Dấu hiệu bạn đang quét phải QR độc hại khi chuyển khoản, tải tài liệu, nguy cơ bị chiếm đoạt tài sản
“Quishing” là một mối đe dọa mới trong thời đại số, tận dụng sự phổ biến của mã QR để lừa đảo người dùng.
Ngày 8/6/2025, Tạp chí Người đưa tin đã đăng tải bài viết với tiêu đề: "Dấu hiệu bạn đang quét phải QR độc hại khi chuyển khoản, tải tài liệu, nguy cơ bị chiếm đoạt tài sản". Nội dung như sau:
Trong thời đại số hóa, mã QR đã trở thành công cụ phổ biến trong các giao dịch hàng ngày như thanh toán, truy cập thông tin và xác thực tài khoản. Tuy nhiên, chính sự tiện lợi này đang bị các đối tượng xấu lợi dụng để thực hiện hành vi lừa đảo với hình thức mới mang tên “Quishing”.
“Quishing” là sự kết hợp giữa “QR code” (một loại mã vạch hai chiều, thường có hình vuông) và “phishing” (lừa đảo trực tuyến). Thuật ngữ ngày dùng để chỉ thủ đoạn sử dụng mã QR độc hại để dẫn dụ người dùng đến các website giả mạo, cài đặt phần mềm độc hại hoặc thực hiện các giao dịch không mong muốn.
Nạn nhân của “Quishing” có thể đối mặt với nhiều hậu quả nghiêm trọng như mất tiền từ tài khoản ngân hàng hoặc ví điện tử, bị đánh cắp thông tin cá nhân, thông tin thẻ tín dụng, thiết bị bị cài mã độc, mất quyền kiểm soát…
Các chiêu thức lừa đảo qua mã QR
Giả mạo mã QR tại nơi công cộng
Kẻ gian dán đè mã QR giả lên mã thật tại các địa điểm công cộng như nhà hàng, bến xe, cây ATM… Khi người dùng quét mã để thanh toán sẽ bị chuyển hướng đến website giả mạo hoặc tài khoản của kẻ lừa đảo, dẫn đến mất tiền.
Gửi mã QR độc hại qua tin nhắn, email
Đối tượng lừa đảo giả danh ngân hàng/tổ chức tài chính, dịch vụ giao hàng hoặc cơ quan tổ chức uy tín, gửi thông báo khẩn kèm mã QR yêu cầu xác minh thông tin. Khi người dùng quét mã, họ bị dẫn đến website giả để đánh cắp tài khoản, mật khẩu hoặc lừa chuyển tiền.
In mã QR trên sản phẩm và tài liệu giả
Một số đối tượng in mã QR độc hại trên hàng giả, vé số ảo hoặc tài liệu lừa đảo, lừa người dùng quét mã để truy cập các website nguy hiểm hoặc yêu cầu cung cấp thông tin cá nhân.
Tấn công trung gian qua mã QR
Kẻ gian can thiệp vào quá trình quét mã, chuyển hướng người dùng truy cập qua một website lạ để thu thập dữ liệu trước khi đến trang thật, nhằm đánh cắp thông tin cá nhân hoặc tài khoản ngân hàng.
Một số khuyến nghị an toàn, bảo mật bạn đừng nên bỏ qua
Cơ quan chức năng khuyến cáo người dân nâng cao cảnh giác, chỉ đăng ký tham gia và chuyển tiền khi đã tìm hiểu rõ thông tin của đơn vị tổ chức. Khi phát hiện dấu hiệu bị lừa đảo chiếm đoạt tài sản, cần nhanh chóng trình báo cơ quan công an nơi gần nhất và phản ánh qua ứng dụng VNeID.
Ngoài ra, nhằm đảm bảo an toàn trong quá trình sử dụng các dịch vụ tài chính, khách hàng cần chú ý tuân thủ một số nguyên tắc quan trọng sau:
Chỉ quét mã QR từ nguồn đáng tin cậy, chẳng hạn như: website chính thức của ngân hàng, tổ chức tài chính, tài liệu in ấn rõ ràng hoặc các địa điểm giao dịch được xác thực.
Không quét mã QR dán tại nơi công cộng trong trường hợp mã có dấu hiệu bị dán đè, tróc mép, mờ thông tin hoặc không rõ nguồn gốc.
Kiểm tra kỹ đường dẫn sau khi quét mã QR: Nếu đường link xuất hiện có dấu hiệu bất thường như chứa ký tự lạ, tên miền không quen thuộc (.xyz, .top, .info…) hoặc giả mạo tên thương hiệu, người dùng nên dừng thao tác ngay lập tức.
Tuyệt đối không cung cấp các thông tin nhạy cảm như mã OTP, mật khẩu đăng nhập, số thẻ ngân hàng hoặc thông tin cá nhân khác nếu chưa xác minh được độ tin cậy của website được chuyển hướng đến sau khi quét mã.
Trước đó, báo điện tử VTV đã đăng tải bài viết với tiêu đề: "Quét mã QR lạ có thể lộ thông tin tài khoản ngân hàng". Cụ thể như sau:
Cuối tháng 2 vừa qua, Google thông báo sẽ triển khai mã QR để thay thế mã xác thực hai yếu tố qua SMS cho người dùng Gmail trong những tháng tới. Bản nâng cấp bảo mật này nhận được nhiều sự ủng hộ từ cộng đồng. Tuy nhiên, điều này cũng dấy lên những lo ngại về độ an toàn của mã QR, đặc biệt là khi xuất hiện nhiều cảnh báo từ lực lượng cảnh sát về các cuộc tấn công bằng mã QR.
