-
09/04/2020
-
108
-
972 bài viết
Chiến dịch lừa đảo Scanception lợi dụng mã QR trong tệp PDF để phát tán mã độc
Gần đây, nhóm nghiên cứu Cyble Research & Intelligence Labs (CRIL) đã phát hiện một chiến dịch lừa đảo quy mô toàn cầu có tên Scanception, sử dụng các file PDF có gắn mã QR để đánh lừa người dùng quét mã và từ đó chiếm quyền tài khoản, kể cả khi đã bật xác thực đa yếu tố (MFA).
Chiến dịch Scanception chưa được quy về một nhóm cụ thể, nhưng rõ ràng là được vận hành bởi một nhóm tội phạm mạng chuyên nghiệp. Họ tận dụng các email giả mạo kèm file PDF được thiết kế rất giống tài liệu thật, như: Thông báo lương, chăm sóc khách hàng, đánh giá dịch vụ, nhận ưu đãi, sổ tay nhân sự hay thông báo nội bộ... Mục tiêu là lừa người nhận quét mã QR được đặt khéo léo ở cuối tài liệu.
Điểm độc đáo và nguy hiểm của chiến dịch này là tấn công diễn ra ngoài hệ thống doanh nghiệp. Khi người nhận dùng điện thoại cá nhân quét mã, họ bị chuyển hướng tới các trang web lừa đảo giả danh Microsoft 365. Các phần mềm bảo mật máy tính, firewall, hay hệ thống kiểm soát email… hoàn toàn bị “vượt mặt” vì mã độc không thực thi trên thiết bị làm việc.
CRIL đã phân tích hơn 600 file PDF trong chiến dịch này và thấy rằng 80% không bị phát hiện bởi bất kỳ công cụ antivirus nào. Mỗi mã QR đều dẫn tới một chuỗi chuyển hướng phức tạp, thường dẫn các trang trung gian uy tín, quen thuộc, như: Google, YouTube, Bing, Medium... trước khi chuyển sang website lừa đảo và che giấu đường dẫn thật.
Khi người dùng đăng nhập, một tấn công kiểu “kẻ ở giữa” (Adversary-in-the-Middle - AITM) sẽ ghi lại thông tin đăng nhập và cả mã xác thực MFA theo thời gian thực. Hacker sau đó có thể chiếm luôn quyền truy cập tài khoản như thể họ là người dùng thật.
Chiến dịch Scanception đã lan tới hơn 50 quốc gia, với mục tiêu là các ngành nghề quan trọng, như: Công nghệ, tài chính, y tế và sản xuất. Điều đáng sợ là cách họ “cá nhân hóa” nội dung email và tài liệu sao cho giống với môi trường làm việc của từng tổ chức, tăng khả năng người dùng “sập bẫy”.
Nhiều người vẫn có tâm lý “quét mã QR cho nhanh”, đặc biệt khi tài liệu nhìn rất giống thật và yêu cầu “quét để xem phần tiếp theo” hay “xác nhận thông tin”. Đồng thời, điện thoại cá nhân đa phần thường không được bảo vệ bởi các lớp kiểm soát bảo mật, khiến nó trở thành miếng mồi béo bở.
Chiến dịch Scanception là minh chứng rõ ràng rằng tội phạm mạng đang không ngừng tiến hóa và các phương pháp bảo mật truyền thống không còn đủ. Việc tin vào logo, định dạng tài liệu hay cả mã xác thực MFA đã không còn là "lá chắn an toàn".
