Tài khoản ngân hàng của bạn sẽ mất sạch sau vài giây bởi hình thức lừa đảo mới qua mã QR này

[Tháp rơi tự do]

Quishing, hay lừa đảo qua mã QR, là một dạng tấn công phishing tinh vi, trong đó kẻ gian sử dụng mã QR để dụ người dùng truy cập vào các trang web giả mạo hoặc tải xuống nội dung độc hại. Mục tiêu của quishing là đánh cắp thông tin nhạy cảm như mật khẩu, dữ liệu tài chính, hoặc thông tin nhận dạng cá nhân (PII). Những thông tin này sau đó có thể được sử dụng để chiếm đoạt danh tính, gian lận tài chính, hoặc phát tán ransomware. Sự phổ biến của mã QR, đặc biệt sau đại dịch COVID-19, đã tạo cơ hội cho tội phạm mạng khai thác lỗ hổng này.

Mã QR - tiện lợi nhưng dễ bị lợi dụng ​

Mã QR (Quick Response) được công ty Denso Wave của Nhật Bản phát minh vào năm 1994, ban đầu dùng để dán nhãn và theo dõi linh kiện ô tô. Đây là loại mã vạch hai chiều với các ô vuông đen trắng, có khả năng chứa lượng dữ liệu lớn và được giải mã nhờ công nghệ sửa lỗi Reed–Solomon, cho phép đọc được ngay cả khi mã bị che khuất một phần. Khác với mã vạch một chiều chỉ quét theo hướng dọc, mã QR có thể được quét từ nhiều hướng, mang lại sự tiện lợi và linh hoạt. Ngày nay, mã QR được sử dụng rộng rãi để dẫn người dùng tới URL, gửi email, tin nhắn, hoặc hiển thị thông điệp trực tiếp, nhưng chính sự phổ biến này đã biến chúng thành công cụ cho các vụ quishing.

Sự gia tăng sử dụng mã QR bắt đầu từ năm 1997 nhưng bùng nổ mạnh mẽ sau đại dịch COVID-19, khi nhu cầu thanh toán không tiếp xúc, tra cứu thông tin, và giao dịch trực tuyến tăng vọt. Tuy nhiên, điều này cũng mở ra cơ hội cho tội phạm mạng. Chỉ cần thay thế mã QR chính thức bằng mã giả trên áp phích, danh thiếp, hoặc máy thanh toán, kẻ gian có thể dẫn người dùng đến các trang web lừa đảo, đánh cắp thông tin cá nhân hoặc tài khoản ngân hàng chỉ trong vài giây. Theo báo cáo Phishing Trends Report năm 2025, các vụ quishing tăng khoảng 25% mỗi năm, với tội phạm tận dụng các không gian công cộng để triển khai mã QR giả.

Thiệt hại thực tế​

Các vụ quishing đã gây ra những thiệt hại nghiêm trọng trên toàn cầu. Theo APWG, quý 1 năm 2025 ghi nhận hơn 1.003.924 vụ tấn công phishing, cao nhất kể từ cuối năm 2023, trong đó nhiều vụ liên quan đến mã QR giả gửi qua email hoặc tệp PDF đính kèm. Một nghiên cứu thực nghiệm cho thấy 67% người tham gia sẵn sàng cung cấp thông tin cá nhân qua tài khoản Google hoặc Facebook chỉ vì sự tiện lợi khi quét mã QR. Ví dụ, tại Singapore, một phụ nữ 60 tuổi mất 20.000 USD sau khi quét mã QR giả bên ngoài cửa hàng trà sữa, dẫn đến việc cài đặt ứng dụng độc hại. Tại Anh, một vụ quishing tại bãi đỗ xe khiến nạn nhân mất 13.000 bảng Anh do quét mã QR giả trên máy thanh toán.

Nghiên cứu mới cho thấy các email quishing, tức email chứa mã QR thay vì liên kết, có hiệu quả thu hút người dùng tương đương với phishing truyền thống. Điều đáng lo ngại là mã QR trong email hoặc tệp đính kèm thường khó bị phát hiện bởi các bộ lọc bảo mật, khiến người dùng dễ dàng trở thành nạn nhân. Sự tiện lợi và tính phổ biến của mã QR càng làm gia tăng nguy cơ, khi nhiều người không nghi ngờ tính hợp pháp của mã trước khi quét.

Cách phòng tránh ​

Để tránh trở thành nạn nhân của quishing, người dùng cần áp dụng các biện pháp bảo vệ sau:

• Xác minh nguồn gốc mã QR: Chỉ quét mã QR từ các nguồn đáng tin cậy như doanh nghiệp uy tín hoặc tổ chức chính thống. Tránh quét mã từ email, tin nhắn không rõ nguồn gốc, hoặc từ người lạ.
• Kiểm tra URL trước khi truy cập: Xem trước địa chỉ URL mà mã QR dẫn đến. Nếu URL bị rút ngắn hoặc không rõ ràng, hãy tránh truy cập.
• Hạn chế thanh toán qua mã QR: Tránh sử dụng mã QR để thanh toán, đặc biệt tại các địa điểm công cộng. Nếu liên kết dẫn đến trang web không rõ ràng hoặc không thuộc ngân hàng/ứng dụng chính thức, hãy dừng lại ngay.
• Không quét mã QR ngẫu nhiên: Tránh quét mã QR trên biển quảng cáo, tờ rơi, hoặc máy thanh toán công cộng, vì chúng có thể là mã giả. Hãy xác nhận với nhân viên để đảm bảo mã hợp pháp.
• Sử dụng trình quét an toàn: Ưu tiên trình quét mã QR mặc định trên điện thoại (như camera iOS hoặc Android). Hạn chế tải ứng dụng quét mã QR từ bên thứ ba, vì chúng có thể chứa mã độc.
• Kiểm tra mã QR vật lý: Quan sát kỹ mã QR trước khi quét. Nếu có dấu hiệu bị dán đè, chỉnh sửa, hoặc không đồng nhất với thiết kế xung quanh, hãy tránh xa và hỏi nhân viên để xác minh.

Sự tiện lợi của mã QR đã mở ra một kỷ nguyên mới cho giao dịch không tiếp xúc, nhưng cũng kéo theo nguy cơ từ các vụ quishing. Bằng cách nâng cao cảnh giác, kiểm tra kỹ lưỡng nguồn gốc mã QR, và sử dụng các công cụ an toàn, người dùng có thể bảo vệ bản thân khỏi những mối đe dọa ngày càng tinh vi trong thế giới số.

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview