Mã QR rất tiện lợi cho việc thanh toán và truy cập thông tin, tuy nhiên, các đối tượng xấu đã lợi dụng để thực hiện nhiều thủ đoạn lừa đảo tinh vi.

Thời gian gần đây, trên mạng xã hội xuất hiện thông tin cảnh báo về việc, sau khi quét mã QR chuyển tiền, ứng dụng bất ngờ yêu cầu quét sinh trắc học, rồi đơ máy, sập nguồn và tài khoản bị hack mất sạch tiền.

Theo chuyên gia an ninh mạng đến từ dự án Chống lừa đảo, đây hoàn toàn là thông tin sai lệch.

Nhóm chuyên gia an ninh mạng này cũng đưa lý giải liên quan đến việc thanh toán chuyển tiền bằng mã QR. Theo đó, mã QR (Quick Response) là một loại mã vạch hai chiều được thiết kế để lưu trữ nhiều loại dữ liệu, bao gồm URL, văn bản, số điện thoại, thông tin thanh toán, hay tọa độ địa lý.

Mã QR cho phép người dùng truy cập nhanh bằng cách quét qua camera trên điện thoại hoặc thiết bị quét mã chuyên dụng. Bản thân mã QR không có cơ chế bảo mật, chỉ lưu trữ thông tin thụ động. Tuy nhiên, thông tin trong mã QR có thể dẫn đến các trang web độc hại hoặc lừa đảo nếu không được kiểm tra kỹ trước khi quét.

Nhóm chuyên gia an ninh mạng từ dự án này nhấn mạnh: Khi chuyển khoản bằng mã quét QR, nếu mã QR là một đường link thì hệ thống sẽ thông báo mã QR không hợp lệ và không thực hiện bất kỳ thao tác nào. Thế nên sẽ không có tình trạng ứng dụng yêu cầu xác thực sinh trắc học, dẫn tới điện thoại đơ máy và tiền trong tài khoản bay mất tiền.

Theo chuyên gia an ninh mạng, mã QR rất tiện lợi cho việc thanh toán và truy cập thông tin, tuy nhiên, các đối tượng xấu đã lợi dụng để thực hiện nhiều thủ đoạn lừa đảo tinh vi.

Dưới đây là các hình thức phổ biến và những nguy cơ tiềm ẩn cần lưu ý:

Đối với loại mã QR có sẵn số tiền và nội dung chuyển khoản. Đây thường là mã QR thanh toán tại nhà hàng, siêu thị. Người dùng không thể chỉnh sửa thông tin trong mã này, chỉ cần xác nhận giao dịch. Cả cá nhân lẫn doanh nghiệp đều có thể tạo loại mã QR này thông qua ứng dụng ngân hàng, ví điện tử, hoặc ứng dụng thanh toán hóa đơn.

Lợi dụng hình thức này, kẻ gian thường tiếp cận nạn nhân bằng cách tạo ra mã QR đã thiết lập sẵn số tiền và triển khai các kịch bản.

Thứ nhất, kẻ gian giả làm người mua hàng. Chúng tuyên bố đã chuyển nhầm số tiền lớn hơn giá trị thực của món hàng. Sau đó, kẻ lừa đảo gửi mã QR đã thiết lập sẵn số tiền và yêu cầu nạn nhân hoàn trả.

Thứ hai, kẻ gian giả danh nhân viên bưu điện. Chúng yêu cầu nạn nhân liên kết với ứng dụng điện lực EVN hoặc thanh toán phí dịch vụ liên kết qua mã QR.

Các kịch bản này đều nhằm thao túng tâm lý của nạn nhân, buộc họ thực hiện giao dịch mà không kịp nhận ra mình đang bị lừa.

Mã QR thường được gửi qua Zalo, nơi có tính năng tự động hiển thị các tùy chọn như "Quét mã QR" hoặc "Chuyển tiền".

Kẻ lừa đảo sử dụng sự quen thuộc của nạn nhân với các tính năng như "Quét mã QR" hoặc "Chuyển tiền" trên Zalo để dẫn dụ nạn nhân thực hiện giao dịch. Khi nạn nhân nhấn vào các tính năng này, họ được chuyển sang giao diện chuyển tiền ngay trên ứng dụng.

Thứ ba, kẻ gian giả danh nhân viên điện lực EVN. Kẻ lừa đảo sử dụng thủ đoạn tinh vi để thao túng tâm lý nạn nhân như tạo áp lực và đe dọa cắt điện. Kẻ lừa đảo liên tục đặt câu hỏi và cung cấp các thông tin cá nhân của nạn nhân, thậm chí biết cả số tiền trong hóa đơn điện của họ. Chúng thường đưa ra các câu hỏi như: "Anh/chị đã liên kết ngân hàng để thanh toán tiền điện chưa?" "Khả năng nhà anh/chị sẽ bị cắt điện nếu không thực hiện điều này…!"…

Kẻ gian yêu cầu nạn nhân thực hiện các bước liên kết hoặc thanh toán phí kích hoạt dịch vụ qua mã QR. Một số trường hợp, kẻ lừa đảo yêu cầu facetime để theo dõi các thao tác của nạn nhân trên ứng dụng ngân hàng, qua đó biết được số dư tài khoản hiện tại. 

Tiếp theo, kẻ lừa đảo yêu cầu nạn nhân thanh toán phí kích hoạt liên kết, ví dụ như 23.121 đồng. Tuy nhiên, chúng cố tình chỉnh mã QR thành 23.121.014 đồng. Vì Zalo chỉ hiển thị con số mà không kèm phần chữ nên nạn nhân dễ nhầm lẫn do tâm lý căng thẳng và không tỉnh táo.

Khi nhấn "Chuyển tiền" Zalo sẽ dẫn nạn nhân qua app ngân hàng. Do áp lực tâm lý, nạn nhân không kiểm tra kỹ số tiền hiển thị, tiếp tục thực hiện các bước xác nhận như quét khuôn mặt hoặc nhập mã OTP. Đến khi nhận được thông báo trừ tiền qua tin nhắn văn bản SMS hoặc ứng dụng ngân hàng, nạn nhân mới nhận ra đã bị lừa. Lúc này, kẻ lừa đảo thường nhanh chóng chặn liên lạc.

Tương tự kịch bản trên, tình huống giả danh người mua hàng cũng diễn ra với cách thức tương tự. Kẻ lừa đảo giả vờ chuyển nhầm số tiền lớn hơn giá trị thực của món hàng. Sau đó, chúng gửi mã QR đã được thiết lập sẵn số tiền cao hơn để yêu cầu nạn nhân hoàn trả. Bằng cách này, kẻ lừa đảo thao túng tâm lý nạn nhân, lợi dụng sự nhầm lẫn và thiếu cảnh giác để thực hiện hành vi lừa đảo.

Các chuyên gia an ninh mạng cảnh báo người dùng cẩn trọng với thông tin giả, cũng như các hành vi lừa đảo ngày càng tinh vi.

Theo Tùng Lâm (Nguoiduatin.vn)