Chiến dịch "Scanception" khai thác lỗ hổng trong nhận thức người dùng và chính thao tác bỏ lọc email truyền thống, đánh lừa người dùng quét QR code trong các file PDF. Kỹ thuật tinh vi, bypass được MFA, khó phát hiện và đang lan rộng toàn cầu. Các chuyên gia WhiteHat khuyến nghị:
Chiến dịch Scanception chưa được quy về một nhóm cụ thể, nhưng rõ ràng là được vận hành bởi một nhóm tội phạm mạng chuyên nghiệp. Họ tận dụng các email giả mạo kèm file PDF được thiết kế rất giống tài liệu thật, như: Thông báo lương, chăm sóc khách hàng, đánh giá dịch vụ, nhận ưu đãi, sổ tay nhân sự hay thông báo nội bộ... Mục tiêu là lừa người nhận quét mã QR được đặt khéo léo ở cuối tài liệu.
Điểm độc đáo và nguy hiểm của chiến dịch này là tấn công diễn ra ngoài hệ thống doanh nghiệp. Khi người nhận dùng điện thoại cá nhân quét mã, họ bị chuyển hướng tới các trang web lừa đảo giả danh Microsoft 365. Các phần mềm bảo mật máy tính, firewall, hay hệ thống kiểm soát email… hoàn toàn bị “vượt mặt” vì mã độc không thực thi trên thiết bị làm việc.
CRIL đã phân tích hơn 600 file PDF trong chiến dịch này và thấy rằng 80% không bị phát hiện bởi bất kỳ công cụ antivirus nào. Mỗi mã QR đều dẫn tới một chuỗi chuyển hướng phức tạp, thường dẫn các trang trung gian uy tín, quen thuộc, như: Google, YouTube, Bing, Medium... trước khi chuyển sang website lừa đảo và che giấu đường dẫn thật.
Khi người dùng đăng nhập, một tấn công kiểu “kẻ ở giữa” (Adversary-in-the-Middle - AITM) sẽ ghi lại thông tin đăng nhập và cả mã xác thực MFA theo thời gian thực. Hacker sau đó có thể chiếm luôn quyền truy cập tài khoản như thể họ là người dùng thật.
Chiến dịch Scanception đã lan tới hơn 50 quốc gia, với mục tiêu là các ngành nghề quan trọng, như: Công nghệ, tài chính, y tế và sản xuất. Điều đáng sợ là cách họ “cá nhân hóa” nội dung email và tài liệu sao cho giống với môi trường làm việc của từng tổ chức, tăng khả năng người dùng “sập bẫy”.
Nhiều người vẫn có tâm lý “quét mã QR cho nhanh”, đặc biệt khi tài liệu nhìn rất giống thật và yêu cầu “quét để xem phần tiếp theo” hay “xác nhận thông tin”. Đồng thời, điện thoại cá nhân đa phần thường không được bảo vệ bởi các lớp kiểm soát bảo mật, khiến nó trở thành miếng mồi béo bở.
Chiến dịch Scanception là minh chứng rõ ràng rằng tội phạm mạng đang không ngừng tiến hóa và các phương pháp bảo mật truyền thống không còn đủ. Việc tin vào logo, định dạng tài liệu hay cả mã xác thực MFA đã không còn là "lá chắn an toàn".
Chiến dịch "Scanception" khai thác lỗ hổng trong nhận thức người dùng và chính thao tác bỏ lọc email truyền thống, đánh lừa người dùng quét QR code trong các file PDF. Kỹ thuật tinh vi, bypass được MFA, khó phát hiện và đang lan rộng toàn cầu. Các chuyên gia WhiteHat khuyến nghị:
- Cảnh báo người dùng KHÔNG quét QR trong PDF/email lạ, trừ khi rõ nguồn.
- Chặn truy cập URL redirect từ QR (dạng: google.com/url?q=...).
- Triển khai sandbox hoặc ATP cho file PDF email từ xa.
- Trang bị phần mềm bảo mật trên cả thiết bị cá nhân nếu được sử dụng cho công việc.
- Tăng cường giám sát hoạt động truy cập bất thường ngay cả khi đăng nhập có MFA.
- Cập nhật rule SIEM/EDR phát hiện tệp PDF chứa QR.
- Tổ chức cần huấn luyện về chiến dịch phishing qua QR cho bộ phận nhân sự, tài chính, helpdesk.