Rủi ro bảo mật đằng sau các mã QR công cộng

Một mã QR dán ở cột điện hay bàn ăn thực chất là một hộp đen kỹ thuật số. Mắt người không thể phân biệt được đâu là đường dẫn an toàn, đâu là một cái bẫy lừa đảo được kẻ xấu dán đè lên một cách tinh vi.

Khi quét, bạn đang cấp quyền cho trình duyệt truy cập thẳng vào một địa chỉ lạ. Kẻ tấn công chỉ cần thay đổi đích đến để chiếm quyền điều khiển tài khoản hoặc âm thầm cài mã độc vào thiết bị của bạn trong tích tắc.

Sự tiện lợi thường đi kèm với lỗ hổng. Mỗi lần quét một mã QR công cộng không rõ nguồn gốc là một lần bạn đang đặt toàn bộ dữ liệu cá nhân vào một canh bạc đầy rủi ro.

Ủa, vậy có cách nào để 'soi' cái ruột của nó trước khi mở không?

Có chứ, hầu hết các ứng dụng quét hiện nay đều có tính năng "xem trước". Thay vì tự động truy cập, nó sẽ hiển thị địa chỉ URL thô để bạn thẩm định trước khi thực hiện bước tiếp theo.

Hãy đặc biệt cảnh giác với các đường link rút gọn như bit.ly hay tinyurl. Đây là những "chiếc mặt nạ" phổ biến nhất mà kẻ tấn công dùng để che giấu tên miền thật sự đang cố gắng đánh cắp thông tin của bạn.

Nguyên tắc vàng là luôn kiểm tra tên miền chính. Nếu bạn đang ở cửa hàng A mà mã QR lại dẫn tới một địa chỉ lạ lẫm, hãy dừng lại ngay. Sự cẩn trọng trong 3 giây đó chính là bức tường lửa mạnh mẽ nhất.

Lỡ chúng nó làm cái tên miền nhìn y chang trang thật thì sao?

Đó là bẫy 'tên miền giả mạo'. Kẻ xấu chỉ cần thay đổi một ký tự nhỏ cực khó nhận ra, như biến chữ 'o' thành số '0' hoặc chữ 'l' thành số '1'.

Thậm chí, chúng dùng ký tự lạ nhìn y hệt chữ Latinh để đánh lừa. Bạn tưởng đang ở trang ngân hàng, nhưng thực chất là một 'phòng thẩm vấn' ảo để đánh cắp mật khẩu.

An toàn nhất là không nhập thông tin nhạy cảm từ link QR. Hãy tự gõ lại địa chỉ chính thức lên trình duyệt khi cần giao dịch quan trọng.

Khoan, làm sao ký tự lạ lại trông y hệt chữ bình thường được?

Đó là kỹ thuật tấn công đồng hình. Kẻ xấu lợi dụng bảng mã quốc tế để tìm ra những chữ cái 'sinh đôi' về ngoại hình nhưng khác nhau về mã số kỹ thuật.

Ví dụ, chữ 'a' tiếng Việt và chữ 'а' tiếng Nga trông y hệt nhau, nhưng máy tính hiểu chúng là hai địa chỉ khác hẳn. Một cái dẫn về ngân hàng thật, cái kia dẫn tới ổ của hacker.

Vì mắt người khó phân biệt, các trình duyệt hiện đại sẽ cảnh báo nếu phát hiện tên miền có sự pha trộn ký tự bất thường để bảo vệ bạn.

Thế sao người ta lại tạo ra nhiều ký tự giống nhau đến vậy?

Mục đích ban đầu rất nhân văn: giúp mọi người toàn cầu giao tiếp bằng ngôn ngữ riêng. Hệ thống Unicode ra đời để gom mọi bảng chữ cái vào một bộ mã chung duy nhất.

Sự trùng lặp ngoại hình là tác dụng phụ khó tránh. Khi mã hóa hàng chục nghìn ký tự từ hàng trăm nền văn hóa, việc các chữ cái trông giống nhau trở thành kẽ hở kỹ thuật.

Hacker chỉ lợi dụng sự đa dạng này để biến một tiêu chuẩn kết nối thế giới thành công cụ lừa đảo tinh vi.