Cảnh giác với lừa đảo qua mã QR: Thủ đoạn tinh vi và cách phòng tránh
Hình thức lừa đảo qua mã QR (hay còn gọi là Quishing) là mối đe dọa an ninh mạng tinh vi, trong đó tin tặc ẩn giấu các liên kết độc hại bên trong mã QR nhằm đánh cắp thông tin cá nhân hoặc phát tán phần mềm độc hại vào thiết bị của bạn.
Mã QR (Quick Response Code) ngày nay xuất hiện khắp mọi nơi, từ thực đơn trong nhà hàng, biển quảng cáo, hóa đơn thanh toán cho đến lịch trình xe buýt hay tàu điện.
Việc quét mã QR đã trở thành một thói quen phổ biến, giúp người dùng truy cập thông tin nhanh chóng chỉ bằng một thao tác đơn giản trên điện thoại. Tuy nhiên, chính sự tiện lợi này lại trở thành con dao hai lưỡi khi tội phạm mạng lợi dụng thói quen quét mã QR bừa bãi để triển khai một hình thức lừa đảo mới mang tên Quishing.
Kẻ gian có thể chèn mã QR độc hại vào các bề mặt quen thuộc hoặc gửi qua email, tin nhắn nhằm dụ dỗ nạn nhân quét mã và truy cập vào các trang web giả mạo, từ đó đánh cắp thông tin cá nhân hoặc phát tán phần mềm độc hại vào thiết bị.
Quishing là gì?
Quishing (lừa đảo qua mã QR) là hình thức tấn công mạng trong đó kẻ xấu nhúng một địa chỉ web URL độc hại vào mã QR nhằm đánh lừa người dùng truy cập vào các trang web giả mạo.
Thay vì dẫn đến một trang web hợp lệ, mã QR này có thể chuyển hướng bạn đến một trang web lừa đảo được thiết kế để đánh cắp thông tin đăng nhập, mật khẩu và dữ liệu cá nhân.
Hoặc lén lút tải xuống phần mềm độc hại vào thiết bị của bạn, từ đó cho phép tin tặc chiếm quyền điều khiển, đánh cắp dữ liệu hoặc dẫn đến các trang web chứa nội dung nguy hiểm.
Thoạt nghe có vẻ đơn giản, nhưng Quishing lại là một mối nguy hiểm thực sự. Nếu như khi duyệt web, bạn có thể kiểm tra địa chỉ web URL trước khi nhấp vào, thì với mã QR, bạn không thể biết trước nội dung ẩn bên trong. Chỉ cần một thao tác quét, bạn có thể bị đưa đến một trang web giả mạo hoặc bị buộc tải xuống tệp nguy hiểm mà không hề hay biết.
Hơn nữa, người dùng dễ bị lừa bởi mã QR vì chúng xuất hiện ở khắp mọi nơi, từ nhà hàng, quán cà phê, đến vé sự kiện, quảng cáo, khiến mọi người quét chúng mà không nghi ngờ.
Bên cạnh đó, nhiều doanh nghiệp sử dụng trình rút gọn địa chỉ web URL hoặc nền tảng tạo mã QR của bên thứ ba. Điều này có nghĩa là liên kết nhúng trong mã QR không phải lúc nào cũng dẫn trực tiếp đến trang web chính thức của họ, khiến việc xác định mã QR nào an toàn trở nên khó khăn hơn.
Quishing không chỉ là một mối đe dọa tiềm ẩn mà đã xảy ra trên thực tế và chứng minh được hiệu quả lừa đảo cao.
Các mã QR giả mạo đang được sử dụng để lừa đảo trên toàn thế giới. Tội phạm mạng chỉ cần in một nhãn dán chứa mã QR độc hại và dán đè lên mã QR hợp pháp tại các địa điểm công cộng, chẳng hạn như nhà hàng, bãi đỗ xe, nhà ga,…
Làm thế nào để bảo vệ bản thân khỏi Quishing?
Quishing là một mối đe dọa ngày càng tinh vi, nhưng bạn có thể bảo vệ mình bằng một số biện pháp đơn giản nhưng hiệu quả. Dưới đây là những bước quan trọng giúp bạn tránh trở thành nạn nhân của hình thức lừa đảo này:
1. Sử dụng trình quét mã QR an toàn
Ưu tiên trình quét mã QR mặc định đi kèm với điện thoại của bạn (ví dụ: camera trên iOS và Android).
Hạn chế tải ứng dụng quét mã QR từ bên thứ ba, vì nhiều ứng dụng này có lịch sử kém về bảo mật và quyền riêng tư, có thể thu thập dữ liệu hoặc thậm chí chứa mã độc.
2. Kiểm tra địa chỉ URL trước khi mở liên kết
Sau khi quét mã, xem trước địa chỉ trang web trước khi nhấn vào.
Tránh các liên kết sử dụng trình rút gọn URL (như bit.ly, tinyurl, goo.gl), vì kẻ xấu có thể ẩn giấu địa chỉ thực sự của trang web lừa đảo.
3. Hạn chế sử dụng mã QR để thanh toán
Nếu có thể, tránh thanh toán qua mã QR, đặc biệt là khi mã được dán ở nơi công cộng. Nếu liên kết thanh toán dẫn đến một địa chỉ web không rõ ràng hoặc không thuộc ngân hàng/ứng dụng chính thức, hãy dừng lại ngay.
Cẩn thận với các trang web giả mạo vì tội phạm mạng thường sử dụng tên miền gần giống trang web hợp pháp (ví dụ: paypall.com thay vì paypal.com). Luôn kiểm tra kỹ chính tả trước khi nhập thông tin nhạy cảm.
4. Không quét mã QR ngẫu nhiên ở nơi công cộng
Tránh quét các mã QR xuất hiện trên biển quảng cáo, tờ rơi hoặc dán trên máy thanh toán, vì chúng có thể đã bị thay thế bằng mã độc hại.
Nếu cần quét mã QR từ các địa điểm công cộng, hãy hỏi nhân viên để xác nhận mã đó là hợp pháp.
5. Tăng cường bảo mật trên thiết bị của bạn
Tắt tính năng tải xuống tự động trong trình duyệt web để ngăn phần mềm độc hại được tải về khi bạn truy cập các trang web lừa đảo.
Bật các tính năng bảo vệ quyền riêng tư, như chặn trang web không an toàn hoặc cảnh báo khi truy cập trang web đáng ngờ.
6. Kiểm tra kỹ mã QR vật lý trước khi quét
Quan sát kỹ mã QR bạn sắp quét. Nếu có dấu hiệu bị dán đè lên, chỉnh sửa hoặc trông không đồng nhất với thiết kế xung quanh, hãy tránh xa.
Nếu bạn thấy một nhãn dán mã QR trên máy thanh toán hoặc tại địa điểm công cộng, hãy kiểm tra xem có dấu hiệu bị thay thế hay không và hỏi nhân viên để xác minh.
Tóm lại, tội phạm mạng ngày càng tinh vi trong việc tạo ra các cuộc tấn công Quishing. Hãy luôn cảnh giác, kiểm tra kỹ địa chỉ web URL trước khi nhấp vào, và hạn chế quét mã QR từ nguồn không đáng tin cậy để bảo vệ dữ liệu cá nhân và tài chính của bạn.