Lừa đảo chiếm đoạt tài sản qua phương thức quét mã QR
Mã QR hiện là một trong những hình thức thanh toán phổ biến tại Việt Nam cũng như trên thế giới. Thay vì nhập tên ngân hàng, số tài khoản như trước, người dùng chỉ cần quét là thông tin được tự động điền. Việc liên kết giữa các đơn vị cũng giúp thanh toán QR trở nên đơn giản, khi ứng dụng của ngân hàng này có thể quét QR của bên khác.
Theo số liệu thống kê của Vụ Thanh toán, Ngân hàng Nhà nước, mã QR có tốc độ tăng trưởng mạnh mẽ cả về số lượng và giá trị. Trong năm 2022, thanh toán qua mã QR tăng hơn 225% về số lượng và trên 243% về giá trị. Còn trong 5 tháng đầu 2023, thanh toán qua phương thức quét mã QR tăng 151,14% về số lượng và 30,41% về giá trị so với cùng kỳ năm ngoái.
Tuy nhiên, đây cũng là một kẽ hở để các đối tượng lừa đảo lợi dụng thực hiện các hành vi chiếm đoạt tài sản.
Một thủ đoạn mới gần đây được người dùng phản ánh khi kẻ gian lợi dụng sơ hở bằng cách cho in mã QR có tài khoản ngân hàng của đối tượng này, sau đó dán đè lên mã QR của cửa hàng, nhà hàng hoặc điểm thanh toán khác....
Tại Việt Nam, vào đầu tháng 8 vừa qua, một số ngân hàng đã phát cảnh báo tình trạng lừa đảo thẻ tín dụng thông qua mã QR. Theo đó, thủ đoạn mà kẻ gian thường thực hiện đó là sau khi kết bạn qua mạng xã hội để trao đổi với nạn nhân sẽ gửi mã QR để người dùng quét. Mã này dẫn tới các website giả mạo ngân hàng, trong đó yêu cầu người dùng nhập thông tin như họ tên, số căn cước công dân, tài khoản, mã bí mật hoặc OTP. Từ đó, người dùng bị chiếm tài khoản.
Ngoài việc chiếm đoạt dữ liệu cá nhân, không ít đối tượng quản trị website còn hướng dẫn người dùng nạp tiền hoặc chuyển tiền trước để sử dụng các "dịch vụ" mại dâm cao cấp. Thế nhưng, khi khách hàng chuyển tiền vào tài khoản do các đối tượng lừa đảo cung cấp sẽ bị chiếm đoạt và cắt liên lạc ngay sau đó.
Mã QR dẫn đến website chứa mã độc
Bên cạnh tình trạng mã QR thanh toán tại các cửa hàng bị dán đè khiến tiền chuyển về tài khoản kẻ gian, trong thời gian vừa qua, hiện tượng mã QR độc hại bị phát tán dễ dàng trong các bài viết, hình ảnh thông qua các ứng dụng nhắn tin, diễn đàn, hội nhóm trên mạng xã hội, đặc biệt là trong các chương trình phát sóng trực tiếp (livestream). Khi người xem quét mã sẽ bị chuyển hướng đến các trang quảng cáo cờ bạc kèm mã độc có thể bị cài đặt vào điện thoại.
Mới đây, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Phòng PA05, Công an Lâm Đồng) phát cảnh báo về việc qua kiểm tra mã QR trên card massage "tươi mát", với hình ảnh khiêu dâm phát tán ở TP. Đà Lạt (Lâm Đồng) trong vài ngày qua có link dẫn đến trang web chứa mã độc.
Với thủ đoạn phát card massage "tươi mát" không ghi địa chỉ cụ thể, chỉ in mã QR và trang web, khi có khách truy cập, trang web xuất hiện nhiều hình ảnh gợi cảm và lời chào mời như: "gái đảm đang", "baby non tơ", "tiếp viên chân dài"… Khi khách hàng chọn lựa "nhân viên massage" ưng ý, các chủ trang này yêu cầu khách đặt cọc trước rồi "nhân viên massage" sẽ đến phục vụ tận nơi theo yêu cầu. Thế nhưng, khi khách hàng chuyển tiền vào tài khoản do các đối tượng lừa đảo cung cấp sẽ bị chiếm đoạt và cắt liên lạc ngay sau đó.
Sau khi bắt giữ các đối tượng phát tán những tờ rơi này, lực lượng công an xác định các đường dẫn trên đều dẫn tới trang web chứa nhiều loại mã độc. Đáng chú ý, tại các đường dẫn trên, các đối tượng hướng dẫn các thủ thuật để qua mặt các tính năng bảo mật của điện thoại.
Các chuyên gia bảo mật cảnh báo, sau khi xâm nhập, các mã độc này có thể "nằm vùng" như một gián điệp, thu thập thông tin, điều khiển các ứng dụng ngân hàng, đánh cắp tài khoản, mật khẩu và mã OTP của nạn nhân để thực hiện các hành vi vi phạm pháp luật.
Cảnh giác với chiêu trò quét mã QR để lừa đảo
So với đường link độc hại truyền thống, mã QR có lợi thế là có thể chèn trực tiếp vào email, tin nhắn mà không bị các bộ lọc chặn lại, từ đó dễ dàng tiếp cận người dùng.
Mặc dù trên thực tế, bản chất QR Code không phải mã độc tấn công trực tiếp mà chỉ là trung gian để truyền tải nội dung. Do đó, việc người dùng có bị tấn công hay không phụ thuộc vào cách xử lý nội dung sau khi quét mã QR Code.
Để không bị dính lừa đảo thông qua hình thức này, các chuyên gia khuyến cáo người dùng cần thận trọng trước khi quét mã QR Code, đặc biệt cảnh giác với các mã QR được dán hoặc chia sẻ ở những nơi công cộng hoặc gửi qua mạng xã hội, email; tuyệt đối không cung cấp các thông tin cá nhân như tài khoản đăng nhập ngân hàng, tài khoản mạng xã hội; sử dụng trình quản lý mật khẩu, xác thực 2 yếu tố và các phương thức bảo vệ khác cho tài khoản.
Người dùng cũng cần hết sức cảnh giác với các yêu cầu quét mã QR hoặc truy cập đường link lạ; xác định và kiểm tra kỹ càng thông tin tài khoản người trao đổi mã QR; xem xét kỹ nội dung trang web mà mã QR đưa tới; kiểm tra đường link xem có bắt đầu với “https” và có phải tên miền quen thuộc hay không.
Các ngân hàng cũng cho biết tuyệt đối không yêu cầu khách hàng cung cấp thông tin số thẻ, số CVV2/CVC2 (3 số bảo mật ở mặt sau của thẻ tín dụng) hoặc bất kỳ thông tin bảo mật cá nhân nào khác của khách hàng qua zalo, số điện thoại không định danh. Đồng thời, các ngân hàng cũng khuyến cáo khách hàng tuyệt đối không cung cấp mã xác thực OTP/ Smart OTP cho bất kỳ ai kể cả nhân viên ngân hàng.
Với các cơ quan, đơn vị, tổ chức cung cấp mã QR, trong các hoạt động cần chú ý có cảnh báo tuyên truyền đến người dùng, ví dụ như các ngân hàng thời gian vừa qua cảnh báo đến khách hàng. Bên cạnh đó, kịp thời đưa ra giải pháp xác minh giao dịch có dấu hiệu bất thường; thường xuyên kiểm tra các mã QR được dán tại địa điểm cung cấp.
Lan Oanh