Chuyên gia an ninh mạng Hiếu PC cảnh báo về 'bẫy lừa đảo quét mã QR mất hết tiền trong tài khoản'
(Thị trường tài chính) -Hiếu PC khuyến cáo mọi người cần cẩn trọng và tìm hiểu kỹ các thông tin trước khi chia sẻ.
Mới đây, trên trang Facebook cá nhân, chuyên gia an ninh mạng Ngô Minh Hiếu (hay còn gọi là Hiếu PC) đã thu hút sự chú ý khi đăng tải bài viết cảnh báo về “bẫy lừa đảo quét mã QR”. Hiện nay, trên các nền tảng mạng xã hội, rất nhiều bài đăng lan truyền thông tin cho rằng mã QR có thể khiến người dùng mất hết tiền trong tài khoản ngay lập tức. Hiếu PC khuyến cáo mọi người cần cẩn trọng và tìm hiểu kỹ các thông tin trước khi chia sẻ. Theo luật hiện hành, hành vi đăng tải thông tin sai sự thật trên mạng xã hội có thể bị phạt lên đến 7,5 triệu đồng.
Ngoài ra, Hiếu PC cũng cung cấp những thông tin hữu ích giúp những người không am hiểu sâu về công nghệ có thể tránh được các rủi ro, đồng thời chia sẻ những phương pháp phòng tránh đơn giản nhưng hiệu quả.
Với thông tin mã QR hack mất tiền trong tài khoản ngay lập tức, Hiếu PC khuyên mọi người cần tìm hiểu rõ về mã QR. Mã QR (Quick Response) là một loại mã vạch hai chiều (2D barcode) được thiết kế để lưu trữ nhiều loại dữ liệu, bao gồm URL, văn bản, số điện thoại, thông tin thanh toán hay tọa độ địa lý. Mã QR cho phép người dùng truy cập nhanh bằng cách quét qua camera trên điện thoại hoặc thiết bị quét mã chuyên dụng. Tên gọi "Quick Response" xuất phát từ khả năng quét và giải mã cực nhanh so với mã vạch truyền thống. Mã QR không có cơ chế bảo mật, chỉ lưu trữ thông tin thụ động. Tuy nhiên, thông tin trong mã QR có thể dẫn đến các trang web độc hại hoặc lừa đảo nếu không được kiểm tra kỹ trước khi quét.
Về thông tin cho rằng mã QR có thể hack và làm mất tiền trong tài khoản ngay lập tức, Hiếu PC khẳng định đó hoàn toàn là thông tin sai lệch, tương tự như những lời đồn đoán như “nhấn vào link lạ là bị hack mất tiền ngay lập tức” hay “chỉ cần nghe điện thoại là tài khoản ngân hàng bị mất sạch tiền”. Bởi vì nếu mã QR thực sự là một đường link, khi người dùng sử dụng ứng dụng ví điện tử hoặc ngân hàng để quét, hệ thống sẽ ngay lập tức thông báo mã QR không hợp lệ và không thực hiện bất kỳ thao tác nào. Chính vì vậy, anh khuyến cáo mọi người nên tìm hiểu kỹ trước khi chia sẻ bất kỳ thông tin nào.
Hiếu PC cũng chia sẻ các hình thức lừa đảo phổ biến và những nguy cơ tiềm ẩn mà mọi người cần lưu ý:
- Các loại mã QR chuyển tiền:
Mã QR có sẵn số tiền và nội dung chuyển khoản
Kẻ lừa đảo có thể tiếp cận nạn nhân bằng cách tạo mã QR với số tiền và các kịch bản lừa đảo đã thiết lập sẵn, như:
Giả danh người mua hàng: Kẻ lừa đảo sẽ giả vờ chuyển nhầm số tiền lớn hơn giá trị thực của món hàng, rồi gửi mã QR yêu cầu nạn nhân hoàn trả số tiền thừa. Nhiều người đã gặp phải tình huống này và chia sẻ cảnh báo với cộng đồng.
Giả danh nhân viên bưu điện: Các đối tượng xấu thường giả danh nhân viên điện lực EVN để tạo áp lực, đe dọa cắt điện, sau đó yêu cầu nạn nhân thanh toán phí dịch vụ qua mã QR.
