Chiến dịch Phishing mới khai thác mã QR để vượt qua kiểm tra bảo mật

Chiến dịch lừa đảo sử dụng mã QR

Mới đây, các nhà nghiên cứu đã phát hiện ra một chiến dịch lừa đảo mới sử dụng khai thác mã QR để thoát khỏi các phân tích URL và bypass các kiểm soát bảo mật.

Do sự tăng cường của các biện pháp bảo mật khác nhau nhằm chống lại các chiêu thức lừa đảo qua Email phổ biến hiện nay, các hacker lại tiếp tục nghiên cứu để tìm ra các phương thức sáng tạo mới nhằm tấn công thâm nhập thiết bị và đánh cắp dữ liệu người dùng.

Chiến dịch lừa đảo Phishing sử dụng mã QR

Các nhà nghiên cứu từ Cofense đã phát hiện ra một chiến dịch lừa đảo (phishing) mới khai thác mã QR để trốn tránh các biên pháp bảo mật được áp dụng. Chi tiết về các phát hiện này đã được trình bày cụ thể trong một bài đăng blog của nhóm nghiên cứu.

Theo tiết lộ, chiến dịch lừa đảo mới sử dụng mã QR thay vì phương thức sử dụng URL độc hại thông thường. Kỹ thuật này giúp các hacker có thể thoát khỏi các phân tích URL một cách rất tinh vi.

Cuộc tấn công lừa đảo sẽ bắt đầu sau khi một email có tiêu đề “Review Important Document” (Xem xét tài liệu quan trọng) đến được hộp thư của nạn nhân. Email sẽ xuất hiện dưới dạng một email SharePoint thông thường có chứa mã QR trong phần thân thư (message body). Người nhận sau đó sẽ được yêu cầu quét mã QR để xem các nội dung giả định bên trong.  

Phishing email
Nguồn: Cofense

Đương nhiên, hình ảnh nhúng đính kèm mã QR này thực sự chứa URL dẫn đến các trang web độc hại. Khi nạn nhân quét mã này qua điện thoại thông minh của mình, URL sẽ được mở trên thiết bị điện thoại của nạn nhân. (Hầu hết các điện thoại thông minh gần đây trực tiếp mở các liên kết web trong trình duyệt điện thoại mặc định.) Nạn nhân sau đó sẽ thấy một trang web SharePoint fake yêu cầu đăng nhập qua AOL, Microsoft hoặc một số tài khoản khác.

Phishing website on smartphone
Nguồn: Cofense

Đồng thời, ngay khi người dùng nhập thông tin trên các trang web này thì tất cả những nội dung về tên đăng nhập và mật khẩu sẽ được chuyển đến cho các hacker. Những kẻ này sẽ nhanh chóng khai thác “nguồn tài nguyên quý giá” đó để phục vụ cho vô vàn các mục đích khác nhau.

Tăng cường các biện pháp bảo vệ nhằm chống lại lừa đảo

Gần đây, liên tiếp các báo cáo được đưa ra liên quan tới các vụ lừa đảo sử dụng đa dạng các loại kỹ thuật khác nhau, bao gồm cả việc lạm dụng Google Calendars (Lịch Google) và các email được mã hóa (encrypted emails).

Tuy nhiên, chiến dịch lừa đảo sử dụng khai thác mã QR khác biệt và nguy hại hơn nhiều bởi thông qua việc lôi kéo nạn nhân sử dụng điện thoại thông minh để quét mã QR, các hacker đã có thể trốn tránh các kiểm soát an ninh tiêu chuẩn của hầu hết các doanh nghiệp và tổ chức.  

Khi đó, cổng email an toàn (secure email gateways), dịch vụ bảo vệ liên kết (link protection service), hộp cát (sandbox) và bộ lọc nội dung web (web content filter) không còn hữu dụng nữa vì người dùng khi ấy đang tương tác với các trang web lừa đảo trong không gian bảo mật của riêng họ – trên chiếc điện thoại di động cá nhân.

Không chỉ vậy, mọi chuyện còn tồi tệ hơn nữa nếu nạn nhân nhận được email lừa đảo trên tài khoản email của công ty hoặc tổ chức bởi khi ấy những kẻ tấn công hoàn toàn có thể đánh cắp thông tin tài khoản của cả một tổ chức/ doanh nghiệp.

Các nhà nghiên cứu cũng cho biết các email lừa đảo cũng có khả năng bypass Cổng tin nhắn (messaging gateway) của Symantec. Khi tiến hành quét đồng bộ, các tin nhắn dạng này được hệ thống coi là “không phải spam”.

Để hạn chế khỏi các chiêu thức lừa đảo kể trên, người dùng cần hết sức thận trọng khi xử lý các email được gửi tới, kiểm tra thật cẩn thận địa chỉ người gửi và tuyệt đối tránh nhập thông tin đăng nhập (login credentials) trên bất kỳ trang web nào.

LHN