QR Code Phishing (Quishing): Mối Đe Dọa Mới Qua Mã QR
URL: https://training.aware.com.vn/blog/qr-code-phishing-quishing-moi-de-doa-moi-qua-ma-qr Danh mục: Phishing
Mã QR đã trở thành một phần không thể thiếu trong cuộc sống hàng ngày. Quét mã để xem menu nhà hàng, thanh toán hóa đơn, đăng ký sự kiện, truy cập tài liệu — hành động này đã trở thành phản xạ tự nhiên đến mức hầu hết mọi người thực hiện mà không suy nghĩ thêm.
Chính sự tự nhiên đó là lỗ hổng mà kẻ tấn công đang khai thác triệt để.
Quishing — tên gọi kết hợp của QR code và phishing — là hình thức tấn công sử dụng mã QR độc hại để dẫn nạn nhân đến trang web giả mạo, tải xuống phần mềm độc hại, hoặc thực hiện hành động nguy hiểm. Và không giống phishing email truyền thống, quishing được thiết kế để vượt qua hầu hết các lớp bảo vệ kỹ thuật mà doanh nghiệp đang dựa vào.
Tại sao mã QR trở thành công cụ tấn công lý tưởng?
Để hiểu tại sao quishing đang tăng trưởng nhanh, cần nhìn vào những đặc điểm kỹ thuật và tâm lý khiến mã QR trở thành vector tấn công hấp dẫn với kẻ xấu.
Vô hình với bộ lọc email. Bộ lọc email doanh nghiệp được thiết kế để phân tích văn bản và đường link. Mã QR là hình ảnh — không có đường link văn bản nào để quét, không có URL nào để so sánh với cơ sở dữ liệu độc hại. Email chứa mã QR độc hại có thể vượt qua bộ lọc thư rác tinh vi nhất mà không bị phát hiện vì về mặt kỹ thuật, email đó không chứa bất kỳ nội dung đáng ngờ nào có thể nhận diện được.
Chuyển tấn công sang thiết bị di động. Khi người dùng quét mã QR bằng điện thoại cá nhân, cuộc tấn công chuyển từ môi trường được bảo vệ của máy tính công ty sang điện thoại cá nhân — thiết bị thường không có phần mềm bảo mật doanh nghiệp, không được giám sát bởi IT, và hoạt động ngoài tầm kiểm soát của chính sách bảo mật tổ chức.
Người dùng không thấy URL trước khi truy cập. Với đường link văn bản, người dùng có thể di chuột để xem URL đích trước khi click. Với mã QR, không có bước xem trước đó — người dùng quét và được chuyển hướng ngay lập tức. Đến khi nhìn thấy URL trên trình duyệt điện thoại, họ thường đã ở trên trang web của kẻ tấn công.
Tâm lý tin tưởng mã QR. Mã QR gắn liền với sự tiện lợi và chuyên nghiệp trong tâm trí người dùng. Không ai dán mã QR lên menu nhà hàng hay bảng thông báo sự kiện với mục đích xấu — đó là nhận thức phổ biến. Kẻ tấn công khai thác chính sự tin tưởng ngầm định này.
Quishing hoạt động như thế nào trong thực tế?
Quishing có thể được thực hiện qua nhiều kênh và kịch bản khác nhau, từ đơn giản đến tinh vi.
Qua email doanh nghiệp. Kịch bản phổ biến nhất: email giả mạo Microsoft 365, Google Workspace, hay hệ thống nội bộ thông báo rằng tài khoản cần xác minh, chính sách bảo mật mới cần được chấp nhận, hoặc tài liệu quan trọng đang chờ xem xét. Thay vì đường link văn bản, email chứa mã QR với hướng dẫn "quét mã để xác nhận". Người dùng quét bằng điện thoại, được dẫn đến trang đăng nhập giả mạo thu thập thông tin đăng nhập.
Qua tài liệu và tệp đính kèm. Mã QR độc hại được nhúng vào tài liệu PDF, file PowerPoint, hay hình ảnh được gửi kèm email hoặc chia sẻ qua các nền tảng cộng tác. Người nhận mở tài liệu — trông như tài liệu bình thường — và quét mã QR bên trong theo hướng dẫn của tài liệu.
Vật lý — dán đè lên mã QR hợp lệ. Đây là hình thức tấn công vật lý đáng lo ngại tại không gian công cộng và văn phòng. Kẻ tấn công in mã QR độc hại và dán lên mã QR hợp lệ ở những vị trí người dùng thường quét — bảng thông báo, bàn tiếp tân, tài liệu in sẵn, hay thậm chí mã QR thanh toán tại điểm bán hàng. Người dùng nghĩ họ đang quét mã chính thức, thực tế đang truy cập vào hệ thống của kẻ tấn công.
Qua mạng xã hội và ứng dụng nhắn tin. Mã QR được chia sẻ kèm lời mời hấp dẫn — nhận quà, tham gia chương trình khuyến mãi, xem nội dung độc quyền — qua Zalo, Facebook, hay các nhóm chat công việc. Người dùng quét vì tò mò hoặc vì tin vào người chia sẻ mà không biết tài khoản đó đã bị chiếm đoạt.
