Những rủi ro tiềm ẩn đằng sau những mã QR “trúng thưởng”

QR code trúng thưởng – Fake news?

Những ngày gần đây, nhiều người dùng Facebook tại Việt Nam chia sẻ thông tin cảnh báo về một hình thức lừa đảo mới. Theo cảnh báo này, người dân sẽ bị chiếm quyền điều khiển điện thoại, bị chiếm đoạt tài sản khi quét mã QR trên phiếu trúng thưởng được gửi trong bưu phẩm do shipper chuyển đến. Tuy nhiên, trên thực tế, các chuyên gia chưa ghi nhận trường hợp người dùng bị lừa đảo trực tuyến bằng hình thức này. Song, người dân vẫn cần cảnh giác với bưu phẩm lạ và chương trình tri ân không rõ nguồn gốc.

Không chỉ được chia sẻ trên Facebook, thông tin cảnh báo hình thức lừa đảo mới nêu trên còn được nhiều người gửi vào các hội, nhóm trên mạng của các khu dân cư, tổ dân phố, với nội dung: “Hiện nay có người dân trên địa bàn đã nhận được bưu phẩm từ shipper, khi mở ra bên trong có phiếu cào trúng thưởng. Trên phiếu cào, khi cào ra có giải thưởng, để được nhận thưởng phải truy cập đường link trên mã QR và cung cấp thông tin cá nhân để làm thủ tục nhận thưởng, đây là hình thức lừa đảo chiếm đoạt tài sản mới rất nguy hiểm…”.

Trước khi làm rõ “đây là cảnh báo đúng hay chỉ là fake news”, các chuyên gia của VSEC sẽ giúp các bạn có cái nhìn rõ ràng hơn bằng việc phân tích kỹ thuật và khả năng thực hiện hình thức này. Ở đây có 2 vấn đề kỹ thuật chính:

  • Thứ nhất, việc quét mã QR để mở một đường link là hoàn toàn đơn giản. Kẻ lừa đảo chỉ cần chuẩn bị sẵn URL độc hại, sau đó search Google với từ khóa “URL to QR code” và chọn một trang web bất kỳ để tiến hành chuyển đổi URL sang QR code.

 

  • Thứ 2, việc click vào đường link thì điện thoại sẽ bị chiếm quyền điều khiển. Điều này “có thể xảy ra” với việc kẻ lừa đảo thiết kế 1 trang web đặc biệt, chứa các đoạn mã khai thác một số lỗ hổng của trình duyệt version cũ hoặc các lỗ hổng chưa được phát hiện (zeroday). Ví dụ về lỗ hổng dạng này tại đâyKhi hacker đã chiếm được quyền điều khiển thiết bị, thì việc đánh cắp mã SMS OTP được gửi về thiết bị để thực hiện giao dịch là điều không khó. Toàn bộ quá trình thực hiện có thể được mô phỏng đơn giản như hình dưới đây: 

    QR

Như vậy, dưới góc độ kỹ thuật, việc lừa đảo trên hoàn toàn có khả năng xảy ra trong thực tế. Tuy nhiên, đặt dưới góc độ khả năng thực hiện, với việc sử dụng bưu phẩm đính kèm để gửi trực tiếp tới người dùng là rất khó để triển khai trên diện rộng, và có khả năng truy ra danh tính kẻ lừa đảo. Tiếp đó, việc sử dụng zeroday để áp dụng vào chiến dịch lừa đảo mà “không xác định được tỷ lệ thành công cũng như thành quả kiếm được” thì sẽ rất tốn kém (zeroday mua hoặc tự kiếm cũng vậy).

Chính vì lẽ đó, VSEC khuyên người dùng cảnh giác với tất cả các bưu phẩm, email, cuộc điện thoại không rõ nguồn gốc; Không tùy tiện click vào các đường link hoặc quét mã qr không rõ nguồn gốc; Luôn luôn cập nhật bản vá cho hệ điều hành của thiết bị số và các ứng dụng trên thiết bị; Nên sử dụng sim nhận OTP của ứng dụng banking trên một thiết bị độc lập.

Theo Vietnamnet