Quishing là gì? Hiểu và phòng tránh lừa đảo qua mã QR

Trong thời đại số, mã QR đã trở thành công cụ quen thuộc trong cuộc sống hàng ngày – từ thanh toán điện tử đến tra cứu thông tin. Tuy nhiên, chính sự phổ biến đó cũng biến QR code thành công cụ lý tưởng cho các cuộc tấn công mạng mới – gọi là Quishing. Hãy cùng Cẩm Nang NQDEV tìm hiểu về quishing là gì, nó nguy hiểm như thế nào và cách bảo vệ bạn khỏi hình thức lừa đảo này.

Quishing là gì?

Quishing (viết tắt của "QR code phishing") là hình thức tấn công lừa đảo trong đó kẻ gian sử dụng mã QR để dụ người dùng truy cập vào trang web độc hại hoặc thực hiện hành vi nguy hiểm như tải phần mềm độc hại, nhập thông tin cá nhân, hay đánh cắp danh tính.

Thay vì gửi liên kết đáng ngờ qua email hoặc tin nhắn – vốn có thể bị phát hiện dễ dàng – kẻ tấn công chèn mã QR vào email, áp phích, hoặc tài liệu in. Khi người dùng quét mã bằng điện thoại, họ sẽ bị chuyển hướng đến một trang web được ngụy trang tinh vi giống như ngân hàng, trang thanh toán, hay cổng thông tin doanh nghiệp.

Cách hoạt động của một cuộc tấn công Quishing

1. Tạo mã QR chứa liên kết độc hại Kẻ gian tạo ra mã QR trỏ đến website giả mạo hoặc chứa malware.

2. Phân phối mã QR Mã QR được gửi qua email, in trên tài liệu hoặc dán lên các poster công cộng, thiết bị công cộng như máy ATM, máy bán hàng tự động.

3. Người dùng quét mã QR Người dùng tin tưởng quét mã và bị điều hướng đến trang web giả mạo.

4. Đánh cắp thông tin hoặc lây nhiễm phần mềm độc hại Trang giả mạo yêu cầu người dùng nhập thông tin đăng nhập, mã OTP, hoặc sẽ tự động cài phần mềm gián điệp vào điện thoại.

Vì sao Quishing nguy hiểm?

• Khó nhận biết: Người dùng không thể thấy trước đường dẫn ẩn sau mã QR.

• Đánh lừa cảm giác an toàn: Mã QR thường gắn với những thương hiệu quen thuộc hoặc được dán ở nơi công cộng đáng tin cậy.

• Tấn công đa nền tảng: Vì thao tác quét thường thực hiện trên điện thoại, nó vượt qua nhiều lớp bảo vệ email/phishing trên máy tính.

Dấu hiệu nhận biết mã QR đáng ngờ

• Mã QR xuất hiện ở email lạ, tin nhắn không rõ nguồn gốc.

• Poster in mã QR không rõ ràng về thương hiệu, thiếu thông tin xác thực.

• Sau khi quét, bạn được đưa đến trang web không quen thuộc hoặc bị yêu cầu nhập thông tin cá nhân, tài khoản ngân hàng.

Cách phòng tránh tấn công Quishing

1. Không quét mã QR từ nguồn không đáng tin cậy

Chỉ quét mã từ tài liệu, poster, website chính thức hoặc từ người gửi rõ ràng.

2. Kiểm tra kỹ đường dẫn trước khi truy cập

Hầu hết điện thoại sẽ hiển thị URL khi bạn quét mã – hãy kiểm tra thật kỹ tên miền trước khi nhấn truy cập.

3. Không nhập thông tin nhạy cảm qua trang web từ mã QR

Tuyệt đối không nhập mật khẩu, OTP, thông tin tài khoản ngân hàng nếu bị điều hướng từ mã QR.

4. Cài phần mềm bảo mật và chống phishing

Sử dụng phần mềm bảo mật uy tín giúp phát hiện các trang web độc hại hoặc hành vi bất thường.

5. Nâng cao nhận thức trong doanh nghiệp

Nếu bạn là quản trị viên IT hoặc DevOps, hãy cập nhật thông tin về Quishing cho nhân viên, đặc biệt với các email nội bộ chứa mã QR.

Tổng kết

Quishing là hình thức lừa đảo mới lợi dụng lòng tin của người dùng vào mã QR – công cụ vốn rất phổ biến và tiện lợi. Hiểu rõ về quishing và áp dụng các biện pháp phòng ngừa là cách tốt nhất để bảo vệ bạn và tổ chức khỏi nguy cơ mất dữ liệu, bị đánh cắp tài khoản hoặc cài phần mềm độc hại.