Cẩn trọng với nguy cơ rò rỉ thông tin cá nhân từ quét mã QR

Mã QR đang ngày càng trở nên quen thuộc với người dùng Việt Nam từ thanh toán, khai báo thông tin, nhận ưu đãi, đến truy cập nhanh vào các dịch vụ số. Tuy nhiên, cũng chính vì sự phổ biến và tiện lợi này mà các đối tượng xấu đã biến mã QR thành công cụ lừa đảo, với hình thức tấn công mới mang tên “Quishing”.

"Quishing" (kết hợp của "QR code" và "phishing") là hình thức lừa đảo sử dụng mã QR độc hại để dẫn dụ nạn nhân đến các trang web giả mạo, cài đặt phần mềm độc hại hoặc thực hiện các giao dịch không mong muốn.

Đáng nói, thay vì sử dụng hình thức chèn đường link vào Email hay tin nhắn, nhiều kẻ gian đã lợi dụng hình ảnh mã QR - công cụ nhiều người tin tưởng và sử dụng hàng ngày vào mục đích xấu.

(Ảnh: Cổng thông tin điện tử Công an Thành phố Hà Nội)

Công an Thành phố Hà Nội chỉ ra các chiêu thức "Quishing" phổ biến:

- Mã QR giả mạo nơi công cộng: Dán đè hoặc thay thế mã QR thanh toán, thông tin tại nhà hàng, bến xe... bằng mã QR của các đối tượng để chiếm đoạt tiền khi người dùng thanh toán.

- Mã QR trong thư điện tử và tin nhắn lừa đảo: Giả mạo các tổ chức uy tín gửi thông báo kèm mã QR dẫn đến trang web đánh cắp thông tin đăng nhập hoặc yêu cầu chuyển tiền.

- Mã QR trên sản phẩm và tài liệu giả: In mã QR của các đối tượng trên hàng giả, vé số ảo, tài liệu lừa đảo để dẫn dụ người dùng truy cập các trang web nguy hiểm hoặc cung cấp thông tin cá nhân.

- Tấn công trung gian qua mã QR: Can thiệp vào quá trình quét, chuyển hướng người dùng qua một trang web thu thập dữ liệu trước khi đến trang thật.

Nạn nhân của "Quishing" có thể phải đối mặt với nhiều hậu quả nghiêm trọng, bao gồm:

- Đánh cắp thông tin cá nhân: Rò rỉ tên tuổi, địa chỉ, số điện thoại, email, tài khoản mạng xã hội.

- Mất tiền trong tài khoản: Bị chiếm đoạt thông tin ngân hàng, thẻ tín dụng và thực hiện các giao dịch trái phép.

- Thiết bị nhiễm mã độc: Bị cài đặt phần mềm gián điệp, virus, khóa dữ liệu tống tiền.

- Trở thành nạn nhân của các hình thức lừa đảo khác: Thông tin cá nhân bị đánh cắp có thể được sử dụng cho các mục đích xấu xa hơn.

Chị Nguyễn Thị Oanh (tên nhân vật được thay đổi) - đại diện một siêu thị tại quận Cầu Giấy, TP Hà Nội cho biết, cách đây vài ngày, nhân viên tại quầy thu ngân phát hiện một mã QR thanh toán bị dán đè bằng một mã khác lạ. Ban đầu, không ai chú ý vì mã này được in, đặt đúng vị trí quen thuộc. Tuy nhiên, khi một khách hàng phản ánh đã chuyển tiền nhưng siêu thị không nhận được, sự việc mới bắt đầu được rà soát kỹ.

"Chúng tôi kiểm tra lại và phát hiện mã QR thật đã bị kẻ gian dán đè lên bằng mã giả. Khách hàng vẫn nghĩ đang thanh toán cho siêu thị, nhưng thực chất tiền đã chuyển vào tài khoản của đối tượng lừa đảo. Nhiều người phản ánh họ bị chiếm quyền kiểm soát điện thoại khi nhỡ nhấn vào đường link sau khi quét mã QR" - chị Oanh chia sẻ.

Theo lời kể của chị Nguyễn Thị Hồng Thanh (33 tuổi), chủ một cửa hiệu thời trang tại Cầu Giấy (Hà Nội), sau khi khách thanh toán 700.000 đồng bằng phương thức quét mã QR thì chị phát hiện tiền khách đã bị trừ nhưng tài khoản của chị không nhận được bất cứ thông báo nhận tiền nào. Cảm thấy khó hiểu, chị Thanh kiểm tra lại mã QR ngay quầy thanh toán và cảm thấy sốc khi mã vạch ấy không liên kết với tài khoản của mình mà của một tài khoản "lạ hoắc lạ huơ".

Chị Thanh cho biết: "Có lẽ một người nào đó đã dán mã QR của họ thay thế mã QR của mình. Do khách hàng ra vào liên tục, nên mình không để ý kiểm soát hết hành vi của kẻ gian".

Ông Nguyễn Văn Thìn - Chuyên gia bảo mật của Chongluadao cho biết, mã QR là một dạng thông tin được hiển thị dưới dạng hình ảnh 2D vạch ma trận. Đây là một dạng thông tin được mã hóa để hiển thị sao cho máy có thể đọc được. Mã QR cho phép các thiết bị đọc mã thông qua camera trên smartphone.

Ông Thìn khẳng định, việc mở camera và quét mã QR không làm cho điện thoại của người dùng bị dính mã độc/bị hack ngay lập tức. Tuy nhiên, những thao tác sau đó có thể khiến người dùng gặp nhiều rủi ro. Nếu người dùng quét mã QR, sau đó truy cập vào đường link hoặc tải phần mềm lạ, điện thoại có thể bị chiếm quyền điều khiển. Từ đó, thông tin của người dùng cũng có thể bị lộ lọt.

