Nhiều ngân hàng tại Việt Nam trong tháng 8 phát cảnh báo tình trạng lừa đảo thẻ tín dụng thông qua mã QR. Cảnh báo cho biết kẻ gian sau khi kết bạn qua mạng xã hội để trao đổi với nạn nhân sẽ gửi mã QR để người dùng quét.
Mã này dẫn tới các website giả mạo ngân hàng, trong đó yêu cầu người dùng nhập thông tin họ tên, số căn cước công dân, tài khoản, mã bí mật hoặc OTP. Từ đó, người dùng bị chiếm tài khoản.
Lừa đảo bằng mã QR được ghi nhận tăng mạnh
Tổ chức bảo mật Cofense mới đây phát hiện “chiến dịch mã QR” nhắm tới thông tin đăng nhập của người dùng Microsoft tại nhiều doanh nghiệp, tổ chức ở Mỹ. Chuyên gia của Cofense cho biết kẻ xấu đã gửi mã QR tới email dưới dạng tệp hình ảnh hoặc PDF, dẫn tới website mạo danh Bing.com nhưng thực chất là trang chứa mã độc.
Cuối tháng 7/2023 cũng đã xảy chiến dịch “đánh tráo mã QR” tại các trạm đỗ xe công cộng ở Anh. Theo đó, kẻ gian dán đè mã QR gốc của đơn vị quản lý và khi người dùng quét mã để thanh toán dịch vụ, họ bị dẫn đến một trang giả mạo và bị dụ nhập thông tin tài khoản. Nhiều người cho biết đã bị dịch vụ mạo danh này âm thầm trừ tiền trong thời gian dài với khoảng 50 euro/tháng.
Tình trạng dán đè nhằm “đánh tráo mã QR” chuyển tiền gần đây cũng được ghi nhận ở Việt Nam.
Chị Nguyễn Thị Hoa, chủ một quán ăn nhỏ trên phố Nhân Chính cho biết: “Tôi đã bị dán đè mã QR chuyển khoản rồi, bởi mã QR tôi dán ngay trên tường để tiện thanh toán, nhưng không ngờ bị người xấu dán đè lên. Đến khi thấy khách cứ đưa chuyển khoản rồi, họ cũng cho xem bill nhưng máy mình không báo nhận đồng nào hết. Tôi cũng thắc mắc ra xem kỹ lại mới phát hiện ra không phải mã QR của mình”.
Không chỉ dán đè mã QR lên mã của chủ quán khiến tiền chuyển về tài khoản kẻ gian, còn hàng loạt chiêu lừa quét vào các mã QR độc hại khác cần cảnh giác để tránh mất tiền trong tài khoản ngân hàng, ví điện tử...
Theo các chuyên gia, mã QR trước đây không phổ biến trong các cuộc tấn công mạng do hạn chế về khả năng tương tác, bởi người dùng không thể truy cập trực tiếp nội dung độc hại qua QR mà phải sử dụng công cụ quét. Kể từ khi dịch Covid-19 bùng phát, các kênh thanh toán trực tuyến phổ biến do tính tiện dụng thì mã QR cũng trở nên quen thuộc hơn với người dân.
Ông Vũ Ngọc Sơn, Giám đốc công nghệ công ty An ninh mạng NSC cho biết, so với đường link độc hại truyền thống, mã QR có lợi thế là có thể chèn trực tiếp vào email, tin nhắn mà không bị các bộ lọc chặn lại, từ đó dễ dàng tiếp cận người dùng. Hơn nữa, việc phải quét bằng camera cũng khiến phần lớn người dùng truy cập bằng điện thoại cá nhân và kết nối di động, giúp kẻ gian tránh được hàng rào bảo vệ vốn chỉ được trang bị cho máy tính.
Thêm chiêu trò đang rộ lên thời gian gần đây là kẻ xấu phát tán mã QR độc hại qua phát tờ rơi với hình ảnh “nóng”, tạo sự tò mò, thậm chí, chúng đưa lên các trang web, group, bài viết Facebook... để dụ người dùng quét mã.
Cẩn trọng khi quét mã QR
Tại buổi họp báo thường kỳ của Bộ Thông tin và Truyền thông (TT&TT) diễn ra mới đây, ông Nguyễn Duy Khiêm, đại diện Cục An toàn thông tin cho biết, mã QR đã và đang ngày càng phổ biến khắp mọi nơi, không chỉ ở Việt Nam mà ở nhiều nước trên thế giới.
Đặc biệt, sau “cú hích” của đại dịch Covid-19, nhu cầu sử dụng mã QR tăng lên nhanh chóng. Theo số liệu thống kê của Vụ Thanh toán, Ngân hàng Nhà nước, mã QR có tốc độ tăng trưởng mạnh mẽ cả về số lượng và giá trị. Cụ thể, trong năm 2022, thanh toán qua mã QR tăng tới hơn 225% về số lượng và trên 243% về giá trị so với năm 2021.
Ông Nguyễn Duy Khiêm khuyến nghị, người dùng cần thận trọng trước khi quét mã QR Code, đặc biệt cảnh giác với các mã QR được dán hoặc chia sẻ ở những nơi công cộng hoặc gửi qua mạng xã hội, email.
Người dùng cũng cần xác định và kiểm tra kỹ càng thông tin tài khoản người trao đổi mã QR; xem xét kỹ nội dung trang web mà mã QR đưa tới; kiểm tra đường link xem có bắt đầu với “https” và có phải tên miền quen thuộc hay không.
“Người dùng cũng tuyệt đối không cung cấp các thông tin cá nhân như tài khoản đăng nhập ngân hàng, tài khoản mạng xã hội. Sử dụng trình quản lý mật khẩu, xác thực 2 yếu tố và các phương thức bảo vệ khác cho tài khoản”, ông Khiêm nhấn mạnh.
Với việc ứng dụng mã QR ngày càng phổ biến, các chuyên gia cho rằng người dùng phải cẩn trọng khi quét mã từ các nguồn không đáng tin cậy và xem xét việc sử dụng các ứng dụng quét có tính năng bảo mật.
Giám đốc công nghệ công ty An ninh mạng NSC khuyến cáo: “Người dùng chỉ nên quét các mã QR từ nguồn đảm bảo. Còn lại tuyệt đối không ấn vào. Đặc biệt, với các chiêu trò tờ rơi, card visit... phát dọc đường không tò mò truy cập mã QR nhạy cảm để tránh bị lừa đảo, chiếm đoạt tài sản”.
Ông Vũ Ngọc Sơn khẳng định bản chất mã QR không phải là mã độc tấn công trực tiếp mà chỉ là trung gian để chuyển tải nội dung. Vì vậy, người dùng có bị tấn công hay không phụ thuộc vào cách ứng xử của họ, không nên tẩy chay mã QR.
“Về tấn công giả mạo, mã QR sẽ chuyển hướng người dùng đến một trang web giả mạo, lừa dối họ nhập thông tin nhạy cảm như thông tin ngân hàng. Vì thế, người dân phải tỉnh táo, tuyệt đối không nhập thông tin cá nhân, thông tin nhạy cảm liên quan tài khoản ngân hàng ở bất cứ đâu ngoài ứng dụng chính thức của ngân hàng cung cấp”, ông Sơn nhấn mạnh.