Mã QR có an toàn không?
Mã QR (Quick Response Code) là một loại mã vạch có thể lưu trữ nhiều dữ liệu nhiều hơn so với các mã vạch quen thuộc khác như trên các sản phẩm mua sắm, nhãn bưu kiện... Đây là một dạng mã vạch hai chiều, cho phép truy cập ngay vào một trang web, tải ứng dụng hoặc thực hiện giao dịch khi quét bằng điện thoại thông minh mà không cần nhập liệu thủ công.
Được phát triển từ năm 1994 cho ngành công nghiệp ô tô Nhật Bản, mã QR đóng vai trò là một phương pháp mã hóa thông tin theo cả hướng ngang và hướng dọc. Đây là sự kết hợp của một số thành phần bao gồm các mẫu tìm kiếm nằm ở góc trên cùng bên trái, trên cùng bên phải và dưới cùng bên trái, các ô vuông lớn, cho phép thiết bị quét căn chỉnh cấu hình phù hợp. Những ô vuông đen trắng thực chất là các mô-đun dữ liệu mã hóa thông tin ở định dạng nhị phân và mã sửa lỗi, cho phép thiết bị quét thành công ngay cả khi một phần tư khối mã không thể đọc được. Khi được quét, thường là bằng camera điện thoại thông minh, mã QR sẽ được giải mã, thông tin nhúng được trích xuất và thường là cung cấp URL, có thể nhấn vào để kết nối.
Tuy nhiên, có một vấn đề lớn là không phải lúc nào người dùng cũng biết rõ đường liên kết trên mã QR sẽ dẫn đến đâu. Chính vì vậy, mã QR trở thành một "miếng bánh béo bở" đối với những kẻ lừa đảo.
Nghiên cứu của Cisco Talos Threat Intelligence vào tháng 11/2024 cho thấy, 60% email có chứa mã QR là thư rác và phần lớn thư rác hiện nay đều đi kèm các mối đe dọa độc hại.
"Không phải tất cả các email có mã QR bên trong đều là thư rác hoặc độc hại" - Jaeson Schultz, một nhà nghiên cứu của Cisco Talos, cho biết - "Nhiều người dùng email gửi mã QR như một phần trong chữ ký email của họ hoặc bạn cũng có thể tìm thấy các email hợp lệ có chứa mã QR được sử dụng để đăng ký sự kiện".
Tuy nhiên, theo chuyên gia nghiên cứu này, vấn đề là không ít mã QR đính kèm trong số đó là liên kết lừa đảo hoặc yêu cầu xác thực đa yếu tố để đánh cắp thông tin đăng nhập của người dùng.
Gần đây, một phụ nữ 70 tuổi nghĩ rằng bà đang trả phí đỗ xe khi quét mã QR nhưng thực tế là bà đang đăng ký dịch vụ trò chơi trả phí hàng tháng. Một trường hợp khác là kẻ tấn công gửi mã QR in ngụy trang thành tờ rơi chứa thông tin tải xuống của một phần mềm lừa đảo, giả mạo ứng dụng cảnh báo thời tiết khắc nghiệt chính thức của chính phủ. Có thể thấy, các đối tượng xấu có rất nhiều phương pháp để thực hiện lừa đảo, xâm nhập thiết bị và chiếm đoạt thông tin cá nhân của người dùng thông qua mã QR.
Giảm thiểu mối đe dọa từ mã QR
Mặc dù những kẻ lừa đảo mã QR có vẻ thành công nhưng theo các chuyên gia, mối đe dọa này có thể được giảm thiểu khi áp dụng các nguyên tắc bảo mật thông thường, đó là luôn phải nghi ngờ mã QR như bất kỳ liên kết lạ nào khác.
Để giảm thiểu mối đe dọa từ mã QR, các chuyên gia bảo mật khuyến cáo người dùng cần:
- Luôn kiểm tra xem liên kết từ mã QR thực sự đưa bạn đến đâu trước khi nhấn vào. Thiết bị quét mã QR của bạn sẽ tiết lộ thông tin này ngay khi quét mã. Nếu không, hãy tìm phương pháp thay thế để kết nối tới trang web. Không có quy trình hợp pháp nào sử dụng mã QR mà không có bất kỳ thông tin nào khác liên quan đến trang web bạn đang được chuyển đến, do đó, nếu thấy có dấu hiệu lạ thì đừng nên kết nối đến trang web đó.
- Đảm bảo rằng bất kỳ mã QR vật lý nào không bị giả mạo bằng cách sử dụng nhãn dán khác trên mã gốc.
- Không bao giờ tải xuống ứng dụng trực tiếp từ mã QR. Chỉ sử dụng kết nối đến ứng dụng nằm trong cửa hàng ứng dụng chính thức của thiết bị.
- Không bao giờ mù quáng làm theo mã QR thanh toán gửi trong email. Hãy tìm đến công ty thông qua trang web đáng tin cậy và gọi điện để xác nhận tính xác thực của yêu cầu.
- Đừng tải xuống các ứng dụng qua quét mã QR vì điều này làm tăng nguy cơ phần mềm độc hại xâm nhập khi điện thoại thông minh của bạn có thể quét mã bằng camera của thiết bị.
