Khôi Nguyên
Writer
Mã QR (Quick Response code - mã phản hồi nhanh) ngày càng trở nên phổ biến trong cuộc sống, từ thanh toán, truy cập thông tin, đến đăng ký dịch vụ. Tuy nhiên, sự tiện lợi này cũng đi kèm với những rủi ro bảo mật, khi tin tặc đang lợi dụng mã QR để thực hiện các hành vi lừa đảo, chiếm đoạt tài sản và thông tin cá nhân của người dùng.
Mã QR: Tiện Lợi Nhưng Tiềm Ẩn Nguy Cơ
Mã QR là một loại mã vạch hai chiều, có thể lưu trữ nhiều loại dữ liệu khác nhau, bao gồm cả các liên kết (URL) đến trang web. Khi được quét bằng camera điện thoại thông minh, mã QR sẽ giải mã thông tin và hiển thị, hoặc chuyển hướng người dùng đến một trang web cụ thể.
Vấn đề nằm ở chỗ, người dùng thường không thể biết chắc chắn liên kết ẩn sau mã QR sẽ dẫn đến đâu trước khi quét. Điều này tạo ra "kẽ hở" để tin tặc lợi dụng.
Thủ Đoạn Lừa Đảo Qua Mã QR
Tin tặc có nhiều cách khác nhau để phát tán mã QR độc hại:
Cảnh Báo Từ Các Chuyên Gia Bảo Mật
Các chuyên gia an ninh mạng cảnh báo về sự gia tăng của các hình thức lừa đảo qua mã QR. Nghiên cứu từ Cisco Talos Threat Intelligence vào tháng 11/2024 cho thấy, 60% số email chứa mã QR là thư rác, và phần lớn thư rác này chứa các liên kết độc hại.
Jaeson Schultz, chuyên gia bảo mật của Cisco Talos, cho biết: "Nhiều trong số đó là liên kết lừa đảo hoặc yêu cầu xác thực đa yếu tố được sử dụng để lừa đảo thông tin đăng nhập của người dùng."
Ví Dụ Thực Tế Về Lừa Đảo Qua Mã QR
Đã có nhiều trường hợp người dùng bị lừa đảo qua mã QR được ghi nhận:
Cuối tháng 2/2025, Google bắt đầu triển khai xác thực hai yếu tố (2FA) bằng mã QR cho người dùng Gmail, thay thế cho phương thức SMS truyền thống. Việc này nhằm tăng cường bảo mật, nhưng cũng đặt ra thách thức mới trong việc phòng chống lừa đảo qua mã QR.
Biện Pháp Phòng Ngừa
Để giảm thiểu rủi ro khi quét mã QR, các chuyên gia bảo mật khuyến cáo người dùng:
Mã QR là một công nghệ tiện lợi, nhưng cũng tiềm ẩn nhiều rủi ro bảo mật. Người dùng cần nâng cao cảnh giác, trang bị kiến thức và thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ thông tin cá nhân và tài sản của mình.
Mã QR: Tiện Lợi Nhưng Tiềm Ẩn Nguy Cơ
Mã QR là một loại mã vạch hai chiều, có thể lưu trữ nhiều loại dữ liệu khác nhau, bao gồm cả các liên kết (URL) đến trang web. Khi được quét bằng camera điện thoại thông minh, mã QR sẽ giải mã thông tin và hiển thị, hoặc chuyển hướng người dùng đến một trang web cụ thể.
Vấn đề nằm ở chỗ, người dùng thường không thể biết chắc chắn liên kết ẩn sau mã QR sẽ dẫn đến đâu trước khi quét. Điều này tạo ra "kẽ hở" để tin tặc lợi dụng.
Thủ Đoạn Lừa Đảo Qua Mã QR
Tin tặc có nhiều cách khác nhau để phát tán mã QR độc hại:
- Dán đè mã QR giả: Kẻ gian có thể in mã QR giả mạo và dán đè lên các mã QR hợp pháp tại các điểm thanh toán (ví dụ: bãi đỗ xe, cửa hàng, quán cà phê...). Khi người dùng quét mã QR giả, họ sẽ bị chuyển hướng đến một trang web thanh toán giả mạo, nơi thông tin tài khoản ngân hàng, thẻ tín dụng của họ có thể bị đánh cắp.