"Nếu lỡ click vào đường link lạ hoặc tải phần mềm lạ, người dùng cần ngay lập tức ngắt kết nối Internet sau đó sao lưu dữ liệu của điện thoại bằng máy tính. Tiếp đó, cần cài đặt lại thiết bị về cài đặt gốc. Cuối cùng, cần thiết lập lại thông tin và đổi mật khẩu toàn bộ các tài khoản ngân hàng, mạng xã hội…" - chuyên gia bảo mật đưa ra lời khuyên.

Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao CATP Hà Nội khuyến nghị người dân nên:

- Kiểm tra kỹ trước khi quét mã QR: Luôn xác minh nguồn gốc và tính hợp lệ của mã QR, đặc biệt với các mã lạ hoặc dán chồng.

- Quan sát cẩn thận môi trường xung quanh: Tại điểm thanh toán, phải kiểm tra bảo đảm mã QR không bị can thiệp.

- Cảnh giác với ưu đãi bất thường: Tránh quét mã QR kèm theo các chương trình khuyến mãi quá hấp dẫn.

- Xem xét kỹ URL sau khi quét: Đảm bảo địa chỉ web bắt đầu bằng "https://" và đúng tên miền của tổ chức.

- Sử dụng ứng dụng quét mã an toàn: Cân nhắc dùng ứng dụng có chức năng cảnh báo link độc hại.

- Cập nhật phần mềm bảo mật: Đảm bảo thiết bị được bảo vệ bởi phần mềm diệt virus mới nhất.

- Hạn chế chia sẻ thông tin cá nhân: Cẩn trọng khi cung cấp thông tin sau khi quét mã QR.

- Báo cáo các dấu hiệu lừa đảo: Thông báo ngay cho cơ quan chức năng nếu nghi ngờ bị lừa đảo.

Cục An toàn thông tin (Bộ Thông tin và Truyền thông) khuyến cáo người dân nâng cao cảnh giác khi bắt gặp các tin nhắn, Email hoặc các bài đăng chứa đựng mã QR. (ẢNH: CATTT)

Cục An toàn thông tin - Bộ Thông tin và Truyền thông cũng nhấn mạnh rằng: "Người dùng cần kiểm tra kỹ thông tin trước khi quét mã QR, đặc biệt tránh nhập thông tin cá nhân trên các trang web lạ được dẫn đến sau khi quét mã. Việc áp dụng xác thực hai yếu tố và thường xuyên cập nhật bảo mật thiết bị sẽ giúp giảm thiểu rủi ro."

Người dân không quét mã QR, không click vào đường link lạ hoặc cung cấp mật khẩu, thông tin cá nhân cho người lạ.

Từ góc độ quốc tế, Ủy ban Thương mại Liên bang Mỹ (FTC) cũng đã nhiều lần cảnh báo về mối nguy hại của mã QR giả. FTC khuyến cáo người dùng: "Chỉ nên quét mã QR từ các nguồn đáng tin cậy. Nếu một mã QR yêu cầu hành động ngay lập tức như chuyển tiền hoặc cung cấp thông tin, hãy kiểm tra kỹ trước khi thực hiện."

Trả lời phỏng vấn Báo Tri thức & Cuộc sống, luật sư Nguyễn Ngọc Hùng - Trưởng văn phòng Luật sư Kết Nối nhận định, hành vi lừa đảo quét mã QR để chiếm đoạt tài sản là một dạng tội phạm công nghệ cao, vi phạm nghiêm trọng pháp luật và có thể bị xử lý hình sự theo quy định tại Điều 290 Bộ luật Hình sự năm 2015 (sửa đổi, bổ sung năm 2017) về “Tội sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử để chiếm đoạt tài sản”.

Luật sư Nguyễn Ngọc Hùng - Trưởng Văn phòng luật sư Kết Nối (Đoàn luật sư TP Hà Nội).

Luật sư Nguyễn Ngọc Hùng nhấn mạnh, tùy theo mức độ nghiêm trọng của hành vi và giá trị tài sản chiếm đoạt, người phạm tội có thể bị phạt từ cải tạo không giam giữ đến 03 năm và mức cao nhất là phạt tù đến 20 năm. Ngoài hình phạt tù, người phạm tội còn có thể bị phạt tiền từ 20 triệu đến 100 triệu đồng, bị cấm đảm nhiệm chức vụ, hành nghề hoặc bị tịch thu một phần hoặc toàn bộ tài sản.

Do đó, theo luật sư Nguyễn Ngọc Hùng, để bảo vệ bản thân trước thủ đoạn lừa đảo qua mã QR, cần thận trọng trong mọi giao dịch điện tử. Đầu tiên, không nên quét mã QR từ những nguồn không đáng tin cậy hoặc khi không rõ mục đích sử dụng. Nếu được yêu cầu nhập thông tin tài khoản, mã OTP, hoặc mật khẩu, nên dừng lại ngay và kiểm tra kỹ.

"Cài đặt phần mềm bảo mật trên thiết bị cá nhân cũng là một biện pháp quan trọng để ngăn chặn các mã độc xâm nhập. Ngoài ra, bạn nên kiểm tra lịch sử giao dịch tài khoản thường xuyên để phát hiện sớm các giao dịch bất thường. Trong trường hợp nghi ngờ đã quét phải mã QR độc hại, hãy ngay lập tức liên hệ ngân hàng hoặc ví điện tử để khóa tài khoản và báo cáo sự việc với cơ quan công an. Việc nâng cao nhận thức về các thủ đoạn lừa đảo công nghệ cao và chủ động bảo vệ thông tin cá nhân sẽ giúp bạn tránh trở thành nạn nhân của loại hình tội phạm này", ông Hùng khẳng định.

Thiên Trang