Gần đây, một số người đăng trên mạng xã hội Facebook và Tiktok một cách rất là xôn xao nói về việc sau khi quét mã QR chuyển tiền, ứng dụng bất ngờ yêu cầu quét sinh trắc học, rồi đơ máy, sập nguồn và tài khoản bị chiếm đoạt, mất sạch tiền.
Theo bài viết thuộc “Series Bóc Trần Lừa Đảo” được nhóm CyProtek – thuộc dự án Chongluadao, đây hoàn toàn là thông tin sai lệch.
Sự việc này chỉ là một phiên bản khác của những tin đồn “fake news” (tin giả) tương tự như "nhấn vào link lạ là bị hack sạch tiền ngay lập tức” hoặc “nghe điện thoại thôi là cũng bị mất sạch tiền trong tài khoản ngân hàng”.
Bài viết cho biết, mã QR (Quick Response) là một loại mã vạch hai chiều (2D barcode) được thiết kế để lưu trữ nhiều loại dữ liệu, bao gồm URL, văn bản, số điện thoại, thông tin thanh toán, hay tọa độ địa lý; cho phép người dùng truy cập nhanh bằng cách quét qua camera trên điện thoại hoặc thiết bị quét mã chuyên dụng.
Bản thân mã QR không có cơ chế bảo mật, chỉ lưu trữ thông tin thụ động. Tuy nhiên, thông tin trong mã QR có thể dẫn đến các trang web độc hại hoặc lừa đảo nếu không được kiểm tra kỹ trước khi quét.
1. Các kịch bản lừa đảo sử dụng mã QR
Gần đây, những kẻ lừa đảo thường giả danh nhân viên điện lực EVN để sử dụng thủ đoạn tinh vi để thao túng tâm lý nạn nhân. Cụ thể, những kẻ này sẽ tạo áp lực và đe dọa cắt điện, liên tục đặt câu hỏi và cung cấp các thông tin cá nhân của nạn nhân, thậm chí biết cả số tiền trong hóa đơn điện của họ.
Chúng thường đưa ra các câu hỏi như: "Anh/chị đã liên kết ngân hàng để thanh toán tiền điện chưa?" "Khả năng nhà anh/chị sẽ bị cắt điện nếu không thực hiện điều này…!" - nhằm tạo sự tin tưởng và gây áp lực để nạn nhân thực hiện theo hướng dẫn mà không kịp nghi ngờ.
Chúng sẽ yêu cầu nạn nhân thực hiện các bước liên kết hoặc thanh toán phí kích hoạt dịch vụ qua mã QR. Một số trường hợp, kẻ lừa đảo yêu cầu facetime để theo dõi các thao tác của nạn nhân trên ứng dụng ngân hàng, qua đó biết được số dư tài khoản hiện tại.
Tiếp theo, kẻ lừa đảo yêu cầu nạn nhân thanh toán phí kích hoạt liên kết, ví dụ như 23.121 đồng. Tuy nhiên, chúng cố tình chỉnh mã QR thành 23.121.014 đồng. Vì Zalo chỉ hiển thị con số mà không kèm phần chữ (như “hai mươi ba triệu…”), nạn nhân dễ nhầm lẫn do tâm lý căng thẳng và không tỉnh táo.
Khi nhấn “Chuyển tiền” Zalo sẽ dẫn nạn nhân qua app ngân hàng. Do áp lực tâm lý, nạn nhân không kiểm tra kỹ số tiền hiển thị, tiếp tục thực hiện các bước xác nhận như quét khuôn mặt hoặc nhập mã OTP. Đến khi nhận được thông báo trừ tiền qua tin nhắn văn bản SMS hoặc ứng dụng ngân hàng, nạn nhân mới nhận ra đã bị lừa. Lúc này, kẻ lừa đảo thường nhanh chóng chặn liên lạc.
Tương tự kịch bản trên, tình huống giả danh người mua hàng cũng diễn ra với cách thức tương tự. Kẻ lừa đảo giả vờ chuyển nhầm số tiền lớn hơn giá trị thực của món hàng. Sau đó, chúng gửi mã QR đã được thiết lập sẵn số tiền cao hơn để yêu cầu nạn nhân hoàn trả.
