Bạn có chắc chắn rằng các kiểm tra danh tính dựa trên QR của bạn không khiến doanh nghiệp của bạn gặp rủi ro bị đánh cắp thông tin đăng nhập không? Khi các cuộc tấn công “quishing” gia tăng, một lần quét độc hại duy nhất có thể làm tổn hại toàn bộ mạng lưới công ty của bạn. Hướng dẫn này khám phá cách xác định các lỗ hổng bảo mật này và triển khai các biện pháp bảo vệ mạnh mẽ để bảo vệ dữ liệu tổ chức của bạn.
Hiểu về sự gia tăng của Quishing và đánh cắp thông tin đăng nhập
Lừa đảo bằng mã QR, thường được gọi là “quishing”, đã phát triển thành một mối đe dọa tinh vi đối với các quy trình làm việc nhận dạng hiện đại. Dữ liệu gần đây cho thấy các cuộc tấn công này đã tăng 587%, với một phần đáng kể được thiết kế đặc biệt để thu thập thông tin đăng nhập. Vì các mã này là hình ảnh chứ không phải liên kết dựa trên văn bản, chúng thường vượt qua các bộ lọc bảo mật email truyền thống được lập trình để gắn cờ các URL đáng ngờ.
Một kịch bản phổ biến liên quan đến việc kẻ tấn công nhúng mã độc vào email hoặc tài liệu bắt chước các nền tảng đáng tin cậy như Microsoft 365 hoặc DocuSign. Từ tháng 6 đến tháng 9 năm 2024, nghiên cứu đã xác định hơn 500.000 email lừa đảo sử dụng mã QR, với hơn một nửa nhắm mục tiêu vào thông tin đăng nhập Microsoft. Khi một nhân viên quét các mã này, họ sẽ được chuyển hướng đến một trang giả mạo để thu thập thông tin đăng nhập của họ hoặc chiếm đoạt mã thông báo Xác thực đa yếu tố (MFA) của họ, cấp cho kẻ tấn công toàn quyền truy cập vào môi trường kinh doanh. Hiểu rõ lừa đảo bằng mã QR và các rủi ro kinh doanh của nó là bước đầu tiên trong việc xây dựng một hệ thống phòng thủ kiên cường.
Các lỗ hổng kỹ thuật trong xác minh danh tính
Việc sử dụng mã QR để xác minh danh tính mang lại những rủi ro kỹ thuật cụ thể, đáng chú ý nhất là mối đe dọa phát tán phần mềm độc hại. Các mã độc hại có thể kích hoạt “tải xuống tự động” làm tổn hại thiết bị di động được sử dụng để quét. Điều này đặc biệt nguy hiểm đối với những nhân viên sử dụng điện thoại cá nhân hoặc điện thoại làm việc để xử lý các tài liệu ID nhạy cảm hoặc mã thông báo sinh trắc học. Khi một thiết bị bị nhiễm, kẻ tấn công có thể theo dõi các lần gõ phím hoặc đánh cắp dữ liệu được lưu trữ trên phần cứng.
Rò rỉ dữ liệu là một mối lo ngại quan trọng khác, vì ngay cả các mã trông hợp pháp cũng có thể thu thập siêu dữ liệu mở rộng mà không có sự đồng ý rõ ràng của người dùng. Khi người dùng quét mã, hệ thống có thể thu thập địa chỉ IP, vị trí chính xác và chi tiết thiết bị của họ. Nếu thông tin này được lưu trữ trên một máy chủ không an toàn, nó sẽ tạo ra một rủi ro lớn về quyền riêng tư trong quá trình giới thiệu hoặc đăng ký. Các doanh nghiệp phải minh bạch về dữ liệu nào được thu thập bởi mã QR động để duy trì lòng tin của người dùng và tránh rò rỉ dữ liệu không mong muốn.
Can thiệp vật lý và lớp phủ độc hại
Trong các môi trường vật lý như sảnh văn phòng, công trường xây dựng hoặc sự kiện, kẻ tấn công sử dụng “dán nhãn giả mạo” để chuyển hướng người dùng. Bằng cách đặt một lớp phủ mã QR giả mạo lên trên một mã hợp pháp, chúng có thể chặn các nỗ lực xác minh danh tính và dẫn người dùng đến các cổng thông tin độc hại. Chiến thuật này rất hiệu quả vì hầu hết người dùng không kiểm tra các biển báo vật lý để tìm dấu hiệu giả mạo trước khi quét.
Các ví dụ thực tế làm nổi bật mức độ nghiêm trọng của các mối đe dọa vật lý này. Trong một trường hợp tại một nhà ga xe lửa, một mã QR giả trên áp phích đã dẫn nạn nhân đến một trang web lừa đảo, dẫn đến thiệt hại khoảng 17.000 đô la. Các sự cố tương tự trên các thị trường trực tuyến đã chứng kiến người dùng mất hàng nghìn đô la sau khi quét mã trong các quảng cáo gian lận. Để chống lại điều này, các doanh nghiệp nên tuân thủ các biện pháp bảo mật mã QR tốt nhất bằng cách thực hiện kiểm tra định kỳ các tài sản vật lý và sử dụng các thiết kế có thương hiệu khó sao chép bằng các nhãn dán đơn giản.
