Trong bối cảnh liên tục biến đổi của các mối đe dọa an ninh mạng, quishing – một hình thức tấn công mạng lừa đảo mạnh mẽ sử dụng các siêu liên kết độc hại ẩn trong mã QR – đã nổi lên. Kỹ thuật này được thiết kế để đánh cắp thông tin đăng nhập và dữ liệu nhạy cảm của người dùng. Không giống như các cuộc tấn công lừa đảo truyền thống dựa vào liên kết có thể nhấp hoặc email lừa đảo, quishing lợi dụng sự “không rõ ràng” vốn có của mã QR, vốn không thể đọc được bằng mắt thường và do đó tránh được sự nghi ngờ ngay lập tức từ phía nạn nhân.

Các tác nhân đe dọa ưa chuộng phương pháp này vì mã QR có khả năng vượt qua nhiều biện pháp phòng thủ an ninh thông thường. Chúng bao gồm các cổng email và máy quét URL, bằng cách xuất hiện vô hại trong quá trình truyền tải dữ liệu. Hơn nữa, việc người dùng buộc phải quét các mã này thông qua thiết bị di động thường chuyển hoạt động tương tác ra ngoài phạm vi bảo mật của doanh nghiệp. Điều này đẩy nạn nhân vào các rủi ro đáng kể mà không có các lớp bảo vệ thiết yếu như tường lửa công ty hoặc hệ thống phát hiện điểm cuối (Endpoint Detection and Response – EDR).

Khi các tác nhân đe dọa ngày càng tinh chỉnh và phát triển chiến thuật của mình, những cải tiến gần đây đã đẩy quishing vào những vùng lãnh thổ phức tạp và tiên tiến hơn. Chúng kết hợp các kỹ thuật mới có thể thách thức cả các công cụ bảo mật thích ứng và các giải pháp phòng thủ hiện đại. Sự tiến hóa này nhấn mạnh sự cần thiết cấp bách của các tổ chức trong việc thấu hiểu sâu sắc các nền tảng kỹ thuật của các cuộc tấn công quishing này, từ cách thức mã hóa payload độc hại đến các cơ chế né tránh phát hiện tinh vi, nhằm mục đích củng cố tư thế phòng thủ của mình một cách hiệu quả và chủ động.

Kỹ thuật Quishing Nâng Cao và Cơ chế Né Tránh

Một trong những tiến bộ đáng chú ý nhất trong lĩnh vực quishing liên quan đến kỹ thuật mã QR phân tách (split QR codes). Đây là một phương pháp mới được nền tảng Gabagool Phishing-as-a-Service (PhaaS) áp dụng để tăng cường khả năng tàng hình và né tránh phát hiện các cuộc tấn công quishing. Trong cách tiếp cận này, kẻ tấn công sẽ chia nhỏ một mã QR độc hại duy nhất thành nhiều đoạn hình ảnh riêng biệt, sau đó nhúng chúng một cách độc lập vào các email lừa đảo.

Mã QR Phân Tách (Split QR Codes)

Khi được quét bởi các giải pháp bảo mật email truyền thống hoặc máy quét tự động, các đoạn hình ảnh này thường xuất hiện dưới dạng các yếu tố trực quan riêng lẻ, không liên quan và có vẻ vô hại. Điều này làm cho hệ thống bảo mật không thể kết nối các mảnh ghép lại để tái tạo và phân tích mã QR hoàn chỉnh. Kết quả là, payload độc hại của mã QR bị bỏ qua, và email lừa đảo dễ dàng vượt qua các lớp kiểm tra ban đầu.

Ví dụ, trong một chiến dịch gần đây được các nhà phân tích mối đe dọa quan sát, các nhà điều hành Gabagool đã triển khai mã QR phân tách trong một kịch bản lừa đảo giả mạo đặt lại mật khẩu Microsoft. Chiến dịch này có khả năng được thực hiện sau một cuộc khai thác chiếm quyền điều khiển cuộc hội thoại (conversation hijacking exploit) để cá nhân hóa mồi nhử và tăng độ tin cậy của email lừa đảo. Khi kiểm tra kỹ hơn cấu trúc HTML của email, mã QR được tiết lộ là một tổ hợp gồm hai hình ảnh riêng biệt. Khi được thiết bị của người dùng quét cùng nhau, chúng sẽ chuyển hướng nạn nhân đến một trang web lừa đảo được thiết kế để thu thập thông tin đăng nhập.

Theo báo cáo của Barracuda, phương pháp này khai thác triệt để những hạn chế của các máy quét hình ảnh tĩnh, vốn không thể tương quan các yếu tố rời rạc mà không có khả năng kết xuất theo ngữ cảnh. Bạn có thể tham khảo thêm về kỹ thuật này và ví dụ triển khai tại báo cáo của Barracuda và phân tích của Gbhackers.

