Bài học rút ra chính
- Mã QR nguy hiểm như các liên kết độc hại trong email.
- Những mã này chứa các liên kết có thể mở ứng dụng, bắt đầu cuộc gọi điện thoại, chia sẻ vị trí của bạn, v.v.
- Bảo vệ bản thân bằng cách tránh mã QR và thay vào đó sử dụng liên kết.
Thay vì chọn thực đơn nhà hàng bẩn thỉu bằng tay không, chúng tôi đã quen với việc vệ sinh mã QR. Nhưng những thứ đó có thể bẩn hơn một chút và nguy hiểm hơn bạn tưởng rất nhiều.
Vào năm 2015, một người yêu nước sốt cà chua người Đức đã quét mã QR trên chai Heinz của họ và được gửi thẳng đến một trang web khiêu dâm. Điều đó có thể đáng xấu hổ, nhưng có những hậu quả tồi tệ hơn nếu quét mã QR một cách mù quáng. Theo dịch vụ quản lý mật khẩu 1Password, mã QR có thể kích hoạt cuộc gọi điện thoại, phản ánh vị trí của bạn, bắt đầu cuộc gọi điện thoại làm lộ ID người gọi của bạn, v.v. Vậy chúng ta có thể làm gì với nó?
"Tất cả chúng ta đều có điều kiện quét mã QR để duyệt menu hoặc thậm chí thanh toán hóa đơn và tội phạm mạng hiện đang lợi dụng điều này thông qua việc sử dụng mã QR độc hại", Craig Lurey, chuyên gia an ninh mạng và cộng sự -người sáng lập Keeper Security, nói với Lifewire qua email. "Vì vậy, những gì có thể trông giống như một mã để thanh toán cho một đồng hồ đậu xe và trang web sẽ trông cực kỳ hợp pháp, bạn thực sự đang nhập chi tiết thẻ tín dụng của mình trực tiếp vào cơ sở dữ liệu của kẻ trộm."
Liên kết xấu
Mã QR chỉ là một lối tắt dẫn đến một liên kết có thể được camera trên điện thoại của bạn đọc và sau đó được giải mã. Tất cả chúng ta đã được huấn luyện không bao giờ nhấp vào liên kết trong email, ngay cả khi nó có vẻ hợp pháp. Nhưng các liên kết mã QR cũng nguy hiểm không kém và có thêm một vấn đề là bạn không thể nhìn thấy chúng dẫn đến đâu cho đến khi bạn quét chúng.
Khi chúng ta nghĩ đến các liên kết, chúng ta nghĩ đến các URL đưa chúng ta đến các trang web. Và trong trường hợp vụ hack phim khiêu dâm sốt cà chua Heinz, đó là vấn đề - Heinz để tên miền mất hiệu lực, và ai đó đã mua nó, sau đó tải nó với những bức ảnh bẩn thỉu. URL rất nguy hiểm, như minh họa lừa đảo qua máy đo bãi đậu xe của Lurey, nhưng các liên kết có thể làm được nhiều hơn thế.
"Một trong những vấn đề lớn nhất là, không giống như các trang web, các liên kết QR tới URL rút gọn hiếm khi xác định được tên doanh nghiệp", Monti Knode, cựu chỉ huy của Nhóm Hoạt động Không gian mạng số 67 của USAF, nói với Lifewire qua email. "Một người nhấp vào nó và cho rằng nó sẽ cung cấp thực đơn nhà hàng, chương trình hội nghị hoặc thậm chí là liên kết từ thiện và nó rất có thể là một trang web giả mạo hoặc một liên kết độc hại tải mã xuống máy tính hoặc thiết bị di động của bạn."
Trên điện thoại của chúng tôi, các liên kết có thể kích hoạt ứng dụng. Ví dụ: một liên kết Google Maps sẽ mở ra trong ứng dụng bản đồ. Các liên kết cũng có thể kích hoạt các cuộc gọi điện thoại, thêm liên hệ vào sổ địa chỉ của bạn (và do đó, các cuộc gọi và email trong tương lai dường như là hợp pháp), chúng có thể chia sẻ vị trí của bạn và hơn thế nữa.
Một trò lừa đảo khéo léo liên quan đến việc không sửa đổi tốt mã QR hiện có, hợp pháp và sử dụng mã đó để chuyển hướng nạn nhân. Nhà quảng cáo Robert Barrows đã chia sẻ một câu chuyện về Công cụ đánh dấu nâng cao video của anh ấy.
"Tôi nhận ra rằng có thể có một số vấn đề với mã QR trên bia mộ", Barrows nói với Lifewire qua email. "Điều gì sẽ xảy ra nếu mực trên mã QR giảm dần theo thời gian? Bạn sẽ kết nối với một trang web hoàn toàn khác? Điều gì sẽ xảy ra nếu ai đó thay đổi mã QR bằng một điểm đánh dấu?"
Điều tương tự cũng có thể xảy ra với áp phích quảng cáo, menu hoặc bất kỳ mã QR nào.
Bảo vệ bản thân
Bước một trong việc bảo vệ bản thân là phải nhận thức được. Không bao giờ quét mã QR trừ khi bạn chắc chắn rằng mã đó an toàn. Điều đó thực sự có nghĩa là, đừng bao giờ quét mã QR.
Nhưng nếu bạn phải quét để đăng ký vào nhà hàng hoặc quán bar hoặc xem thực đơn, trước tiên hãy đảm bảo rằng mã đó không bị giả mạo hoặc được che bằng nhãn dán của mã QR khác. Một mẹo là tắt tính năng quét mã QR tự động trong cài đặt của điện thoại, nếu có thể. Nhưng thực sự, cách bảo vệ tốt nhất là hãy cẩn thận.
"Khi có thể, giống như với các liên kết lừa đảo tiềm ẩn, các khuyến nghị là truy cập trực tiếp vào trang web của nhà cung cấp để lấy thông tin bạn đang tìm kiếm", Dave Cundiff, CISO của công ty an ninh mạng Cyvatar, nói với Lifewire qua email. "Trong hầu hết các trường hợp, thông tin được lưu trữ trên web và có thể truy cập trực tiếp trên trang web của nhà cung cấp ở đâu đó."
Nếu liên kết không có sẵn, đừng quét nó. Cách này ít tiện lợi hơn nhưng không bất tiện bằng việc nói hàng ngày hoặc hàng tuần để giải quyết sự cố của một liên kết độc hại.