Tuân thủ và Các cân nhắc về Quy định
Thu thập dữ liệu nhận dạng qua mã QR đòi hỏi phải tuân thủ nghiêm ngặt các luật bảo mật dữ liệu tại Hoa Kỳ. Theo CCPA và CPRA ở California, các doanh nghiệp phải tiết lộ mục đích thu thập dữ liệu và cung cấp cho người dùng các quyền cụ thể liên quan đến thông tin cá nhân của họ. Nếu quy trình xác minh bao gồm các yếu tố nhạy cảm như nhận dạng khuôn mặt hoặc quét vân tay, bạn cũng phải tuân thủ các luật sinh trắc học cụ thể của từng tiểu bang như BIPA của Illinois.
Việc không bảo mật các quy trình làm việc này có thể dẫn đến những hậu quả tài chính và pháp lý đáng kể. Chi phí trung bình của một vụ vi phạm dữ liệu đã lên tới 4,45 triệu đô la, một con số nhấn mạnh tầm quan trọng của các biện pháp “bảo mật hợp lý”. Việc triển khai các phương pháp hay nhất để tích hợp sinh trắc học đảm bảo rằng tổ chức của bạn vẫn tuân thủ trong khi tận dụng sự tiện lợi của xác minh ưu tiên thiết bị di động.
Bảo mật các quy trình làm việc nhận dạng của bạn Bảo vệ doanh nghiệp của bạn khỏi quishing bằng cách sử dụng các công cụ tạo mã QR an toàn cho phép bạn theo dõi, chỉnh sửa và mã hóa các điểm tiếp xúc kỹ thuật số của mình.
Các chiến lược cho Quy trình làm việc xác minh an toàn
Để giảm thiểu rủi ro liên quan đến kiểm tra danh tính, các doanh nghiệp nên chuyển từ mã tĩnh sang các giải pháp thay thế được quản lý, an toàn hơn. Không giống như các phiên bản tĩnh, mã QR động cho phép cập nhật nội dung mà không yêu cầu bạn phải in lại tài liệu vật lý. Điều này cho phép các nhóm bảo mật ngay lập tức vô hiệu hóa một liên kết nếu phát hiện mối đe dọa hoặc một chiến dịch hết hạn, giảm đáng kể khoảng thời gian cơ hội cho những kẻ tấn công.
Mã hóa bổ sung một lớp phòng thủ thiết yếu cho việc truyền dữ liệu nhạy cảm. Bằng cách sử dụng mã QR được mã hóa để xác thực, bạn đảm bảo rằng chỉ các ứng dụng được ủy quyền với khóa giải mã chính xác mới có thể đọc thông tin có trong bản quét. Cụ thể, mã hóa bảo mật dữ liệu mã QR bằng cách xáo trộn tải trọng thành định dạng không thể đọc được, giúp đáp ứng các tiêu chuẩn bảo mật cao được yêu cầu bởi các ngành như tài chính và chăm sóc sức khỏe.
Giám sát và giáo dục hoàn thiện một tư thế bảo mật toàn diện. Bạn nên sử dụng phân tích để theo dõi tần suất quét và các bất thường về địa lý, điều này có thể đóng vai trò cảnh báo sớm về gian lận. Đồng thời, việc đào tạo nhân viên xem trước URL và kiểm tra biển báo vật lý để phát hiện giả mạo sẽ tạo ra một tường lửa con người chống lại kỹ thuật xã hội. Kết hợp các biện pháp kiểm soát kỹ thuật và quy trình này cho phép doanh nghiệp của bạn sử dụng công nghệ QR một cách an toàn để xác minh danh tính liền mạch.
Câu hỏi thường gặp
Có, mã QR động an toàn hơn nhiều vì chúng cung cấp các tính năng mà mã tĩnh không có, chẳng hạn như khả năng chỉnh sửa URL đích, đặt mật khẩu bảo vệ và triển khai ngày hết hạn. Nếu một mã động bị kẻ tấn công nhắm mục tiêu, nó có thể bị vô hiệu hóa hoặc chuyển hướng ngay lập tức mà không cần thay thế vật lý.
Bản thân việc quét thường không đánh cắp danh tính của bạn, nhưng nó đóng vai trò là cổng dẫn đến các cuộc tấn công “quishing”. Các cuộc tấn công này hướng bạn đến các trang đăng nhập giả mạo hoặc kích hoạt “tải xuống tự động” phần mềm độc hại có thể đánh cắp mật khẩu, mã thông báo MFA và tài liệu cá nhân được lưu trữ trên thiết bị của bạn.
Tìm kiếm các dấu hiệu “giả mạo nhãn dán”, chẳng hạn như các cạnh bị bong tróc hoặc sự khác biệt về kết cấu và màu sắc giữa mã QR và áp phích xung quanh. Bạn cũng nên sử dụng một máy quét cung cấp bản xem trước URL để bạn có thể xác minh rằng miền đích khớp với trang web chính thức của tổ chức trước khi nhấp vào.