Mã QR Lồng Ghép (Nested QR Codes)

Bổ sung cho kỹ thuật mã QR phân tách, mã QR lồng ghép (nested QR codes) đại diện cho một chiến lược né tránh sáng tạo khác trong các cuộc tấn công quishing. Điển hình là việc triển khai của bộ Tycoon 2FA PhaaS. Trong phương pháp này, một mã QR độc hại được đặt một cách khéo léo bên trong hoặc xung quanh một mã QR hợp pháp, tạo ra sự mơ hồ và khó khăn cho các quy trình phát hiện tự động.

Trong một cuộc tấn công được ghi nhận, mã QR bên ngoài đã hướng nạn nhân đến một URL giả mạo được thiết kế đặc biệt để đánh cắp dữ liệu. Trong khi đó, mã QR bên trong lại một cách vô hại trỏ đến một tên miền đáng tin cậy và hợp pháp, như Google. Cấu trúc kép này đặc biệt làm bối rối các máy quét tự động. Chúng thường tạo ra kết quả phân tích hỗn hợp vì sự hiện diện của một mã hợp lệ bên trong có thể che giấu hoàn toàn payload độc hại của mã bên ngoài. Điều này dẫn đến việc giảm đáng kể điểm rủi ro tổng thể trong các đánh giá dựa trên heuristic, khiến cuộc tấn công dễ dàng vượt qua các lớp phòng thủ ban đầu.

Thông tin chi tiết về bộ Tycoon 2FA PhaaS và các kỹ thuật né tránh tiên tiến của nó có thể được tìm thấy tại phân tích của Gbhackers.

Chiến Lược Phòng Chống Quishing Hiệu Quả và Đa Lớp

Để chống lại các mối đe dọa quishing đang biến đổi nhanh chóng này, các chuyên gia an ninh mạng khuyến nghị một chiến lược phòng thủ đa diện. Chiến lược này cần tích hợp các công nghệ tiên tiến với các thực hành bảo mật cơ bản vững chắc. Các biện pháp thiết yếu bao gồm việc triển khai các chương trình đào tạo nhận thức bảo mật toàn diện để giáo dục người dùng về các rủi ro tiềm tàng liên quan đến mã QR. Đồng thời, áp dụng xác thực đa yếu tố (MFA) để giảm thiểu đáng kể rủi ro đánh cắp thông tin đăng nhập và sử dụng bộ lọc thư rác mạnh mẽ để chặn email độc hại ngay tại cổng vào.

Tuy nhiên, với sự gia tăng về mức độ tinh vi của các kỹ thuật như mã QR phân tách và lồng ghép, các tổ chức nên ưu tiên triển khai các hệ thống bảo vệ email nhiều lớp. Những hệ thống này cần được tăng cường bởi khả năng của trí tuệ nhân tạo (AI) đa phương thức. Các giải pháp dựa trên AI này đặc biệt vượt trội trong khả năng phát hiện mối đe dọa bằng cách hiển thị trực quan các tệp đính kèm để xác định mã QR thông qua nhận dạng ký tự quang học (OCR) và xử lý hình ảnh sâu (deep image processing). Sau khi xác định, chúng sẽ tiến hành giải mã nội dung nhúng để kiểm tra kỹ lưỡng các URL đích hoặc payload tiềm ẩn độc hại.

Hơn nữa, các liên kết đáng ngờ có thể được kích hoạt và phân tích trong các môi trường sandbox biệt lập. Điều này cho phép quan sát các hành vi độc hại theo thời gian thực một cách an toàn mà không ảnh hưởng đến hệ thống chính. Song song đó, các mô hình học máy (Machine Learning) có thể được huấn luyện để phân tích các mẫu pixel và các bất thường cấu trúc trong hình ảnh mã QR mà không cần trích xuất nội dung trực tiếp. Các phương pháp tích hợp như vậy, kết hợp xử lý ngôn ngữ tự nhiên (Natural Language Processing – NLP) để phân tích ngữ cảnh của email với thị giác máy tính (Computer Vision) cho các mối đe dọa dựa trên hình ảnh, cung cấp một rào cản kiên cường chống lại các biến thể quishing mới, đặc biệt là những biến thể chỉ dựa vào mã QR để phân phối payload. Bằng cách áp dụng các biện pháp bảo vệ kỹ thuật toàn diện này, các doanh nghiệp có thể giảm đáng kể bề mặt tấn công của mình, đảm bảo rằng ngay cả khi kẻ thù tiếp tục đổi mới chiến thuật, các cơ chế phòng thủ cũng sẽ phát triển song song để bảo vệ hiệu quả các tài sản dữ liệu nhạy cảm.