Cảnh báo về các chiêu thức lừa đảo tinh vi qua mã QR

Ngày càng có nhiều trường hợp lừa đảo liên quan đến mã QR được báo cáo, khiến cho các chuyên gia bảo mật và các tổ chức lớn như Google phải đưa ra cảnh báo cho người dùng.

Mã QR, mặc dù nổi bật nhờ tính tiện lợi, lại trở thành mục tiêu của tội phạm mạng. Với sự phổ biến ngày càng rộng rãi, người dùng thường không cảnh giác và dễ bị mắc bẫy.

Mã QR là gì?

Mã QR (Quick Response Code) là loại mã vạch hai chiều có khả năng lưu trữ dữ liệu vượt trội hơn mã vạch truyền thống. Khi người dùng quét mã bằng điện thoại, họ có thể nhanh chóng truy cập vào các trang web, tải ứng dụng hoặc thực hiện giao dịch mà không cần phải nhập thông tin thủ công.

Công nghệ mã QR ra đời vào năm 1994, ban đầu phục vụ ngành công nghiệp ô tô ở Nhật Bản. Tuy nhiên, theo thời gian, nó đã trở thành một phần không thể thiếu trong nhiều lĩnh vực khác nhau.

Tuy nhiên, sự phổ biến của mã QR lại tạo cơ hội cho tội phạm mạng. Người dùng không phải lúc nào cũng có thể xác định chính xác mã QR dẫn đến đâu, và nếu mã đó bị thay thế bằng mã giả mạo, họ có thể vô tình bị chuyển hướng đến một trang web lừa đảo, nơi thông tin cá nhân và tài khoản ngân hàng có thể bị đánh cắp nhanh chóng.

Các hình thức lừa đảo qua mã QR

Một trong những chiêu thức phổ biến là việc thay thế mã QR hợp pháp bằng mã giả. Kẻ gian có thể in mã giả và dán lên những địa điểm thanh toán hợp pháp, khiến người dùng không nhận ra rằng họ đã truy cập vào một cổng thanh toán giả. Từ đó, thông tin thẻ tín dụng hoặc tài khoản ngân hàng của họ bị thu thập mà không hề hay biết.

Một ví dụ điển hình là vụ lừa đảo xảy ra với một phụ nữ 70 tuổi ở Mỹ, khi bà tưởng rằng mình đang thanh toán phí đỗ xe, nhưng thực tế lại bị đăng ký vào một dịch vụ trò chơi trả phí hàng tháng mà bà không hề hay biết.

Đội An ninh mạng của Cảnh sát Bắc Wales (NWP) đã phát đi cảnh báo, khuyến nghị người dân nên cẩn trọng khi quét mã QR, đặc biệt tại những địa điểm như bãi đậu xe, nhà hàng và các khu vực công cộng.

Một hình thức lừa đảo khác nguy hiểm không kém là phát tán phần mềm độc hại. Một số mã QR được thiết kế để dẫn đến các trang web chứa mã độc hoặc yêu cầu người dùng tải ứng dụng trông có vẻ vô hại nhưng thực chất lại là phần mềm gián điệp.

Tại châu Âu, kẻ gian từng phát tờ rơi giả với thông điệp cảnh báo về thời tiết khắc nghiệt, khuyến khích người dân quét mã QR để tải ứng dụng cảnh báo chính thức của chính phủ. Nhiều người đã cài đặt phần mềm độc hại mà không hay biết, cho phép tin tặc thu thập dữ liệu cá nhân từ điện thoại.

Mã QR cũng là công cụ lợi hại trong việc đánh cắp thông tin cá nhân và tấn công tài khoản mạng xã hội. Tin tặc có thể gửi email hoặc tin nhắn chứa mã QR giả, dụ người dùng quét để đăng nhập vào các ứng dụng như Signal.

Một vấn đề ngày càng phổ biến là lừa đảo liên quan đến xác thực đa yếu tố (2FA). Khi các dịch vụ tài chính và mạng xã hội khuyến khích người dùng sử dụng tính năng xác thực hai lớp, tội phạm mạng cũng tìm cách qua mặt hệ thống bảo mật này.

Họ gửi email hoặc tin nhắn giả mạo ngân hàng, yêu cầu người dùng quét mã QR để xác nhận giao dịch. Khi người dùng thực hiện, mã xác thực đó rơi vào tay tin tặc, giúp chúng chiếm đoạt tài khoản một cách dễ dàng.

Theo một nghiên cứu của Cisco Talos vào tháng 11 năm 2024, 60% số email chứa mã QR là thư rác và nhiều thư rác hiện nay đều mang theo các mối đe dọa độc hại.

"Không phải tất cả email có mã QR đều là thư rác hoặc độc hại, nhưng phần lớn trong số đó chứa các liên kết lừa đảo", Jaeson Schultz, một nhà nghiên cứu của Cisco Talos, cho biết.

Google cũng đã đưa ra cảnh báo về việc một số nhóm tội phạm đang lợi dụng tính năng kết nối thiết bị của ứng dụng Signal để tấn công nạn nhân qua mã QR.

Cách phòng tránh lừa đảo qua mã QR

Mặc dù các hình thức tấn công qua mã QR ngày càng tinh vi, người dùng vẫn có thể bảo vệ mình bằng những biện pháp đơn giản. Điều quan trọng nhất là luôn kiểm tra kỹ các liên kết trước khi nhấp vào.

Hầu hết các ứng dụng quét mã QR hiện nay đều hiển thị URL của trang web trước khi người dùng truy cập. Nếu liên kết có dấu hiệu đáng ngờ hoặc không rõ nguồn gốc, tốt nhất bạn không nên tiếp tục.

Ngoài ra, hãy kiểm tra mã QR vật lý trước khi quét. Nếu phát hiện dấu hiệu mã đã bị dán chồng lên hoặc có vết chỉnh sửa, đây có thể là mã giả. Nếu có thể, thay vì quét mã, hãy nhập trực tiếp địa chỉ trang web hoặc số tài khoản.

Một sai lầm phổ biến là tải ứng dụng từ mã QR. Thay vì làm theo hướng dẫn để cài đặt phần mềm, bạn nên truy cập trực tiếp vào App Store hoặc Google Play để tìm kiếm ứng dụng.

Khi nhận được email yêu cầu quét mã QR để thanh toán hoặc xác thực tài khoản, hãy luôn xác minh lại thông tin bằng cách truy cập trực tiếp vào trang web chính thức của dịch vụ đó. Nếu nghi ngờ, hãy gọi điện hoặc tìm kiếm thông tin trên các kênh chính thức thay vì làm theo yêu cầu trong email hoặc tin nhắn không rõ nguồn gốc.

Cuối cùng, không cần thiết phải tải các ứng dụng quét mã QR của bên thứ ba, vì chúng có thể tiềm ẩn nhiều rủi ro. Hầu hết điện thoại thông minh hiện nay đều tích hợp tính năng quét mã QR trong ứng dụng camera, giúp bảo vệ người dùng tốt hơn.

Trong thời đại tội phạm mạng ngày càng tinh vi, việc trang bị kiến thức bảo mật cơ bản là vô cùng quan trọng. Mã QR không phải là một công nghệ xấu, nhưng cách thức sử dụng và bảo vệ nó mới là yếu tố quyết định. Nếu người dùng luôn tỉnh táo và kiểm tra kỹ trước khi quét mã, mã QR vẫn là công cụ hữu ích giúp kết nối nhanh chóng trong thế giới số.