Theo Công an TP Hà Nội, trong kỷ nguyên số hóa, mã QR đã trở thành công cụ phổ biến, phục vụ nhiều lĩnh vực đời sống xã hội. Lợi dụng điều này, các đối tượng xấu sử dụng hình thức lừa đảo trực tuyến "Quishing" và đây đang trở thành một "cơn sóng ngầm" nguy hiểm trong không gian mạng.

"Quishing" (kết hợp của "QR code" và "phishing") là hình thức lừa đảo sử dụng mã QR độc hại để dẫn dụ nạn nhân đến các trang web giả mạo, cài đặt phần mềm độc hại hoặc thực hiện các giao dịch không mong muốn. Thay vì các đường link đáng ngờ trong email hay tin nhắn, kẻ gian khéo léo lợi dụng hình ảnh mã QR, một công cụ mà nhiều người tin tưởng và sử dụng hàng ngày. Các chiêu thức "Quishing" phổ biến:

- Mã QR giả mạo nơi công cộng: Dán đè hoặc thay thế mã QR thanh toán, thông tin tại nhà hàng, bến xe... bằng mã QR của các đối tượng để chiếm đoạt tiền khi người dùng thanh toán.

- Mã QR trong thư điện tử và tin nhắn lừa đảo: Giả mạo các tổ chức uy tín gửi thông báo kèm mã QR dẫn đến trang web đánh cắp thông tin đăng nhập hoặc yêu cầu chuyển tiền.

- Mã QR trên sản phẩm và tài liệu giả: In mã QR của các đối tượng trên hàng giả, vé số ảo, tài liệu lừa đảo để dẫn dụ người dùng truy cập các trang web nguy hiểm hoặc cung cấp thông tin cá nhân.

- Tấn công trung gian qua mã QR: Can thiệp vào quá trình quét, chuyển hướng người dùng qua một trang web thu thập dữ liệu trước khi đến trang thật.

Nạn nhân của "Quishing" có thể phải đối mặt với nhiều hậu quả nghiêm trọng, bao gồm:

- Đánh cắp thông tin cá nhân: Rò rỉ tên tuổi, địa chỉ, số điện thoại, email, tài khoản mạng xã hội.

- Mất tiền trong tài khoản: Bị chiếm đoạt thông tin ngân hàng, thẻ tín dụng và thực hiện các giao dịch trái phép.

- Thiết bị nhiễm mã độc: Bị cài đặt phần mềm gián điệp, virus, khóa dữ liệu tống tiền.

- Trở thành nạn nhân của các hình thức lừa đảo khác: Thông tin cá nhân bị đánh cắp có thể được sử dụng cho các mục đích xấu xa hơn.

Để góp phần phòng ngừa, ngăn chặn, đấu tranh hiệu quả với loại tội phạm này, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao CATP Hà Nội khuyến nghị người dân nên: 

- Kiểm tra kỹ trước khi quét mã QR: Luôn xác minh nguồn gốc và tính hợp lệ của mã QR, đặc biệt với các mã lạ hoặc dán chồng.

- Quan sát cẩn thận môi trường xung quanh: Tại điểm thanh toán, phải kiểm tra bảo đảm mã QR không bị can thiệp.

- Cảnh giác với ưu đãi bất thường: Tránh quét mã QR kèm theo các chương trình khuyến mãi quá hấp dẫn.

- Xem xét kỹ URL sau khi quét: Đảm bảo địa chỉ web bắt đầu bằng "https://" và đúng tên miền của tổ chức.

- Sử dụng ứng dụng quét mã an toàn: Cân nhắc dùng ứng dụng có chức năng cảnh báo link độc hại.

- Cập nhật phần mềm bảo mật: Đảm bảo thiết bị được bảo vệ bởi phần mềm diệt virus mới nhất.

- Hạn chế chia sẻ thông tin cá nhân: Cẩn trọng khi cung cấp thông tin sau khi quét mã QR.

- Báo cáo các dấu hiệu lừa đảo: Thông báo ngay cho cơ quan chức năng nếu nghi ngờ bị lừa đảo.

"Quishing" là một mối đe dọa ngày càng gia tăng. Mỗi người dân cần nâng cao cảnh giác, trang bị kiến thức để tự bảo vệ mình và những người xung quanh. Hãy luôn kiểm tra trước trước khi quét bất kỳ mã QR nào và nhớ rằng sự cẩn trọng của bạn là chìa khóa để tránh khỏi những cạm bẫy nguy hiểm trong thế giới số.