Bằng cách này, kẻ lừa đảo thao túng tâm lý nạn nhân, lợi dụng sự nhầm lẫn và thiếu cảnh giác để thực hiện hành vi lừa đảo.
Mã QR chứa số tài khoản người nhận
Đây là loại mã QR mà người chuyển tiền cần tự nhập thông tin số tiền và nội dung trước khi xác nhận giao dịch. Trong mọi trường hợp, ứng dụng ngân hàng sẽ yêu cầu người dùng xác nhận thông tin trước khi thực hiện bước sinh trắc học hoặc nhập mã OTP.
Trường hợp khác, những kẻ lừa đảo sẽ đóng giả nhằm lừa đảo đầu tư online.
Theo đó, kẻ lừa đảo gửi mã QR chỉ chứa thông tin tài khoản người nhận và yêu cầu nạn nhân tự nhập số tiền chuyển khoản. Các kịch bản thường thấy bao gồm: Tham gia đầu tư, làm nhiệm vụ, chốt đơn.
Bên cạnh đó, kẻ lừa đảo sử dụng mã QR để dẫn nạn nhân đến một trang web giả mạo, thường yêu cầu tải xuống ứng dụng chứa mã độc. Các ứng dụng này chủ yếu nhắm vào người dùng Android qua file.apk. Sau khi cài đặt, ứng dụng có thể:
- Chiếm quyền kiểm soát điện thoại: Thu thập quyền truy cập vào hệ thống, bao gồm tin nhắn SMS, danh bạ, và thông tin ứng dụng. - Đánh cắp thông tin ngân hàng/ví điện tử: Mã độc theo dõi thao tác của nạn nhân hoặc tự động gửi mã OTP để thực hiện giao dịch rút tiền. - Thực hiện giao dịch trái phép.2. Giải pháp để tránh bị hack qua mã QR không hợp lệ, độc hại
Theo bài viết, để tránh bị hack qua mã QR không hợp lệ, độc hại người dùng cần: - Không quét mã QR không rõ nguồn gốc : Hãy cảnh giác với các mã QR được dán ở nơi công cộng hoặc do người lạ gửi qua tin nhắn, email. Trước khi quét, kiểm tra kỹ xem mã QR có bị dán đè hoặc sửa đổi so với mã gốc của người bán hoặc tổ chức không. - Cẩn trọng với các tệp đính kèm : Không tải xuống tệp đính kèm từ email hoặc tin nhắn không đáng tin cậy. Đặc biệt cẩn thận với các tệp có đuôi nguy hiểm như .bat, .apk, .rar, .zip, .exe, .docx, .xlsx, .pdf. Sử dụng công cụ quét virus để kiểm tra tệp trước khi mở. - Kiểm chứng thông tin trước khi thanh toán : Đối chiếu mã QR với người nhận để đảm bảo đúng tài khoản và số tiền cần chuyển. Cẩn thận với các mã QR hiển thị số tiền nhỏ để đánh lừa tâm lý, hãy xác minh kỹ tổng số tiền thực tế. - Kiểm tra thông tin đường dẫn trước khi nhấp : Không nhấp vào đường link sau khi quét mã QR nếu không chắc chắn về nguồn gốc. Luôn kiểm tra đường dẫn kỹ lưỡng để phát hiện lỗi chính tả hoặc các địa chỉ trang web giả mạo. - Cảnh giác với các cuộc gọi giả danh : Không tin các cuộc gọi từ người tự xưng là công an, nhân viên ngân hàng, bưu điện, hoặc dịch vụ công, đặc biệt khi họ yêu cầu quét mã QR hoặc tải ứng dụng từ ngoài CH Play hay App Store . Các cơ quan chính thống sẽ không bao giờ yêu cầu bạn thực hiện những hành động này qua mạng. - Luôn giữ cảnh giác Nếu có điều gì không rõ ràng hoặc nghi ngờ, hãy hỏi chuyên gia an toàn thông tin, cơ quan chức năng, ngân hàng hoặc liên hệ trực tiếp với tổ chức liên quan để xác nhận. Truy cập các trang web uy tín để tìm hiểu thêm, ví dụ: dauhieuluadao.com hoặc các nền tảng phòng chống lừa đảo.