Nguy cơ tiềm ẩn đằng sau sự lên ngôi của mã QR

Những năm gần đây, xu hướng thanh toán không dùng tiền mặt đang tăng trưởng mạnh mẽ. Theo thống kê của hãng Statista, ví điện tử, thẻ và mã QR đã trở thành phương thức thanh toán chính của người dân Việt Nam thay cho tiền mặt. Trong năm 2023, thanh toán điện tử tại Việt Nam có giá trị cao thứ 4 khu vực Đông Nam Á, vượt qua cả Singapore và Malaysia.

Còn theo báo cáo mới nhất của Ngân hàng Nhà nước, giao dịch thanh toán không dùng tiền mặt trong tháng 1/2024 tăng 63,3% về số lượng và 41,45% về giá trị so với cùng kỳ năm 2023, trong đó phương thức thanh toán qua mã QR tăng trưởng mạnh nhất với 892% về số lượng và 1.062% về giá trị.

Khi việc mua rau ở chợ hay uống trà đá đều có thể dùng mã QR để thanh toán thì nhiều người quan tâm đến khả năng bảo mật và chống lừa đảo khi giao dịch bằng hình thức này.

Mã QR có an toàn không?

Mã QR là một dạng liên kết được mã hóa dưới các màu đen, trắng và trong các ô vuông.

Mã QR có thể chứa nhiều loại dữ liệu khác nhau, như địa chỉ trang web, chi tiết liên hệ, thông tin sản phẩm, số tài khoản ngân hàng... Trong các chiến dịch tiếp thị, mã QR có thể giúp khách hàng nhanh chóng tiếp cận thông tin sản phẩm. Đối với thanh toán phi tiếp xúc, nó giúp người mua dễ dàng thanh toán mà không cần sử dụng tiền mặt.

Lợi ích của mã QR là không thể bàn cãi, nhưng đi kèm với đó là những nguy cơ về bảo mật. Theo chuyên gia Vũ Ngọc Sơn, Hiệp hội An ninh mạng quốc gia, do mã QR là một dạng liên kết đã được mã hóa, cho nên khi nhìn vào mã QR thì người sử dụng sẽ không phân biệt được những liên kết này dẫn đến website chính thống hay những website không chính thống, cũng như không phân biệt được đó là tài khoản của người mình cần chuyển tiền hay là tài khoản giả mạo. Chính vì thế, mã QR có thể bị thao túng để đánh cắp thông tin cá nhân hoặc lừa đảo chiếm đoạt tài sản.

Bản đồ các ngành nghề sử dụng mã QR phổ biến

Hình thức lừa đảo bằng mã QR phổ biến nhất trong thời gian gần đây là dán đè. Tại một số cửa hàng, nhà hàng, siêu thị hoặc điểm bán lẻ công cộng đã xuất hiện tình trạng kẻ xấu dùng mã QR của mình dán đè lên mã QR có sẵn để chiếm đoạt các khoản tiền mà người mua chuyển khoản.

Hồi tháng 4, công an quận Tây Hồ nhận được đơn trình báo của một siêu thị mini trên địa bàn về việc bị thiệt hại do dán đè mã QR. Siêu thị này chỉ phát hiện ra việc mình bị thiệt hại tài chính khi khách hàng thông báo đã thanh toán nhưng chủ cửa hàng không nhận được. Sau khi kiểm tra mới phát hiện mã QR trên cửa kính bị dán đè.

Đối với những cửa hàng ăn uống có số lượng khách đông, đối tượng xấu thậm chí còn đăng ký tên tài khoản ngân hàng giống hệt tên chủ cửa hàng, nên khi khách chuyển khoản cho đối tượng xấu thì cả chủ cả khách cũng không nhận ra.

Năm ngoái, Bệnh viện Nhi trung ương (Hà Nội) cũng từng khuyến cáo người nhà bệnh nhân cảnh giác khi thanh toán viện phí bằng mã QR, sau khi phát hiện mặt ngoài một số quầy thanh toán viện phí của Bệnh viện đã bị kẻ xấu dán mã QR giả mạo.

Áp phích tuyên truyền giả mạo mã QR của Bệnh viện Nhi trung ương

Mới đây, Công an tỉnh Lào Cai đã phát hiện một đối tượng dùng phần mềm để tạo hóa đơn thanh toán giả. Công an đã bắt giữ đối tượng Hạ Thị Ngọc, trú tại huyện Vĩnh Tường, tỉnh Vĩnh Phúc. Ngọc đã thực hiện hành vi gian lận bằng cách chụp mã QR của các cửa hàng gửi cho một người tên là Hoài để tạo hóa đơn giả thanh toán tiền mua quần áo và hàng ăn trên địa bàn thành phố Lào Cai.

