Mã QR đã trở thành một phần không thể thiếu trong đời sống nhờ tính tiện lợi, tuy nhiên, chính điều này lại khiến người dùng dễ rơi vào bẫy của tội phạm mạng. Các hình thức lừa đảo qua mã QR ngày càng tinh vi và phổ biến, buộc các chuyên gia an ninh mạng và các tập đoàn công nghệ lớn như Google phải đưa ra những cảnh báo khẩn cấp tới người dùng.

Mã QR là gì?

Mã QR (Quick Response Code) là một dạng mã vạch hai chiều, có khả năng lưu trữ nhiều thông tin hơn so với mã vạch truyền thống. Khi quét bằng điện thoại thông minh, người dùng có thể truy cập ngay vào một trang web, tải xuống ứng dụng hoặc thực hiện giao dịch mà không cần nhập liệu thủ công.

Công nghệ này vốn được phát triển vào năm 1994 để phục vụ ngành công nghiệp ô tô Nhật Bản, nhưng đến nay đã len lỏi vào mọi lĩnh vực đời sống. Tuy nhiên, chính sự phổ biến này lại tạo điều kiện cho tin tặc lợi dụng. Không phải lúc nào người dùng cũng có thể biết chính xác mã QR đó dẫn đến đâu. Nếu nó bị thay thế bằng một mã giả mạo, người quét có thể vô tình bị chuyển đến một trang web lừa đảo, nơi thông tin cá nhân hoặc tài khoản ngân hàng có thể bị đánh cắp chỉ trong vài giây.

Những hình thức tấn công, lừa đảo bằng mã QR

Kẻ gian có thể in mã QR giả và dán đè lên các điểm thanh toán hợp pháp. Khi người dùng quét, họ không biết rằng mình đã bị chuyển hướng đến một cổng thanh toán giả mạo, nơi thông tin thẻ tín dụng hoặc tài khoản ngân hàng bị thu thập mà không hề hay biết.

Một trường hợp điển hình là vụ lừa đảo nhắm vào một phụ nữ 70 tuổi tại Mỹ, khi bà tưởng rằng mình đang thanh toán phí đậu xe, nhưng thực tế lại bị đăng ký vào một dịch vụ game trả phí hàng tháng. Đội An ninh mạng của Cảnh sát Bắc Wales (NWP) đã đưa ra cảnh báo kêu gọi mọi người hết sức thận trọng khi quét mã QR, đặc biệt là ở những nơi như bãi đậu xe, nhà hàng và khu vực giao thông công cộng.

Một hình thức tấn công khác nguy hiểm không kém là phát tán phần mềm độc hại. Một số mã QR được thiết kế để dẫn đến các trang web chứa mã độc hoặc yêu cầu người dùng tải xuống một ứng dụng có vẻ vô hại nhưng thực chất là phần mềm gián điệp.

Ngoài ra, một mối đe dọa ngày càng phổ biến là lừa đảo xác thực đa yếu tố (2FA). Khi các dịch vụ tài chính và mạng xã hội ngày càng khuyến khích người dùng bật tính năng xác thực hai lớp, tội phạm mạng cũng tìm cách vượt qua lớp bảo vệ này. Chúng gửi email hoặc tin nhắn giả mạo ngân hàng, yêu cầu người dùng quét mã QR để xác thực giao dịch. Thực chất, khi người dùng làm theo, họ đang cung cấp chính mã xác thực đó cho tin tặc, giúp chúng chiếm đoạt tài khoản dễ dàng.

Nghiên cứu từ Cisco Talos threat intelligence vào tháng 11/2024 đã tiết lộ rằng 60% trong số tất cả các email có chứa mã QR là thư rác và phần lớn thư rác hiện nay đều đi kèm với một mối đe dọa độc hại.

"Không phải tất cả các email có mã QR bên trong đều là thư rác hoặc độc hại, nhưng vấn đề là phần nhiều trong số đó có chứa liên kết lừa đảo", Jaeson Schultz, một nhà nghiên cứu của Cisco Talos cho biết.

Google cũng vừa lên tiếng cảnh báo một số tác nhân đe dọa đang nhắm mục tiêu vào nạn nhân bằng mã QR, lợi dụng tính năng thiết bị được liên kết của ứng dụng Signal.

Các phương thức phòng tránh

Mặc dù các hình thức tấn công bằng mã QR ngày càng tinh vi, người dùng vẫn có thể bảo vệ mình bằng một số nguyên tắc đơn giản. Điều quan trọng nhất là luôn kiểm tra kỹ liên kết trước khi nhấp vào. Hầu hết các ứng dụng quét mã QR đều hiển thị trước URL của trang web, nếu đường dẫn có dấu hiệu đáng ngờ hoặc không rõ nguồn gốc, tốt nhất là không nên tiếp tục.

Ngoài ra, cần chú ý kiểm tra mã QR vật lý trước khi quét. Nếu phát hiện dấu hiệu bị dán chồng lên hoặc có bất kỳ dấu vết chỉnh sửa nào, hãy cẩn trọng vì đó có thể là mã giả mạo. Tại các bãi đậu xe hoặc điểm thanh toán công cộng, nếu có thể, hãy nhập địa chỉ trang web hoặc số tài khoản trực tiếp thay vì quét mã QR.

Một sai lầm phổ biến mà nhiều người mắc phải là tải ứng dụng từ mã QR. Thay vì làm theo hướng dẫn quét mã để cài đặt phần mềm, hãy truy cập trực tiếp vào App Store hoặc Google Play để tìm kiếm. Bên cạnh đó, khi nhận được email yêu cầu quét mã QR để thanh toán hoặc xác minh tài khoản, hãy luôn xác thực lại thông tin bằng cách truy cập trực tiếp vào trang web chính thức của dịch vụ đó. Nếu có bất kỳ nghi ngờ nào, hãy gọi điện hoặc tìm kiếm thông tin trên kênh chính thống thay vì làm theo hướng dẫn từ email hoặc tin nhắn không rõ nguồn gốc.

Cuối cùng, không cần thiết phải tải các ứng dụng quét mã QR của bên thứ ba, vì điều này chỉ làm tăng thêm rủi ro. Hầu hết điện thoại hiện nay đều có tính năng quét mã QR tích hợp sẵn trong ứng dụng camera, đảm bảo mức độ an toàn cao hơn so với các ứng dụng không rõ nguồn gốc.

Trong thời đại số hóa, tội phạm mạng ngày càng tinh vi, việc nắm vững kiến thức bảo mật là yếu tố then chốt. Bản thân mã QR không mang bản chất xấu, mà vấn đề nằm ở việc sử dụng và bảo vệ nó. Nếu người dùng chủ động nâng cao cảnh giác, kiểm tra kỹ lưỡng trước khi quét và tránh các hành vi rủi ro, mã QR vẫn là công cụ hữu ích, giúp kết nối nhanh chóng và tiện lợi trong thế giới kỹ thuật số./.

Theo https://antoanthongtin.gov.vn/mat-ma-dan-su/canh-bao-ve-cac-chieu-lua-dao-bang-ma-qr-tinh-vi-111573

Thanh tra tỉnh