Loading theme
·Đọc 6 phút

Cướp chuyển hướng mã QR: kẻ trung gian vô hình

Khi QR của bạn chạy tốt, kẻ trung gian vô hình. Khi nó hỏng, đã quá muộn. Hiểu mô hình chuyển hướng là bước đầu để tránh.

Mỗi QR động bạn từng quét đều có sự tham gia của một bên thứ ba bạn chưa bao giờ chọn. Giữa camera điện thoại và trang đích, máy chủ chuyển hướng thuộc nhà cung cấp QR lặng lẽ chuyển tiếp yêu cầu. Hầu hết người dùng không để ý. Đó chính là mấu chốt.

Bài này giải thích cướp chuyển hướng trông ra sao trong thực tế, kẻ trung gian thực sự làm gì và điều gì đang bị đặt cược.

Trình tự chuyển hướng

Khi bạn quét QR tĩnh cho https://shop.example.com:

  1. Camera đọc QR
  2. Hệ điều hành nhận ra đó là URL
  3. Trình duyệt mở https://shop.example.com

Ba bước. Không bên thứ ba.

Khi bạn quét QR động cùng đích:

  1. Camera đọc QR, mã hoá kiểu https://qr-provider.com/r/x7n2
  2. Hệ điều hành mở URL đó
  3. qr-provider.com nhận yêu cầu, log lại, tra x7n2 trong cơ sở dữ liệu
  4. qr-provider.com phát chuyển hướng 301 hoặc 302 tới https://shop.example.com
  5. Trình duyệt đi theo chuyển hướng và đến đích thật

Năm bước. Một bên phụ trội ở bước 3 — bên bạn chưa từng đồng ý, chưa từng trả tiền và không thấy mặt.

Kẻ trung gian nhận được gì

Mỗi lần quét tạo ra một bản ghi log máy chủ chứa:

  • Dấu thời gian của lần quét
  • Địa chỉ IP của trình quét
  • Chuỗi user-agent (thiết bị, OS, trình duyệt)
  • Header Referrer (trình quét đến từ đâu, nếu có)
  • Header Accept-Language (ngôn ngữ ưu tiên)

Từ đó, nhà cung cấp suy ra: vị trí địa lý gần đúng, loại thiết bị, phiên bản OS, và cộng dồn lại là mẫu hình quét theo thời gian. Với khách hàng thì bán như "phân tích". Đồng thời cũng là giám sát những người quét mã của bạn — những người chưa từng đồng ý.

Kẻ trung gian có thể làm gì

Đổi đích đến

Đích chuyển hướng nằm trong cơ sở dữ liệu của nhà cung cấp. Chủ QR thường có thể chỉnh qua bảng điều khiển. Điều này được bán như tính năng, và với một số ca dùng thì đúng như vậy. Nhưng nó có nghĩa QR không còn là thứ nó có vẻ. Vật phẩm vật lý nói "quét để vào trang của chúng tôi". Hành vi thật là thứ cơ sở dữ liệu nhà cung cấp đang nói hôm nay.

Tắt chuyển hướng

Nếu thuê bao chủ nhân hết hạn, tài khoản đóng hoặc vi phạm điều khoản, chuyển hướng có thể bị gỡ. Mọi bản in của QR lập tức ngừng hoạt động. Người quét thấy trang lỗi chung chung hoặc 404.

Chèn trang trung gian

Một số nhà cung cấp đưa lượt quét QR động qua trang trung gian thương hiệu của họ trước chuyển hướng cuối — hiện quảng cáo, xin đồng ý, thu email. Chủ QR thường chưa ký vào chuyện đó. Nó được thêm sau, khi nhà cung cấp kiếm tiền hung hăng hơn.

Bán hoặc làm mất dữ liệu quét

Log quét có giá trị. Chúng đã được bán cho môi giới dữ liệu, dùng để huấn luyện mô hình nhắm mục tiêu quảng cáo, và — trong ít nhất vài sự cố có tài liệu — bị rò rỉ khi nhà cung cấp bị xâm phạm. Khách hàng của bạn quét thực đơn; giờ dấu vân tay thiết bị của họ nằm trong tập dữ liệu rò rỉ.

