Cảnh giác nguy cơ lừa đảo khi quét mã QR

Mã QR độc hại thường phát tán trong các bài viết, hình ảnh thông qua các ứng dụng nhắn tin, diễn đàn, hội nhóm trên mạng xã hội. Ảnh: Khánh Ngân.

Mã QR về mặt hiển thị có dạng hình vuông, chứa nhiều ô vuông nhỏ bên trong, được sắp xếp không theo quy tắc, nhằm "chứa" một nội dung nào đó, thường là đường link trang web hoặc đoạn mã dưới dạng văn bản. Mã QR xuất hiện cách đây nhiều năm và trở nên phổ biến từ dau đại dịch COVID-19 do nhu cầu tương tác không chạm.

Theo các chuyên gia, mã QR chỉ có thể được giải mã và hiển thị nội dung thông qua các máy quét chuyên dụng, hoặc phổ thông hơn là qua camera điện thoại thông minh. Mắt người không thể đọc được nội dung của mã và khó phân biệt được các QR khác nhau. Mã QR cũng giúp việc truy cập một đường link dễ dàng hơn việc phải gõ lại địa chỉ.

Tuy nhiên, lợi dụng yếu tố về mặt hiển thị nói trên và việc mã QR ngày càng trở lên phổ biến, các đối tượng tội phạm công nghệ cao đã tìm cách mã hóa các đường link hoặc số tài khoản giả mạo thành mã QR để lừa đảo người dùng. Nếu không để ý, khi thực hiện thao tác quét mã QR, người dùng có thể sẽ vô tình truy cập vào các đường link xấu, hoặc tự động chuyển tiền tới số tài khoản giả mạo mà không hay biết. Bởi so với đường link độc hại thông thường, mã QR có lợi thế là có thể chèn trực tiếp vào email, tin nhắn mà không bị các bộ lọc chặn lại, từ đó dễ dàng tiếp cận người dùng hơn. Ngoài ra, việc phải quét bằng camera cũng khiến phần lớn người dùng sẽ truy cập bằng điện thoại và kết nối di động, giúp kẻ gian tránh được hàng rào bảo vệ trong môi trường doanh nghiệp, vốn chỉ được trang bị cho máy tính.

Mã QR dẫn tới website độc hại được in lên tờ rơi để phát tán. Ảnh: Công an tỉnh Lâm Đồng.

Cách đây chưa lâu, khoảng giữa tháng 8/2023, Công an tỉnh Lâm Đồng bắt quả tang một nhóm đối tượng phát tán tờ rơi chứa hình ảnh các cô gái cùng mã QR, dụ người dùng quét để truy cập website và tải ứng dụng. Thực tế, ứng dụng đó được xác định là công cụ gián điệp, chứa phần mềm độc hại chuyên dùng để đánh cắp thông tin, dữ liệu của người dùng. Mục tiêu của các đối tượng này là nhằm đánh lừa người dùng cài đặt ứng dụng chứa mã độc, từ đó có thể 'nằm vùng' như một gián điệp, thu thập thông tin, điều khiển ứng dụng ngân hàng, đánh cắp tài khoản, mật khẩu và mã OTP của nạn nhân để thực hiện các hành vi vi phạm pháp luật

Đây chỉ là một trong số rất nhiều liên quan đến nguy cơ bị lừa đảo khi quét mã QR. Mới đây, thông tin từ Bộ Thông tin và Truyền thông cũng cho biết, bên cạnh tình trạng mã QR thanh toán tại các cửa hàng bị dán đè khiến tiền chuyển về tài khoản kẻ gian, thời gian vừa qua, hiện tượng mã QR độc hại bị phát tán dễ dàng trong các bài viết, hình ảnh thông qua các ứng dụng nhắn tin, diễn đàn, hội nhóm trên mạng xã hội,…

Trao đổi tại cuộc họp báo thường kỳ tháng 9/2023 vừa qua, ông Nguyễn Duy Khiêm, đại diện Cục An toàn Thông tin (Bộ Thông tin và Truyền thông) nhấn mạnh: Mã QR đang phổ biến trên toàn thế giới, nhất là sau đại dịch COVID-19. Theo thống kê của Ngân hàng Nhà nước Việt Nam trong năm 2022, mã QR tăng cả số số lượng và giá trị. Về số lượng, thanh toán qua mã tăng 225%, về giá trị tăng 243% so với năm 2021.

