Muôn kiểu "sập bẫy" vì mã QR

Theo dõi KT&TD trên

Đứng chờ xe buýt cũng mất oan 5 triệu

Một sáng cuối tuần, anh Long, chủ quán cà phê nhỏ trên phố Hàng Lược (Hà Nội) mở cửa từ sớm như thường lệ. Quán khá đông khách nhờ cafe ngon và cho phép thanh toán qua mã QR.

Khoảng 10h, thời điểm lượng khách tập trung đông, một thanh niên bước vào gọi một ly cappuccino mang đi. Lợi dụng lúc anh Long bận lúi húi pha đồ trong quầy, người đàn ông vờ ngó xem thực đơn, nhưng thực chất là nhanh tay dán đè một tờ giấy nhỏ in mã QR lên bảng thanh toán của quán.

20 phút sau, chị Hồng D, khách quen hàng ngày, vào thanh toán 2 ly cafe kem muối giá 80.000 đồng qua hình thức quét mã QR, thông báo "chị chuyển khoản rồi nhé!" và rời đi. Anh Long cũng tin tưởng nên không để ý số tiền đã đến hay chưa.

Chỉ đến chiều, khi thêm vài ba vị khách nữa phản ánh "đã chuyển khoản rồi" nhưng tài khoản banking không báo số tiền nào tới, anh Long mới nghi ngờ, kiểm tra kỹ mã QR thì phát hiện lớp giấy lạ bị dán đè lên.

Trường hợp khác, chị Vũ Thị V.A (Nguyễn Hoàng, Nam Từ Liêm, Hà Nội) kể lại trải nghiệm "mất tiền trong tích tắc" khi đang đứng chờ xe buýt trước dịp nghỉ lễ 30/4 - 1/5.

Một mã QR được dán ngay tại bến xe với dòng chữ "Quét mã nhận lịch trình xe buýt thông minh - hỗ trợ du lịch Thủ đô". Vì đang rảnh và cũng có nhu cầu sử dụng xe buýt đi chơi dịp nghỉ lễ dài nên chị dùng điện thoại quét mã.

Trang web hiện ra trông rất chuyên nghiệp, yêu cầu cấp quyền truy cập danh bạ, định vị và thông tin thanh toán. Không chút nghi ngờ, chị thực hiện các thao tác. Chỉ vài phút sau, tài khoản ngân hàng của chị bị rút 5 triệu đồng không rõ lý do.

"Tôi không hề nhập mã OTP hay xác nhận chuyển tiền. Mọi thứ đều rất khó hiểu, đến khi gọi ngân hàng thì mới biết đã bị lừa do truy cập một trang web giả mạo có cài mã độc", chị V.A cay đắng chia sẻ.

Anh Vũ Đức Chính, chuyên gia công nghệ mạng cảnh báo: "Chúng ta đang sống trong một thế giới tin nhanh, quét nhanh, nhưng lại không kịp kiểm tra. Đó chính là sơ hở lớn nhất để mã độc len vào từng chiếc điện thoại".

Thủ đoạn lừa đảo ngày càng tinh vi

Trước đó, khoảng đầu năm 2025 khi mạng xã hội rộ lên thông tin chia sẻ về việc sau khi quét mã QR chuyển tiền, ứng dụng bất ngờ yêu cầu quét sinh trắc học, rồi đơ máy, sập nguồn và tài khoản bị hack mất sạch tiền, nhóm các chuyên gia công nghệ đã lên tiếng khẳng định: Việc chia sẻ các thông tin trên mạng xã hội như vậy dễ gây hiểu nhầm vì nhiều người chưa nắm rõ vấn đề, chia sẻ theo thói quen.

Một số tài khoản bán hàng online muốn sử dụng thông tin để "câu like", "câu view" tăng tương tác; một số nạn nhân bị lừa mất tiền nhưng cách diễn đạt khi chia sẻ thông tin thiếu kiến thức để phân tích tình huống dẫn đến thông tin sai lệch.

Hiểu cho đúng, QR code không có lỗi. Nhưng tội phạm đang lợi dụng tâm lý chủ quan của người dùng để nhúng mã độc, đánh cắp thông tin. Điều nguy hiểm là quishing thường không yêu cầu thao tác quá phức tạp, nên người dùng dễ bị lừa chỉ sau vài giây quét mã.

Nhóm các chuyên gia công nghệ mạng Cy Protek thuộc dự án Chongluadao.vn phục vụ mục đích nâng cao nhận thức cộng đồng về an toàn thông tin, tổng hợp một số hình thức mã QR chính đang bị biến tướng có nguy cơ rủi ro tiềm ẩn như: Mã QR có sẵn số tiền và nội dung chuyển khoản; mã QR chứa thông tin số tài khoản người nhận và mã QR dẫn đến website lừa đảo.

Chỉ cần giả danh người mua, gửi mã QR đã cài đặt sẵn số tiền và viện cớ "chuyển nhầm", đối tượng lừa đảo yêu cầu nạn nhân (nhóm kinh doanh bán hàng) hoàn trả số tiền thừa.

