Tấn công mạng QR HTML: Kỹ thuật lừa đảo tinh vi mới
Một chiến dịch tấn công mạng phishing gần đây đã lạm dụng mã QR theo một phương thức mới, biến các bảng HTML đơn giản thành mã có thể quét được, chuyển hướng người dùng đến các trang web độc hại.
Thay vì nhúng hình ảnh mã QR vào nội dung email, những kẻ tấn công đã xây dựng mã từ hàng trăm ô bảng nhỏ, mỗi ô được tạo kiểu là màu đen hoặc trắng.
Mặc dù kết quả vẫn có thể được quét như một mã QR bình thường, nhiều hệ thống phòng thủ email đã không xử lý nó như một hình ảnh, tạo ra một điểm mù đáng kể.
Kỹ Thuật Tấn Công Mạng Mới: Phishing Qua Mã QR HTML
Kỹ thuật chính trong chiến dịch này nằm ở việc tạo mã QR hoàn toàn bằng HTML. Điều này được thực hiện thông qua việc sử dụng một ma trận dày đặc các thẻ <td> (table data cell), mỗi ô được định dạng với kích thước nhỏ (ví dụ: 4×4 pixel) và màu nền (đen hoặc trắng).
Sự kết hợp của hàng trăm ô này theo một mẫu cụ thể sẽ tạo thành một mã QR có thể quét được bằng camera hoặc ứng dụng đọc mã QR.
Phương pháp này khác biệt đáng kể so với các chiến thuật truyền thống thường nhúng mã QR dưới dạng tệp hình ảnh (JPEG, PNG) hoặc dữ liệu hình ảnh nội tuyến (inline image data).
Cơ Chế Khai Thác Điểm Mù Hệ Thống Bảo Mật Email
Thách thức lớn nhất đối với các hệ thống bảo mật email là chúng thường được điều chỉnh để quét và phân tích các tệp đính kèm hình ảnh hoặc dữ liệu hình ảnh trực tiếp. Chúng có thể có các công cụ giải mã mã QR tích hợp cho mục đích này.
Tuy nhiên, khi mã QR được tạo ra hoàn toàn từ cấu trúc HTML, các bộ lọc này thường chỉ xem đó là một đoạn mã bố cục vô hại.
Nhiều cổng bảo mật email (Secure Email Gateways – SEG) không được thiết kế để phân tích các bảng HTML một cách sâu sắc như các cấu trúc đồ họa tiềm năng, khiến mẫu độc hại này dễ dàng vượt qua các kiểm tra tập trung vào mã QR.
Đồng thời, các bộ lọc nội dung thông thường chỉ nhìn thấy các thẻ HTML tiêu chuẩn và thuộc tính màu sắc, không phải các từ khóa phishing rõ ràng hoặc hàm băm hình ảnh.
Dưới đây là một ví dụ minh họa cấu trúc HTML đơn giản có thể được sử dụng để tạo một phần nhỏ của mã QR:
<table role="presentation" cellspacing="0" cellpadding="0" border="0" style="width: auto;"> <tr> <td style="background-color:black; width:4px; height:4px; font-size:1px; line-height:1px;"> </td> <td style="background-color:white; width:4px; height:4px; font-size:1px; line-height:1px;"> </td> <td style="background-color:black; width:4px; height:4px; font-size:1px; line-height:1px;"> </td> <td style="background-color:black; width:4px; height:4px; font-size:1px; line-height:1px;"> </td> <td style="background-color:white; width:4px; height:4px; font-size:1px; line-height:1px;"> </td> <td style="background-color:black; width:4px; height:4px; font-size:1px; line-height:1px;"> </td> <td style="background-color:white; width:4px; height:4px; font-size:1px; line-height:1px;"> </td> <td style="background-color:white; width:4px; height:4px; font-size:1px; line-height:1px;"> </td> </tr> <tr> <td style="background-color:white; width:4px; height:4px; font-size:1px; line-height:1px;"> </td> <td style="background-color:black; width:4px; height:4px; font-size:1px; line-height:1px;"> </td> <td style="background-color:white; width:4px; height:4px; font-size:1px; line-height:1px;"> </td> <td style="background-color:white; width:4px; height:4px; font-size:1px; line-height:1px;"> </td> <td style="background-color:black; width:4px; height:4px; font-size:1px; line-height:1px;"> </td> <td style="background-color:white; width:4px; height:4px; font-size:1px; line-height:1px;"> </td> <td style="background-color:black; width:4px; height:4px; font-size:1px; line-height:1px;"> </td> <td style="background-color:black; width:4px; height:4px; font-size:1px; line-height:1px;"> </td> </tr> <!-- ... hundreds more <tr> and <td> elements ... --></table>Các Đặc Điểm Nhận Dạng Chiến Dịch Tấn Công
Các email độc hại này được quan sát thấy trong khoảng thời gian từ ngày 22 tháng 12 đến ngày 26 tháng 12. Chúng tuân theo một thiết kế tối giản, bao gồm một đoạn văn bản lôi kéo ngắn gọn và một khối mã QR “ép” duy nhất.