Những kịch bản quishing nhắm vào doanh nghiệp
Trong môi trường doanh nghiệp, quishing thường được thiết kế để nhắm vào những điểm tiếp xúc cụ thể mà nhân viên thường xuyên tương tác với mã QR.
Email giả mạo hệ thống xác thực đa yếu tố — yêu cầu quét mã QR để "đăng ký thiết bị mới" cho hệ thống MFA — là kịch bản đặc biệt nguy hiểm vì nó khai thác niềm tin vào chính các biện pháp bảo mật. Người dùng nghĩ mình đang tăng cường bảo mật tài khoản trong khi thực tế đang trao quyền truy cập cho kẻ tấn công.
Tài liệu onboarding giả mạo gửi đến nhân viên mới — chứa mã QR để "truy cập hệ thống nội bộ" hay "tải xuống phần mềm bắt buộc" — khai thác thực tế rằng nhân viên mới chưa quen với quy trình và thường nhận nhiều tài liệu hướng dẫn trong giai đoạn đầu.
Thông báo hội nghị và sự kiện giả mạo — mời tham dự webinar, hội thảo, hay cuộc họp quan trọng với mã QR để đăng ký — nhắm vào nhân viên bận rộn muốn xử lý nhanh lịch làm việc.
Cách nhận diện và phòng tránh quishing
Vì không thể xem trước URL của mã QR trước khi quét như với đường link văn bản, cần áp dụng một số nguyên tắc khác nhau.
Sử dụng ứng dụng quét mã QR hiển thị URL preview trước khi mở. Hầu hết camera điện thoại hiện đại và nhiều ứng dụng quét QR đều có tính năng này — hiển thị URL đích và cho phép người dùng xem xét trước khi xác nhận truy cập. Hãy đọc URL đó và áp dụng cùng nguyên tắc kiểm tra tên miền như với đường link email.
Hoài nghi với mã QR trong email yêu cầu hành động nhạy cảm. Các tổ chức hợp lệ hiếm khi yêu cầu bạn xác minh tài khoản, đăng nhập, hay thực hiện giao dịch tài chính thông qua mã QR trong email. Nếu email yêu cầu quét mã QR để đăng nhập hay xác minh danh tính — đây là dấu hiệu cảnh báo mạnh.
Kiểm tra mã QR vật lý trước khi quét. Tại nơi làm việc và không gian công cộng, hãy chú ý xem mã QR có dấu hiệu bị dán đè hay can thiệp vật lý không — cạnh không thẳng, bề mặt không đồng đều, hay mã QR trông như được in riêng và dán lên.
Không quét mã QR nhận được qua tin nhắn từ người lạ hoặc trong các bài đăng mạng xã hội không rõ nguồn gốc. Nếu muốn truy cập dịch vụ hay nhận ưu đãi được đề cập, hãy vào thẳng website chính thức thay vì quét mã QR.
Điều tổ chức cần làm ngay
Cập nhật chương trình đào tạo nhận thức để bao gồm nội dung cụ thể về quishing là bước cần thiết và cấp bách. Phần lớn chương trình đào tạo an ninh mạng hiện tại tập trung vào phishing email truyền thống — quishing cần được đưa vào như một mối đe dọa riêng biệt với đặc điểm và dấu hiệu nhận diện riêng.
Xem xét chính sách về việc quét mã QR trên thiết bị cá nhân trong môi trường làm việc — đặc biệt với các khu vực nhạy cảm như phòng máy chủ, khu vực R&D, hay văn phòng lãnh đạo cấp cao.
Triển khai giải pháp bảo mật di động cho các thiết bị được dùng để truy cập hệ thống doanh nghiệp — bao gồm khả năng phân tích URL được mở từ mã QR trên thiết bị di động, không chỉ từ trình duyệt máy tính.
Mã QR tiện lợi — nhưng tiện lợi không đồng nghĩa với an toàn
Mã QR sẽ tiếp tục là công cụ hữu ích và phổ biến trong cuộc sống và công việc. Mục tiêu không phải là ngừng sử dụng mã QR — mà là áp dụng cùng mức độ cảnh giác với mã QR như với đường link email và tin nhắn văn bản.
Một giây dừng lại để đọc URL preview trước khi xác nhận truy cập có thể là sự khác biệt giữa một hành động bình thường và một sự cố bảo mật nghiêm trọng. Thói quen nhỏ đó — nhìn trước khi mở — là tất cả những gì cần thiết để vô hiệu hóa phần lớn các cuộc tấn công quishing.
👉 Đọc tiếp: Luật An ninh mạng 2025: Những điều doanh nghiệp cần biết ngay
👉 Tìm hiểu thêm: Smishing & Vishing: Phishing không chỉ đến qua email
👉 Bạn muốn biết tổ chức mình đang ở đâu? Hãy sử dụng công cụ đánh giá an ninh mạng tại https://aware.com.vn/cong-cu/
👉 Đào tạo CyberAwareness giúp tuân thủ Luật An ninh mạng 2025 và giảm rủi ro: https://training.aware.com.vn/
👉 Xem thêm video thực chiến tại kênh YouTube: https://www.youtube.com/@aware-com-vn
