Mất tiền oan vì mã QR: Cảnh báo 4 chiêu trò lừa đảo tinh vi mới và cách đề phòng

Nếu như trước đây, chúng ta quen thuộc với các hình thức tấn công trực tuyến như 'phishing' qua email hay 'smishing' qua tin nhắn SMS, thì nay, một mối đe dọa mới đã xuất hiện, tận dụng chính sự phổ biến của mã QR: đó chính là 'quishing'.

Sự kết hợp tinh vi giữa mã QR (Quick Response code) và kỹ thuật lừa đảo (phishing) này đang ngày càng trở nên nguy hiểm, khi kẻ gian khéo léo sử dụng những ô vuông đen trắng tưởng chừng vô hại để dẫn dụ nạn nhân đến các trang web giả mạo hoặc âm thầm cài đặt phần mềm độc hại vào thiết bị của họ.

1. Dán mã QR giả mạo tại nơi công cộng

Kẻ gian thường dán đè hoặc thay thế mã QR thanh toán, thông tin tại các địa điểm công cộng như nhà hàng, bến xe, trạm ATM... Bằng mắt thường, rất khó để phân biệt mã QR thật và giả. Khi bạn quét mã QR giả mạo này để thanh toán hoặc lấy thông tin, tiền sẽ chuyển vào tài khoản của kẻ gian hoặc bạn sẽ bị dẫn đến các trang web độc hại.

Ví dụ: Tại một quán cà phê, kẻ gian đã dán đè mã QR thanh toán của quán bằng một mã QR giả. Nhiều khách hàng đã thanh toán qua mã QR này và bị mất tiền oan.

Cách phòng tránh:

• Luôn kiểm tra kỹ thông tin trước khi quét mã QR, đặc biệt là các mã QR thanh toán. Hãy xác nhận lại thông tin với nhân viên hoặc người quản lý.

• Cẩn trọng với các mã QR lạ hoặc có dấu hiệu bị chỉnh sửa, dán đè.

• Sử dụng các ứng dụng quét mã QR uy tín, có tính năng cảnh báo nếu phát hiện mã QR đáng ngờ.

2. Mã QR được gửi trong thư điện tử và SMS

Kẻ gian giả mạo các tổ chức uy tín như ngân hàng, công ty tài chính, cơ quan nhà nước... gửi email hoặc tin nhắn thông báo về các khoản nợ, giao dịch bất thường hoặc chương trình khuyến mãi hấp dẫn, kèm theo mã QR. Khi bạn quét mã QR này, bạn sẽ được dẫn đến một trang web giả mạo, yêu cầu bạn nhập thông tin đăng nhập tài khoản ngân hàng, thông tin cá nhân hoặc thậm chí yêu cầu bạn chuyển tiền.

Ví dụ: Bạn nhận được một email giả mạo ngân hàng thông báo tài khoản của bạn có giao dịch bất thường và yêu cầu bạn quét mã QR để xác nhận. Khi bạn quét mã QR, bạn sẽ được dẫn đến một trang web giả mạo, yêu cầu bạn nhập tên đăng nhập và mật khẩu tài khoản ngân hàng.

Cách phòng tránh:

• Tuyệt đối không quét mã QR trong các email, tin nhắn lạ, đặc biệt là khi chúng yêu cầu bạn cung cấp thông tin cá nhân hoặc tài chính.

• Luôn kiểm tra kỹ địa chỉ email hoặc số điện thoại người gửi. Liên hệ trực tiếp với tổ chức được cho là gửi để xác minh thông tin.

• Cảnh giác với các chương trình khuyến mãi, ưu đãi quá hấp dẫn được gửi kèm mã QR.

3. Dán mã QR giả trên sản phẩm

Kẻ gian in mã QR của chúng lên các sản phẩm giả, vé số ảo, tài liệu lừa đảo... để dẫn dụ người dùng truy cập các trang web nguy hiểm hoặc cung cấp thông tin cá nhân.  

Ví dụ: Bạn mua một sản phẩm giảm giá trên mạng và thấy có mã QR để quét lấy thông tin chi tiết. Khi bạn quét mã QR, bạn sẽ được dẫn đến một trang web giả mạo, yêu cầu bạn nhập thông tin cá nhân để nhận khuyến mãi.

Cách phòng tránh:

• Mua sản phẩm từ các cửa hàng, trang web uy tín.

• Kiểm tra kỹ bao bì, tem mác, mã vạch của sản phẩm.

• Cẩn trọng với các mã QR trên sản phẩm hoặc tài liệu có thông tin không rõ ràng, đáng ngờ.

4. Dẫn đường link trung gian qua web giả

Kẻ gian can thiệp vào quá trình quét mã QR, chuyển hướng người dùng qua một trang web thu thập dữ liệu trước khi đến trang web thật.

Ví dụ: Bạn quét mã QR để thanh toán tại một cửa hàng. Thay vì được chuyển đến trang thanh toán của cửa hàng, bạn bị chuyển đến một trang web giả mạo, yêu cầu bạn nhập thông tin thẻ tín dụng.

Cách phòng tránh:

• Sử dụng các ứng dụng quét mã QR uy tín, có tính năng bảo mật.

• Luôn kiểm tra kỹ địa chỉ trang web sau khi quét mã QR. Đảm bảo rằng đó là trang web chính thức của tổ chức hoặc doanh nghiệp bạn muốn giao dịch.

• Cập nhật phần mềm điện thoại thường xuyên để vá các lỗ hổng bảo mật.

Điểm khác biệt và mức độ nguy hiểm của Quishing:

• So với các đường link trong email hay tin nhắn, mã QR khó kiểm tra và đánh giá độ an toàn bằng mắt thường. Người dùng thường chỉ biết đích đến sau khi đã quét mã.

• Sự tiện lợi và ngày càng phổ biến của việc quét mã QR khiến người dùng dễ dàng mất cảnh giác.

• Mã QR có thể được in ấn và đặt ở bất kỳ đâu trong thế giới thực, mở rộng phạm vi tấn công so với các hình thức lừa đảo trực tuyến truyền thống.

Lời Khuyên Chung

Nâng cao nhận thức bằng cách tìm hiểu về các chiêu thức lừa đảo qua mã QR để có thể nhận diện và phòng tránh.

Chia sẻ thông tin về các vụ lừa đảo qua mã QR cho người thân, bạn bè để mọi người cùng cảnh giác.

Nếu bạn nghi ngờ mình là nạn nhân của một vụ lừa đảo qua mã QR, hãy báo cáo ngay cho cơ quan chức năng.