Vì sao người dùng không bao giờ để ý

Trình duyệt hiện đại tự đi theo chuyển hướng. Không mở công cụ nhà phát triển thì không thấy bước nhảy trung gian. Lượt quét cảm giác tức thời vì chuyển hướng nhanh (khi còn chạy). Với người dùng, QR động hành xử y hệt QR tĩnh.

Cho tới khi máy chủ chuyển hướng gãy. Lúc đó trải nghiệm tách nhánh rõ rệt — nhưng tới thời điểm đó QR đã in trên cả ngàn bề mặt.

Hệ quả bảo mật

Máy chủ chuyển hướng là điểm đổ vỡ duy nhất cho mọi QR phụ thuộc vào nó. Ba bề mặt tấn công đáng cân nhắc:

  • Chiếm tài khoản. Nếu kẻ tấn công có quyền truy cập tài khoản chủ QR tại nhà cung cấp, họ có thể chuyển hướng mọi QR tới trang lừa đảo. Khách hàng quét mã vật lý, mong chờ thực đơn; họ hạ cánh xuống bản nhái trang đăng nhập đi thu thập thông tin.
  • Xâm phạm nhà cung cấp. Nếu chính nhà cung cấp QR bị hack, mọi QR động đang lưu hành tiềm năng bị trỏ sang nội dung do kẻ tấn công điều khiển. Không phải lý thuyết — công bố xâm phạm đã có ở nhiều nhà cung cấp QR-as-a-service.
  • Sự cố DNS hoặc TLS ở nhà cung cấp. Nếu domain chuyển hướng không còn resolve, hay chứng chỉ TLS hết hạn, mọi QR phụ thuộc đều hỏng. Không có kẻ ác — chỉ là rủi ro vận hành bình thường mà chủ QR không kiểm soát.

QR tĩnh không có bất kỳ chế độ hỏng nào trong số đó, vì không có máy chủ bên thứ ba nằm giữa quét và đích.

Làm sao kiểm tra mình có đang quét chuyển hướng

Dùng trình quét hiện nội dung đã giải mã trước khi đi — trình quét web của chúng tôi làm thế. Quét QR và xem URL đã giải mã. Nếu là đích thật, QR tĩnh. Nếu là thứ kiểu qrco.de/xyz hay domain ngắn lạ, đó là chuyển hướng — và có bên thứ ba ngồi ở giữa.

Lựa chọn thay thế

Hãy tạo QR mã hoá trực tiếp đích đến. Không máy chủ bên thứ ba, không log chuyển hướng, không thuê bao. So sánh đầy đủ trong QR tĩnh vs QR động, và vì sao mô hình trung gian chi phối ngành trong Sự thật về lừa đảo mã QR.

Hoặc đơn giản tạo QR tĩnh và hết lo.

Sẵn sàng cho mã QR tĩnh?

Tạo ngay trong trình duyệt — không tài khoản, không theo dõi, không thuê bao. Thứ bạn tạo thuộc về bạn.

Mở trình tạoMã QR URLMã QR Wi-Fi

Bài liên quan

Sự thật về lừa đảo mã QR: các trình tạo "miễn phí" moi tiền người dùng ra sao

Mã QR động cho phép nhà cung cấp theo dõi, chỉnh sửa, tắt và kiếm tiền từ mã của bạn sau khi bạn đã in. Đây là cách chiêu trò vận hành và cách tránh nó.

QR tĩnh vs QR động: điều mọi người dùng cần biết

Một bên mã hoá nội dung của bạn; bên kia mã hoá một chuyển hướng. Chính một khác biệt đó quyết định QR của bạn còn hoạt động sau năm năm hay không.

Bẫy thuê bao QR: nhà cung cấp giữ link của bạn làm con tin ra sao

Mồi là QR miễn phí. Lưỡi câu là nó chỉ chạy khi bạn còn đóng tiền. Bẫy sập vào ngày bạn đã in mười nghìn bản.

5 cờ đỏ cho biết trình tạo QR của bạn là cái bẫy

Năm tín hiệu tách các công cụ QR trung thực khỏi trình tạo mặc định động sẽ đòi tiền thuê sau này hoặc tắt mã của bạn.