Mã QR này thường được gửi qua Zalo, với tính năng tự động hiển thị các tùy chọn như “Quét mã QR” hoặc “Chuyển tiền”. Sau đó, kẻ lừa đảo yêu cầu nạn nhân thanh toán phí kích hoạt liên kết, ví dụ như 23.121 đồng. Tuy nhiên, mã QR có thể được chỉnh thành 23.121.014 đồng. Vì Zalo chỉ hiển thị con số mà không có chữ (như “hai mươi ba triệu…”), nạn nhân dễ dàng bị nhầm lẫn.
- Mã QR chứa số tài khoản người nhận
Loại mã QR này yêu cầu người dùng nhập số tiền và nội dung chuyển khoản trước khi xác nhận giao dịch. Trong mọi trường hợp, ứng dụng ngân hàng sẽ yêu cầu xác nhận thông tin trước khi thực hiện các bước bảo mật như sinh trắc học hoặc nhập mã OTP. Kẻ lừa đảo có thể áp dụng hai hình thức lừa đảo tinh vi: lừa đầu tư online và thay thế mã QR tại các cửa hàng.
Mã QR dẫn tới website lừa đảo: Kẻ lừa đảo thường giả mạo các ngân hàng, tổ chức tài chính hoặc mạng xã hội để lấy cắp thông tin đăng nhập của người dùng. Chúng cũng có thể giả danh các cơ quan nhà nước hoặc dịch vụ công như Công an (VNEID), Bảo hiểm xã hội (VSSID), Điện lực (EVN), Cục thuế (ETax Mobile)... Những ứng dụng này thường yêu cầu người dùng tải file .apk trên điện thoại Android, từ đó chiếm quyền kiểm soát thiết bị và đánh cắp dữ liệu cá nhân.
Hiện nay, có trên 100 hội nhóm chuyên mua bán thông tin tài khoản Zalo, Facebook… Các trung tâm lừa đảo hoặc các đối tượng lừa đảo thường mua kịch bản từ các "chuyên gia" nói tiếng Trung hoặc tải những kịch bản được chia sẻ miễn phí trên Telegram. Sau đó, họ dịch kịch bản sang ngôn ngữ của nạn nhân và học thuộc quy trình để thực hiện lừa đảo.
Hiếu PC đưa ra giải pháp để tránh bị hack qua mã QR không hợp lệ độc hại:
- Không quét mã QR không rõ nguồn gốc: Mọi người hãy cảnh giác với các mã QR được dán ở nơi công cộng hoặc do người lạ gửi qua tin nhắn, email. Trước khi quét, hãy chủ động kiểm tra kỹ xem mã QR có bị dán đè hoặc sửa đổi so với mã gốc của người bán hoặc tổ chức không.
- Cẩn trọng với các tệp đính kèm: Tuyệt đối không tải xuống tệp đính kèm từ email hoặc tin nhắn không đáng tin cậy. Đặc biệt cẩn thận với các tệp có đuôi nguy hiểm như .bat, .apk, .rar, .zip, .exe, .docx, .xlsx, .pdf. Ngoài ra, bạn có thể sử dụng công cụ quét virus như VirusTotal.com để kiểm tra tệp trước khi mở.
- Kiểm chứng thông tin trước khi thanh toán: Khi được yêu cầu thanh toán qua mã QR, hãy đối chiếu mã QR với thông tin người nhận để đảm bảo đúng tài khoản và số tiền cần chuyển. Đồng thời, mọi người nên cẩn thận với các mã QR hiển thị số tiền nhỏ để đánh lừa tâm lý, hãy xác minh kỹ tổng số tiền thực tế.
- Kiểm tra thông tin đường dẫn trước khi nhấp: Tuyệt đối không nhấp vào đường link sau khi quét mã QR nếu không chắc chắn về nguồn gốc. Bạn hãy kiểm tra đường dẫn kỹ lưỡng để phát hiện lỗi chính tả hoặc các địa chỉ trang web giả mạo.
- Cảnh giác với các cuộc gọi giả danh: Với các cuộc gọi từ người tự xưng là công an, nhân viên ngân hàng, bưu điện, hoặc dịch vụ công, đặc biệt khi họ yêu cầu quét mã QR hoặc tải ứng dụng từ ngoài CH Play hay App Store, hãy cảnh giác để không bị rơi vào bẫy của kẻ lừa đảo bởi các cơ quan chính thống sẽ không bao giờ yêu cầu bạn thực hiện những hành động này qua mạng.
- Luôn giữ cảnh giác: Nếu có điều gì không rõ ràng hoặc nghi ngờ, bạn hãy hỏi chuyên gia an toàn thông tin, cơ quan chức năng, ngân hàng hoặc liên hệ trực tiếp với tổ chức liên quan để xác nhận.