Một khi nạn nhân bấm xác nhận mà không kiểm tra kỹ, giao dịch hoàn toàn có thể diễn ra ngay trên Zalo, mà không cần thoát ra khỏi ứng dụng.

"Đây là thủ đoạn đánh trúng tâm lý tin người, kết hợp với giao diện thân thiện và quy trình chuyển tiền tối giản khiến người dùng dễ dàng sa bẫy", chuyên gia cảnh báo.

Một hình thức khác là giả danh nhân viên ngành điện, lợi dụng thông tin cá nhân để gây sức ép. Những câu hỏi được đưa ra dồn dập, kèm theo mã QR yêu cầu thanh toán nhanh. Trong áp lực thời gian và tâm lý lo lắng, nhiều người đã mất cảnh giác, tự tay chuyển tiền vào tài khoản lừa đảo mà không hề hay biết.

Câu chuyện của anh Hoàng Giang (Ba Đình, Hà Nội) là một ví dụ. Một ngày đầu tháng 3, anh nhận cuộc gọi từ người tự xưng là nhân viên ngành điện lực.

Người này đọc chính xác tên, địa chỉ và cả số tiền hơn 900.000 đồng hóa đơn điện tháng trước của gia đình anh, rồi hối thúc thanh toán qua mã QR nếu không sẽ bị "tạm ngắt điện trong vòng 24 giờ".

Vì đang trong giờ làm việc, ngại rắc rối và thấy thông tin quá khớp, anh Giang bấm vào mã và chuyển khoản theo yêu cầu. Đến khi liên lạc với vợ, anh mới biết mình không hề bị nợ tiền điện và toàn bộ câu chuyện chỉ là trò lừa đảo.

Một hình thức lừa đảo bằng mã QR đang gia tăng là dẫn người dùng đến các trang web giả mạo chứa ứng dụng độc hại. Kẻ gian thường dán mã QR lên cửa nhà, xe máy, cửa siêu thị… kèm thông điệp hấp dẫn như "khuyến mãi", "tặng quà", đánh vào sự tò mò của nạn nhân. Khi quét mã, người dùng bị chuyển tới một trang web yêu cầu tải ứng dụng, thực chất là phần mềm chứa mã độc.

Khi cài đặt, ứng dụng này có thể chiếm quyền kiểm soát điện thoại, truy cập tin nhắn, danh bạ, theo dõi thao tác người dùng hoặc tự động gửi mã OTP để thực hiện giao dịch rút tiền. Nguy hiểm hơn, một số mã độc còn âm thầm thu thập thông tin ngân hàng, ví điện tử và thực hiện giao dịch trái phép mà người dùng không hay biết.

Công an cảnh báo "cơn sóng ngầm" nguy hiểm

Tối 5/5, Công an Hà Nội đã phát đi cảnh báo về thủ đoạn lừa đảo mới mang tên "Quishing" đang bùng phát mạnh trên địa bàn thành phố và cả nước.

Theo Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Công an thành phố Hà Nội, trong kỷ nguyên số hóa, mã QR đã trở thành công cụ phổ biến, phục vụ nhiều lĩnh vực đời sống - xã hội. Lợi dụng điều này, các đối tượng xấu sử dụng hình thức lừa đảo trực tuyến "Quishing" và đây đang trở thành một "cơn sóng ngầm" nguy hiểm trong không gian mạng.

"Quishing" (kết hợp của "QR code" và "phishing") là hình thức lừa đảo sử dụng mã QR độc hại để dẫn dụ nạn nhân đến các trang web giả mạo, cài đặt phần mềm độc hại hoặc thực hiện các giao dịch không mong muốn.

Thay vì các đường link đáng ngờ trong email hay tin nhắn, kẻ gian khéo léo lợi dụng hình ảnh mã QR, một công cụ mà nhiều người tin tưởng và sử dụng hằng ngày.

Để chủ động phòng ngừa, ngăn chặn và đấu tranh hiệu quả với tội phạm "Quishing" lừa đảo qua mã QR, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao khuyến cáo người dân cần nâng cao cảnh giác và tuân thủ một số nguyên tắc an toàn.

Cụ thể, luôn kiểm tra kỹ mã QR trước khi quét, đặc biệt là các mã lạ, mã bị dán chồng hoặc xuất hiện ở nơi công cộng. Quan sát kỹ môi trường xung quanh tại các điểm thanh toán để chắc chắn rằng mã QR không bị thay thế. Tránh quét các mã đi kèm ưu đãi bất thường, khuyến mại "khủng" không rõ nguồn gốc.

Sau khi quét, cần kiểm tra kỹ đường link truy cập, đảm bảo đó là địa chỉ bắt đầu bằng "https://" và đúng tên miền của tổ chức.

Người dùng cũng nên sử dụng ứng dụng quét mã uy tín, có khả năng cảnh báo đường dẫn độc hại, đồng thời cập nhật phần mềm diệt virus thường xuyên để bảo vệ thiết bị. Cẩn trọng khi cung cấp thông tin cá nhân sau khi quét mã và nếu phát hiện dấu hiệu lừa đảo, cần báo ngay cho cơ quan chức năng.