạm. "Chúng tôi biết tội phạm mạng đang lạm dụng hành vi này", Anna Chung, chuyên gia nghiên cứu tại Đơn vị số 42, Bộ phận nghiên cứu mối đe dọa của Palo Alto Networks, cho biết "Trong đại dịch, chúng tôi đã quan sát các nhóm tin tặc trong các diễn đàn trực tuyến underground trao đổi thông tin về cách thức lạm dụng mã QR và nhắm vào thiết bị di động. Chúng tôi cũng tìm thấy các công cụ mã nguồn mở và video hướng dẫn về cách thực hiện các cuộc tấn công bằng cách sử dụng mã QR. "

Nhiều mối đe dọa liên quan đến mã QR hoạt động bằng cách lừa người dùng quét mã đưa họ đến một trang web độc hại hoặc bắt đầu lừa đảo thanh toán- một kỹ thuật được gọi là QRLjacking.

Trong năm 2020, cảnh sát Bỉ đã đưa ra cảnh báo về một vụ lừa đảo trong đó tin tặc, đóng giả là khách hàng, sẽ gửi mã QR đến các doanh nghiệp nhỏ nhằm xác nhận thanh toán. Việc quét mã sẽ cấp cho tin tặc quyền truy cập vào tài khoản ngân hàng của người bán. "Trên thực tế, mã QR không đề cập đến xác nhận thanh toán, mà là một cổng thông tin đăng nhập mà kẻ lừa đảo, kết hợp với số tài khoản ngân hàng được cung cấp, sẽ có quyền truy cập trực tiếp vào tài khoản vãng lai và tài khoản tiết kiệm của bạn", theo Olivier Bogaert, đại diện Cục Tội phạm Máy tính Liên bang Bỉ.

Một mối đe dọa đang nổi lên khác là hiện tượng lừa đảo mã QR, hay còn gọi là "quishing", theo đó bọn tội phạm lừa người dùng quét mã QR độc hại qua email, hướng họ đến một trang web giả mạo yêu cầu họ nhập chi tiết đăng nhập. Mark Harris, Giám đốc cấp cao tại Công ty công nghệ Gartner, giải thích kỹ thuật này qua mặt nhiều hệ thống chống lừa đảo, hoạt động bằng cách quét văn bản của email. "Bởi vì bạn không thể nhìn thấy URL hoặc nó không hiển thị trong email, quishing sẽ vượt qua những rào cản kiểm soát truyền thống đó."

Chuyên gia Anna Chung chia sẻ rằng, đã quan sát thấy những trò gian lận "quishing" nhằm giả mạo các ổ share của công ty. "Chúng tôi đã bắt gặp những kẻ tấn công gửi mã QR cho nhân viên để lừa họ vào một trang web giống như một ổ share của công ty."

Peter Gooch, Đối tác về bảo mật và quyền riêng tư tại Deloitte, cho biết thêm, mối đe dọa này hoàn toàn có thể thành công bởi vì các nhân viên có thể chưa được đào tạo để xem mã QR là mối đe dọa lừa đảo tiềm ẩn. "Nếu email đó tới từ một công ty bạn đã biết, bạn có thể không e ngại gì cả".

Quản lý rủi ro an ninh mạng từ mã QR

Làm thế nào các tổ chức có thể giảm thiểu rủi ro an ninh mạng do mã QR độc hại gây ra? Một phương án cần thiết là đảm bảo rằng điện thoại thông minh của nhân viên được bảo mật, một điều có thể bị bỏ qua. Chuyên gia Paolo Alto khuyến nghị: "Phần lớn các công ty có các biện pháp bảo vệ an ninh khá nghiêm ngặt đối với máy tính xách tay, nhưng không quá nhiều đối với điện thoại. Đó là một lớp đầu tư và bảo vệ bổ sung cần liên tục kiểm soát nhưng nhiều công ty đã bỏ qua".

Một biện pháp quan trọng khác là nâng cao nhận thức về rủi ro, cho cả khách hàng và nhân viên. Mã QR đòi hỏi phản ứng nhanh, nhất là trong trường hợp mỗi cá nhân không nhận thức được họ đang bị đe dọa và không sẵn sàng phòng bị, thiệt hại tất yếu xảy ra.