Các bài viết

Tấn công qua mã QR: đây là mẹo từ Cisco Talos

Kể từ khi đại dịch xảy ra, cơ hội sử dụng mã QR đã tăng lên gấp bội, nhờ đó có thể lấy được thông tin mà không cần bất kỳ tiếp xúc vật lý nào; nhưng chính nhờ sự phổ biến này mà tội phạm mạng đã tìm ra một công cụ bổ sung, hiệu quả và rất đáng sợ để thực hiện các cuộc tấn công của chúng.

Mục lục

Thời gian đọc ước tính: 5 minuti

Theo cái cuối cùng Báo cáo hàng quý của Cisco Talos, tổ chức tình báo tư nhân lớn nhất thế giới chuyên về an ninh mạng, đã ghi nhận một Gia tăng đáng kể các cuộc tấn công lừa đảo thông qua quét mã QR. Cisco Talos đã phải quản lý một chiến dịch lừa đảo lừa nạn nhân quét mã QR độc hại được nhúng trong email, dẫn đến việc phần mềm độc hại vô tình thực thi.

Một kiểu tấn công khác là gửi email lừa đảo cho một cá nhân hoặc một tổ chức, các email có chứa Mã QR trỏ đến trang đăng nhập Microsoft Office 365 giả mạo nhằm đánh cắp thông tin đăng nhập của người dùng. Điều quan trọng hơn bao giờ hết là phải nhấn mạnh rằng các cuộc tấn công bằng mã QR đặc biệt nguy hiểm, vì chúng sử dụng thiết bị di động của nạn nhân, vốn thường có ít biện pháp bảo vệ hơn, làm phương tiện tấn công.

Các cuộc tấn công bằng mã QR hoạt động như thế nào?

Một cuộc tấn công lừa đảo truyền thống liên quan đến việc nạn nhân mở một liên kết hoặc tệp đính kèm để truy cập vào một trang do kẻ tấn công kiểm soát. Chúng thường là những tin nhắn dành cho những người quen sử dụng email và những người thường mở tệp đính kèm hoặc nhấp vào liên kết. Trong trường hợp tấn công bằng mã QR, tin tặc sẽ chèn mã vào nội dung email với mục đích quét mã đó qua ứng dụng hoặc qua camera của thiết bị di động. Sau khi bạn nhấp vào liên kết độc hại, một trang đăng nhập được phát triển đặc biệt để đánh cắp thông tin đăng nhập sẽ mở ra hoặc tệp đính kèm cài đặt phần mềm độc hại trên thiết bị của bạn.

Tại sao chúng lại nguy hiểm đến vậy?

Nhiều máy tính và thiết bị doanh nghiệp được trang bị các công cụ bảo mật tích hợp được thiết kế để phát hiện hành vi lừa đảo và ngăn người dùng mở các liên kết độc hại. Tuy nhiên, khi người dùng sử dụng thiết bị cá nhân, những công cụ phòng vệ này không còn hiệu quả nữa. Điều này là do hệ thống giám sát và bảo mật của công ty có ít quyền kiểm soát và khả năng hiển thị hơn đối với các thiết bị cá nhân. Ngoài ra, không phải giải pháp bảo mật email nào cũng có thể phát hiện được mã QR độc hại.

Nhưng còn nhiều hơn thế nữa. Với sự gia tăng của hình thức làm việc từ xa, ngày càng có nhiều nhân viên truy cập thông tin công ty thông qua thiết bị di động. Theo báo cáo Không an toàn cho công việc năm 2023 gần đây, một cuộc khảo sát định lượng do Cơ quan công ty an ninh mạng thực hiện, 97% người được hỏi truy cập tài khoản công việc bằng thiết bị cá nhân.

Làm thế nào để tự vệ

Ecco một số lời khuyên từ Cisco Talos để chống lại các cuộc tấn công lừa đảo dựa trên mã QR:

Triển khai nền tảng quản lý thiết bị di động (MDM) hoặc công cụ bảo mật di động như Cisco Umbrella trên tất cả các thiết bị di động không được quản lý có quyền truy cập vào thông tin của công ty. Bảo mật cấp độ DNS của Cisco Umbrella có sẵn cho các thiết bị cá nhân Android và iOS.
Một giải pháp bảo mật được phát triển riêng cho email, chẳng hạn như Cisco Secure Email, có thể phát hiện các kiểu tấn công này. Cisco Secure Email gần đây đã bổ sung thêm khả năng phát hiện mã QR mới, trong đó các URL được trích xuất và phân tích giống như bất kỳ URL nào khác có trong email.
Đào tạo người dùng là chìa khóa để ngăn chặn các cuộc tấn công lừa đảo dựa trên mã QR. Các công ty cần đảm bảo tất cả nhân viên đều được giáo dục về sự nguy hiểm của các cuộc tấn công lừa đảo và việc sử dụng mã QR ngày càng tăng:
- Mã QR độc hại thường sử dụng hình ảnh có chất lượng kém hoặc có thể hơi mờ.
- Máy quét mã QR thường cung cấp bản xem trước liên kết mà mã trỏ tới, điều quan trọng là bạn phải chú ý và chỉ truy cập các trang web đáng tin cậy có URL dễ nhận biết.
- Email lừa đảo thường có lỗi chính tả hoặc ngữ pháp.
Việc sử dụng các công cụ xác thực đa yếu tố, chẳng hạn như Cisco Duo, có thể ngăn chặn hành vi trộm cắp thông tin xác thực, thường là điểm xâm nhập vào hệ thống doanh nghiệp.