Phương thức thanh toán này ngày càng quen thuộc với người dân cùng với đó thì tình trạng lừa đảo bằng mã QR code cũng tăng mạnh cả trên thế giới và ở Việt Nam. 

Để phòng tránh lừa đảo qua mã QR, Cục An toàn Thông tin khuyến nghị người dân cần thận trọng khi quét mã, nhất là các mã sử dụng ở nơi công cộng hoặc chia sẻ qua mạng xã hội, email. Người dùng cũng cần xác định, kiểm tra kỹ thông tin tài khoản người chuyển mã QR, cũng như nội dung trang web mà mã QR đưa tới; kiểm tra đường link xem có bắt đầu với "https" và có phải tên miền quen thuộc hay không.

Ông Nguyễn Duy Khiêm, đại diện Cục An toàn Thông tin. (Ảnh: Bộ Thông tin và Truyền thông).

Đặc biệt, người dùng tuyệt đối không cung cấp các thông tin cá nhân, như: tài khoản ngân hàng, tài khoản mạng xã hội; cần sử dụng trình quản lý mật khẩu, xác thực 2 yếu tố và các phương thức bảo vệ khác cho tài khoản.

Tiếp cận từ góc độ kỹ thuật, ông Vũ Ngọc Sơn, Giám đốc công nghệ tại công ty an ninh mạng NSC cho rằng, người dùng không cần quá lo lắng về việc quét QR, vì bản chất QR code không phải mã độc tấn công trực tiếp mà chỉ là trung gian để truyền tải nội dung. Bởi việc người dùng có bị tấn công hay không phụ thuộc vào cách xử lý nội dung sau khi máy quét ánh xạ từ QR code ra nội dung ban đầu.

Tuy nhiên, một số ứng dụng quét hiện nay đang có chức năng hỗ trợ việc tự động xử lý nội dung. Nếu vô tình quét phải QR code độc hại mà không có hàng rào bảo vệ, chúng có thể khiến người dùng bị tấn công lập tức. Một số QR chuyển tiền có thể được quét và xử lý ngay trên ứng dụng ngân hàng. Trong trường hợp đó, người dùng cần kiểm tra, trao đổi kỹ với bên nhận tiền để tránh chuyển nhầm.

Đối với những đường link thông thường, ông Sơn khuyến nghị người dùng có thể sử dụng camera mặc định của thiết bị. Lúc này, máy sẽ chỉ hiển thị đường link hoặc số tài khoản, và quyền tương tác là do người dùng. "Sau khi quét, cần xem đường link xem có bắt đầu với https và có phải tên miền quen thuộc không. Nếu không, tuyệt đối không bấm vào", ông Sơn nhấn mạnh.

Để không trở thành nạn nhân của các hành vi lừa đảo qua mã QR, thiết nghĩ người dùng cần thận trọng trước khi quét mã QR, đặc biệt cảnh giác với các mã QR được dán hoặc chia sẻ ở những nơi công cộng hoặc gửi qua mạng xã hội, email. Tìm hiểu và ưu tiên sử dụng các ứng dụng quét mã QR an toàn, nhất là những ứng dụng quét mã QR an toàn được thiết kế để phát hiện ra các liên kết độc hại được cài trong mã QR.

Với các cơ quan, đơn vị, tổ chức cung cấp mã QR, cần có cảnh báo tuyên truyền đến người dùng (ví dụ, một số ngân hàng thời gian vừa qua đã gửi thông tin cảnh báo đến khách hàng). Bên cạnh đó, kịp thời đưa ra giải pháp xác minh giao dịch có dấu hiệu bất thường; thường xuyên kiểm tra các mã QR được dán tại địa điểm cung cấp./.