Một chiêu thức nữa mà đối tượng lừa đảo thường áp dụng là tạo ra mã QR gửi đến người dùng qua email hoặc mạng xã hội, dẫn dụ người dùng quét mã này để truy cập vào trang web độc hại cải trang dưới dạng một trang web chính thống. Trang web này có mục yêu cầu người dùng nhập thông tin cá nhân, tài khoản ngân hàng... để kẻ xấu dễ dàng chiếm đoạt.

Theo chuyên gia bảo mật Ngô Minh Hiếu (Hiếu PC), trong một số trường hợp hacker còn có thể tấn công vào hệ thống quản lý mã QR hợp pháp và chèn thêm mã độc vào các mã QR này. Khi người dùng quét mã, họ sẽ bị chuyển hướng hoặc cài đặt phần mềm độc hại mà không hay biết.

Vì sao mã QR lại là công cụ ưa thích của đối tượng lừa đảo?

Mã QR là công cụ ưa thích của kẻ lừa đảo vì một số lý do sau:

Thứ nhất, mã QR rất dễ tạo ra và rất dễ truy cập. Người dùng chỉ cần có điện thoại thông minh là có thể quét mã QR. Kẻ xấu có thể sử dụng mã QR giả để lừa người dùng truy cập các trang web độc hại, tải về phần mềm độc hại hoặc thực hiện hành vi lừa đảo trực tuyến. Người dùng quét mã có thể không nhận ra rằng họ đang gặp phải nhiều rủi ro.

Thứ hai, kẻ xấu dễ thực thi kỹ thuật social engineering (kỹ năng xã hội - hình thức lừa đảo tác động đến tâm lý nạn nhân). Mã QR được thiết kế trông giống như các mã hợp pháp, do đó người dùng tin tưởng và quét chúng mà không nghi ngờ. Kẻ xấu có thể lạm dụng lòng tin đó và lừa người dùng cung cấp thông tin cá nhân hoặc tải xuống mã độc.

Thứ ba, mã QR có thể dán ở khắp mọi nơi, từ địa điểm công cộng cho đến email, mạng xã hội, trên các áp phích, tờ rơi... Người dùng khi quét các mã này có thể vô tình cho phép kẻ tấn công truy cập vào thiết bị, xâm phạm dữ liệu và có thể bị thiệt hại tài chính.

Thứ tư, dễ khai thác lỗ hổng. Kẻ xấu có thể lợi dụng lỗ hổng trong ứng dụng và phần mềm quét QR để truy cập vào thiết bị.

Người dùng cần làm gì để ngăn chặn rủi ro từ mã QR?

Theo chuyên gia Ngô Minh Hiếu, để phân biệt mã QR thật và giả, người dùng cần chú ý đến nguồn gốc của mã QR. Chỉ quét mã từ các nguồn đáng tin cậy và tránh quét mã từ các nguồn không rõ ràng hoặc các mã QR được dán trên các địa điểm công cộng mà không có sự xác nhận.

Sau khi quét mã QR, luôn kiểm tra kỹ URL (địa chỉ website) hiện lên trước khi truy cập. Nếu URL có dấu hiệu nghi ngờ như chứa nhiều ký tự lạ hoặc không giống với địa chỉ trang web chính thức, hãy cẩn trọng. Theo ông Hiếu, sử dụng các ứng dụng quét mã QR có tích hợp tính năng bảo mật cũng là một biện pháp tốt, giúp cảnh báo nếu URL dẫn đến trang web độc hại.

Trước khi thanh toán tại các địa điểm công cộng, nên kiểm tra xem mã QR có bị dán chồng lên hoặc có dấu hiệu bất thường không.

Người dùng cũng nên cảnh giác, không cung cấp thông tin cá nhân hoặc thông tin tài khoản ngân hàng sau khi quét mã QR trừ khi chắc chắn về độ tin cậy của trang web.

Chuyên gia cũng khuyến cáo cần cài đặt và cập nhật thường xuyên các phần mềm bảo mật trên điện thoại để bảo vệ khỏi phần mềm độc hại. Đặc biệt, không tải xuống và cài đặt ứng dụng từ các liên kết không rõ nguồn gốc được cung cấp sau khi quét mã QR. Đảm bảo rằng tất cả các ứng dụng và hệ điều hành trên thiết bị luôn được cập nhật phiên bản mới nhất để vá các lỗ hổng bảo mật.

Hiểu rõ các nguy cơ và biện pháp bảo vệ sẽ giúp người dùng tránh được những rủi ro khi sử dụng mã QR.

Đăng Khoa