Mục tiêu rõ ràng là thúc đẩy nạn nhân quét mã QR này càng nhanh càng tốt. Sự tối giản này cũng góp phần làm cho email trông ít đáng ngờ hơn đối với người dùng thông thường.
Phân Tích Chỉ Số Hóa Đơn (IOCs)
Mỗi mã QR trong chiến dịch tấn công mạng này đều chuyển hướng đến các tên miền phụ của lidoustoo[.]click. Đáng chú ý, những kẻ tấn công thường sử dụng tên miền của chính người nhận trong đường dẫn URL (ví dụ: hxxps[:]//<subdomain>.lidoustoo[.]click/<your-domain>/) để tạo cảm giác đáng tin cậy hơn.
Cấu trúc này giúp liên kết trông ít đáng ngờ hơn khi nhìn thoáng qua, tăng khả năng người dùng sẽ truy cập.
Danh sách các chỉ số hóa đơn (IOCs):
- Tên miền độc hại:
lidoustoo[.]click - Mẫu URL độc hại:
hxxps[:]//<subdomain>.lidoustoo[.]click/<recipient_domain>/
Thông tin này được các nhà nghiên cứu tại Internet Storm Center của SANS ghi nhận, họ đã phân tích chi tiết kỹ thuật này. Bạn có thể tham khảo thêm tại Internet Storm Center (SANS).
Tác Động và Rủi Ro Bảo Mật Đối Với Người Dùng và Tổ Chức
Các chiến dịch tấn công mạng phishing sử dụng mã QR gây ra nhiều rủi ro bảo mật nghiêm trọng. Khi người dùng quét mã QR độc hại, họ có thể bị chuyển hướng đến các trang web giả mạo được thiết kế để đánh cắp thông tin đăng nhập, thông tin cá nhân hoặc cài đặt phần mềm độc hại.
Các trang web này thường được ngụy trang giống hệt các dịch vụ hợp pháp, lừa người dùng nhập thông tin nhạy cảm. Hậu quả có thể bao gồm mất tài khoản, lừa đảo tài chính, hoặc xâm nhập sâu hơn vào hệ thống của tổ chức nếu thông tin đăng nhập doanh nghiệp bị đánh cắp.
Loại hình tấn công mạng này khai thác sự tin tưởng của người dùng vào công nghệ mã QR và khả năng bỏ qua các lớp bảo mật email cơ bản.
Chiến Lược Phòng Ngừa và Phát Hiện Xâm Nhập
Để chống lại các cuộc tấn công mạng tinh vi như thế này, các giải pháp bảo mật cần phát triển vượt ra ngoài các phương pháp phát hiện truyền thống. Bảo vệ không thể chỉ dựa vào việc các mối đe dọa “thường trông như thế nào” nữa.
Các bộ lọc email bảo mật phải được nâng cấp để thực hiện phân tích sâu rộng hơn, bao gồm:
- Phân tích DOM-aware: Cần có khả năng phân tích cấu trúc Document Object Model (DOM) của HTML. Điều này cho phép các bộ lọc hiểu được cách các yếu tố HTML được kết hợp để tạo ra hình ảnh hoặc cấu trúc chức năng, thay vì chỉ đọc các thẻ và thuộc tính riêng lẻ.
- Xử lý lưới bảng dày đặc như mã QR tiềm năng: Các hệ thống cần được huấn luyện để nhận diện các lưới bảng dày đặc, với các ô có kích thước và màu sắc tương phản, như một cấu trúc tiềm năng tạo mã QR. Điều này đòi hỏi một phân tích ngữ cảnh nâng cao.
- Gắn cờ chuyển hướng bên ngoài bất thường: Bất kỳ liên kết nào trong email, đặc biệt là những liên kết được tạo ra theo cách bất thường, chuyển hướng người dùng đến các tên miền bên ngoài không được xác thực, cần được gắn cờ và cảnh báo một cách nghiêm ngặt.
Song song đó, việc đào tạo người dùng là yếu tố then chốt trong việc giảm thiểu rủi ro bảo mật. Người dùng cần được huấn luyện để nhận thức rằng việc quét mã QR từ các email không được yêu cầu hoặc không rõ nguồn gốc cũng rủi ro như việc nhấp vào các liên kết không xác định.
Ngay cả khi mã QR trông đơn giản và rõ ràng, sự cảnh giác là cần thiết. Khuyến nghị luôn xác minh nguồn gốc của email và liên hệ trực tiếp với người gửi qua một kênh tin cậy khác trước khi thực hiện bất kỳ hành động nào được yêu cầu.
Việc kết hợp giữa các công nghệ phát hiện xâm nhập tiên tiến và chương trình nâng cao nhận thức bảo mật cho người dùng là cách tiếp cận toàn diện để đối phó với các hình thức tấn công mạng ngày càng phức tạp.