Đầu tháng 3, Google cho biết, dự kiến sẽ chấm dứt hỗ trợ phương thức xác thực hai yếu tố bằng tin nhắn SMS trên Gmail.

Phát ngôn viên của Gmail - ông Ross Richendrfer - cho biết, mục tiêu của thay đổi này là nhằm "giảm tác động của tình trạng lạm dụng tin nhắn SMS trên toàn cầu".

Thay vì nhập số điện thoại để nhận mã xác thực qua tin nhắn, người dùng sẽ quét mã QR do Google cung cấp.

Tuy nhiên, việc quét mã QR cũng làm dấy lên nhiều lo ngại về bảo mật. Trên thực tế, đã có nhiều hành vi lợi dụng phương thức này để lừa đảo.

Theo tìm hiểu của PV Lao Động, một số hình thức lừa đảo sử dụng mã QR phổ biến:

1. Lừa đảo chiếm đoạt tài sản

Đối tượng lừa đảo lợi dụng sơ hở bằng cách cho in mã QR có tài khoản ngân hàng của đối tượng này, sau đó dán đè lên mã QR của cửa hàng, nhà hàng hoặc điểm thanh toán khác.

Khi người dân quét mã và chuyển khoản thì tiền không gửi đến đúng cửa hàng, nhà hàng và các điểm thanh toán mà lại gửi vào tài khoản của các đối tượng lừa đảo.

2. Lừa đảo lấy cắp thông tin

Thủ đoạn mà các đối tượng thường thực hiện đó là sau khi kết bạn qua mạng xã hội để trao đổi với nạn nhân sẽ gửi mã QR để người dùng quét.

Mã này dẫn tới các website giả mạo ngân hàng, trong đó yêu cầu người dùng nhập thông tin như họ tên, số căn cước công dân, tài khoản... Từ đó, người dùng bị chiếm tài khoản hoặc lấy cấp thông tin.

3. Lừa đảo dẫn đến đường link, website chứa mã độc

Trong thời gian qua, xuất hiện tình trạng mã QR độc hại bị phát tán dễ dàng trong các bài viết, hình ảnh thông qua các ứng dụng nhắn tin, diễn đàn, hội nhóm trên mạng xã hội, màn hình livestream. Khi người dùng quét mã sẽ bị chuyển hướng đến các trang quảng cáo cờ bạc, mại dâm kèm mã độc có thể bị cài đặt vào điện thoại.

Gần đây, Công an TP Hồ Chí Minh đã phát đi cảnh báo về việc một số đối tượng treo các thẻ nhựa có ghi mệnh giá 30.000 đồng, 50.000 đồng, 100.000 đồng trên xe máy hoặc trước cửa nhà dân.

Trên thẻ hướng dẫn các bước quét mã QR code để nhận tiền hoặc liên hệ với bộ phận chăm sóc khách hàng.

Theo Công an TP Hồ Chí Minh, khi người dân quét mã QR code, điện thoại có thể bị xâm nhập, bị chiếm quyền điều khiển và các đối tượng lừa đảo dễ dàng lấy tiền trong tài khoản ngân hàng.

Trên thực tế, bản chất mã QR không phải mã độc tấn công trực tiếp mà chỉ là trung gian để truyền tải nội dung. Do đó, việc người dùng có bị tấn công hay không phụ thuộc vào cách xử lý nội dung sau khi quét mã QR.

Do đó, cơ quan chức năng khuyến cáo người dân thận trọng trước khi quét mã QR, đặc biệt cảnh giác với các mã QR được chia sẻ ở những nơi công cộng hoặc gửi qua mạng xã hội, email, tuyệt đối không cung cấp các thông tin cá nhân như tài khoản đăng nhập ngân hàng, tài khoản mạng xã hội.

Hết sức cảnh giác với các yêu cầu quét mã QR hoặc truy cập đường link lạ, xác định và kiểm tra kỹ càng thông tin tài khoản người trao đổi mã QR xem xét kỹ nội dung trang web mà mã QR đưa tới.

Không cung cấp mã xác thực OTP/ Smart OTP cho bất kỳ ai kể cả nhân viên ngân hàng.

Đổi ngay mật khẩu tài khoản đột ngột bị thoát ra hoặc có cảnh báo là đang đăng nhập ở một máy khác.