Mã QR an toàn như thế nào? Cách quét chúng một cách an toàn
Mã QR phổ biến vì chúng có thể được đọc nhanh chóng bằng các thiết bị kỹ thuật số và làm cho nhiều thứ trở nên thiết thực hơn. Bạn có thể duyệt các trang web, tải xuống tệp và thậm chí kết nối với mạng Wi-Fi bằng cách quét mã QR.
Nhưng thật không may, việc sử dụng mã QR cũng tiềm ẩn các vấn đề bảo mật.
Mục Lục
Nguy hiểm của mã QR là gì?
Ai đó có thể sử dụng mã QR để tấn công cả hệ thống tự động và tương tác của con người. Để đề phòng, hãy xem xét một vài ví dụ.
Tấn công tiêm SQL
SQL Injection là một vectơ tấn công mà tin tặc sử dụng để tấn công các ứng dụng dựa trên cơ sở dữ liệu. Với phương pháp này, chúng nhằm đánh cắp dữ liệu trong cơ sở dữ liệu.
Để tiếp cận vấn đề này từ góc độ mã QR, hãy tưởng tượng một kịch bản trong đó phần mềm giải mã QR kết nối với cơ sở dữ liệu và sử dụng thông tin mã QR để thực hiện truy vấn. Ngoài ra, có một lỗ hổng SQL injection. Trong trường hợp như vậy, trình đọc mã QR có thể chạy truy vấn của bạn mà không cần xác minh xem truy vấn đó có đến từ nguồn được xác thực hay không. Do đó, hacker có thể đánh cắp thông tin trong cơ sở dữ liệu.
Điều này không khó khăn cũng không phức tạp như vẻ ngoài của nó. Khi bạn quét mã QR, một liên kết sẽ được hiển thị trên trình đọc mã QR. Bằng cách sửa đổi các tham số URL, có thể thực hiện các cuộc tấn công như SQL injection. Tất nhiên, URL mà máy quét mã QR chuyển hướng của bạn có thể cho phép bạn thực hiện một vectơ tấn công như vậy.
Tiêm lệnh
Trong phương pháp chèn lệnh, kẻ tấn công có thể chèn mã HTML để sửa đổi nội dung của trang. Bất cứ khi nào người dùng truy cập trang đã sửa đổi, trình duyệt web sẽ diễn giải mã, dẫn đến việc thực thi các lệnh độc hại trên thiết bị mà người dùng quét mã QR. Nói cách khác, đây là tình huống mà đầu vào từ mã QR được sử dụng làm tham số dòng lệnh.
Trong trường hợp như vậy, kẻ tấn công có thể chỉ cần lợi dụng tình huống bằng cách thay đổi mã QR và chạy các lệnh tùy ý trên máy. Kẻ tấn công có thể sử dụng phương pháp này để triển khai rootkit, phần mềm gián điệp và tấn công DoS, cũng như kết nối với một máy ở xa và lấy quyền truy cập vào tài nguyên hệ thống.
Kỹ thuật xã hội
Kỹ thuật xã hội là tên chung để thao túng mọi người để có quyền truy cập trái phép vào thông tin bí mật của họ. Tin tặc sử dụng phương pháp này để đánh cắp thông tin của bạn hoặc đột nhập vào hệ thống. Lừa đảo là một trong những chiến thuật được sử dụng phổ biến nhất.
Với lừa đảo, những người được nhắm mục tiêu buộc phải nhấp hoặc truy cập các trang web giả mạo. Mã QR thực sự hữu ích cho công việc này vì người dùng không thể hiểu trang web nào sẽ truy cập bằng cách nhìn vào mã QR.
Hãy tưởng tượng bạn đăng nhập vào một trang trông giống như một trang như Twitter và có một URL tương tự. Nếu nhập thông tin đăng nhập vào đây nhầm với Twitter, bạn có thể mất tài khoản vào tay tin tặc.