- Gửi mã QR qua email, tin nhắn: Tin tặc có thể gửi mã QR độc hại qua email hoặc tin nhắn, mạo danh các tổ chức, doanh nghiệp uy tín (ví dụ: ngân hàng, cơ quan thuế, công ty vận chuyển...). Mã QR này có thể dẫn đến các trang web lừa đảo, yêu cầu người dùng cung cấp thông tin cá nhân, thông tin tài khoản ngân hàng, hoặc tải xuống phần mềm độc hại.
- Chèn mã QR độc hại vào tờ rơi, quảng cáo: Kẻ gian có thể in mã QR độc hại lên tờ rơi, áp phích quảng cáo, hoặc thậm chí giả mạo các thông báo chính thức của cơ quan chức năng, dụ người dùng quét mã để tải xuống ứng dụng giả mạo hoặc truy cập vào các trang web độc hại.
Cảnh Báo Từ Các Chuyên Gia Bảo Mật
Các chuyên gia an ninh mạng cảnh báo về sự gia tăng của các hình thức lừa đảo qua mã QR. Nghiên cứu từ Cisco Talos Threat Intelligence vào tháng 11/2024 cho thấy, 60% số email chứa mã QR là thư rác, và phần lớn thư rác này chứa các liên kết độc hại.
Jaeson Schultz, chuyên gia bảo mật của Cisco Talos, cho biết: "Nhiều trong số đó là liên kết lừa đảo hoặc yêu cầu xác thực đa yếu tố được sử dụng để lừa đảo thông tin đăng nhập của người dùng."
Ví Dụ Thực Tế Về Lừa Đảo Qua Mã QR
Đã có nhiều trường hợp người dùng bị lừa đảo qua mã QR được ghi nhận:
- Một phụ nữ quét mã QR để trả phí đỗ xe, nhưng thực tế lại đăng ký một dịch vụ trò chơi trả phí hàng tháng.
- Một người dùng nhận được tờ rơi in mã QR, được cho là để tải ứng dụng cảnh báo thời tiết chính thức của chính phủ, nhưng thực tế lại tải về phần mềm độc hại.
Cuối tháng 2/2025, Google bắt đầu triển khai xác thực hai yếu tố (2FA) bằng mã QR cho người dùng Gmail, thay thế cho phương thức SMS truyền thống. Việc này nhằm tăng cường bảo mật, nhưng cũng đặt ra thách thức mới trong việc phòng chống lừa đảo qua mã QR.
Biện Pháp Phòng Ngừa
Để giảm thiểu rủi ro khi quét mã QR, các chuyên gia bảo mật khuyến cáo người dùng:
- Kiểm tra kỹ liên kết: Trước khi nhấp vào liên kết do mã QR cung cấp, hãy kiểm tra kỹ xem đó có phải là địa chỉ web an toàn và đáng tin cậy hay không.
- Xác minh nguồn gốc: Nếu mã QR được in trên tờ rơi, áp phích, hoặc dán ở nơi công cộng, hãy tìm hiểu kỹ về nguồn gốc và tính xác thực của nó trước khi quét.
- Không tải ứng dụng từ mã QR: Chỉ tải ứng dụng từ các kho ứng dụng chính thức như Google Play Store (Android) hoặc App Store (iOS).
- Không cung cấp thông tin cá nhân: Tuyệt đối không cung cấp thông tin cá nhân, thông tin tài khoản ngân hàng, mật khẩu... cho bất kỳ trang web nào được truy cập thông qua mã QR.
- Xác thực với bộ phận chăm sóc khách hàng: Nếu nhận được email yêu cầu thanh toán qua mã QR, hãy liên hệ trực tiếp với bộ phận chăm sóc khách hàng của công ty, dịch vụ đó để xác minh.