Cách tránh mã QR không an toàn
Khi bắt đầu các biện pháp có thể được thực hiện để chống lại các cuộc tấn công do tin tặc thực hiện bằng mã QR, người được coi là mắt xích yếu nhất trong chuỗi bảo mật sẽ là người đầu tiên. Nói cách khác, người dùng nên cẩn thận hơn trước các cuộc tấn công kỹ thuật xã hội và không nên quét mã QR không rõ nguồn gốc. Vì mọi người không thể đọc mã QR nên có thể khó biết nên tin vào đâu. Đây là lý do tại sao bạn nên sử dụng trình đọc mã QR an toàn.
Luôn cập nhật hệ điều hành của thiết bị di động của bạn và sử dụng ứng dụng để đọc mã QR một cách an toàn. Nhiều thiết bị di động hiện đại đi kèm với trình đọc mã QR tích hợp trong máy ảnh của họ. Tuy nhiên, việc có một ứng dụng mã QR trên thiết bị di động cho phép người dùng kiểm tra URL trước khi truy cập sẽ cho phép họ xác minh nguồn gốc của URL mà họ sắp truy cập. Không thể kiểm tra bảo mật này đối với các mã QR không cung cấp bất kỳ thông tin đi kèm nào. Do đó, tất cả các ứng dụng đọc mã QR được yêu cầu hiển thị URL đã giải mã cho người dùng trước khi mở liên kết và yêu cầu họ xác nhận.
Điều tra phần mềm tạo mã QR
Việc xác thực trình tạo mã QR và kiểm tra tính toàn vẹn của dữ liệu sẽ đóng vai trò là biện pháp chống lại các cuộc tấn công lừa đảo, tiêm nhiễm SQL và tiêm lệnh có thể xảy ra. Điều quan trọng là phải chuẩn hóa và tích hợp chữ ký số để xác thực mã QR và để xác minh xem mã QR có bị thay đổi hay không. Chữ ký số làm phức tạp đáng kể các cuộc tấn công dựa trên mã QR vì chúng yêu cầu kẻ tấn công sửa đổi tổng kiểm tra và do đó làm thay đổi quy trình xác minh.
Bạn không nên dựa vào vô số trình tạo mã QR mà bạn có thể tìm thấy trên internet. Hãy chú ý đến công nghệ và công ty đằng sau những máy phát điện này.
Cảnh giác với các URL không an toàn
Chuyển hướng khách truy cập đến các URL không đáng tin cậy là một trong những cách tấn công mã QR phổ biến nhất, có thể dẫn đến nỗ lực lừa đảo và truyền phần mềm độc hại như vi rút, sâu máy tính và trojan. Để đảm bảo độ tin cậy của tài liệu trực tuyến trước các cuộc tấn công như vậy, điều quan trọng là phải xác thực tính hợp pháp của nội dung bằng cách xác định xem chương trình đọc mã QR có thể phân biệt giữa URL giả và URL thật hay không.
Cẩn thận với mã thực thi
Để ngăn mã thực thi hoặc lệnh được quét bởi mã QR truy cập vào tài nguyên của thiết bị quét, cần phải cách ly nội dung của mã QR. Việc cô lập nội dung có thể giúp ngăn chặn các cuộc tấn công như xâm phạm quyền riêng tư, truy cập thông tin cá nhân và sử dụng thiết bị quét để phát hiện các cuộc tấn công như DDoS và Botnet. Phương pháp đơn giản nhất là chặn quyền truy cập của các ứng dụng, bao gồm ứng dụng quét mã QR, vào tài nguyên của thiết bị quét (chẳng hạn như máy ảnh, danh bạ, ảnh, thông tin vị trí, v.v.).
Sử dụng mã QR, nhưng cẩn thận
Với sự phát triển nhanh chóng của công nghệ, mã QR đã trở thành một phần trong cuộc sống hàng ngày của chúng ta. Bạn có thể giảm rủi ro liên quan đến mã QR bằng cách sử dụng chúng một cách khôn ngoan và thực hiện các biện pháp.
Hãy thận trọng khi quét mã QR gặp phải trên Internet hoặc trong môi trường thực tế. Sử dụng các chương trình có uy tín và giữ cho thiết bị của bạn được bảo vệ bằng phần mềm chống vi-rút cập nhật. Bạn cũng nên không quét mã QR từ các trang web đáng ngờ hoặc không đáng tin cậy và không cung cấp thông tin cá nhân.