Cảnh báo chiêu trò lừa đảo Quishing và dấu hiệu nhận biết mã QR giả

Chiêu lừa mới ‘quét mã QR gửi trong bưu phẩm’ xuất hiện tại một số địa phương

FPT ‘quét sạch’ nỗi lo mạo danh

Gia tăng các cuộc tấn công Quishing

Quishing là gì và quy mô bùng phát hiện nay?

"Quishing" là hình thức lừa đảo sử dụng mã QR giả mạo hoặc độc hại để dụ người dùng quét, sau đó chuyển hướng họ đến các trang web giả, chứa phần mềm gián điệp hoặc các trang yêu cầu khai báo thông tin nhạy cảm như mật khẩu, thông tin thẻ tín dụng. Một số hình thức phổ biến gồm:

• Dán đè mã QR giả lên các mã QR thật tại nơi công cộng như nhà hàng, bến xe, cây xăng.
• Gửi mã QR giả qua email, tin nhắn với nội dung cảnh báo an ninh giả mạo, ví dụ yêu cầu xác thực tài khoản.
• Gửi kèm mã QR trong các gói hàng không rõ nguồn gốc để lừa đảo.

Năm 2025, theo báo cáo từ các công ty an ninh mạng như KeepNet Labs và NordVPN:

• 26% liên kết độc hại được truyền qua mã QR.
• 73% người Mỹ quét mã QR mà không kiểm tra nguồn gốc, dẫn đến hơn 26 triệu trường hợp truy cập trang web độc hại.
• Các vụ tấn công quishing tăng 50% trong năm vừa qua.

Mục tiêu và tác hại của quishing

Một trong những đặc điểm đáng lo ngại của hình thức tấn công này là mức độ nhắm mục tiêu rất cụ thể, đặc biệt là vào các đối tượng có quyền lực hoặc quyền truy cập hệ thống cao trong doanh nghiệp.

Các đối tượng lừa đảo thường nhắm vào mục tiêu là các lãnh đạo, giám đốc điều hành (CEO) và các vị trí quản lý cấp cao có nguy cơ bị tấn công gấp nhiều lần so với nhân viên bình thường. Nguyên nhân là vì họ thường có quyền truy cập vào hệ thống dữ liệu nhạy cảm, tài chính hoặc cơ sở hạ tầng cốt lõi của doanh nghiệp. Việc chiếm quyền kiểm soát tài khoản của các cá nhân này có thể mang lại giá trị lớn cho kẻ tấn công.

Các đối tượng lừa đảo thường tập trung vào nhóm người thường xuyên sử dụng mã QR để thanh toán, mua sắm hay truy cập dịch vụ trực tuyế. Nhóm người dùng này thường có thói quen quét mã nhanh chóng mà không kiểm tra kỹ nguồn gốc. Tội phạm mạng lợi dụng điều này để gắn mã QR giả tại quầy tính tiền, nơi công cộng hoặc gửi qua mạng xã hội, ứng dụng nhắn tin nhằm đánh cắp thông tin cá nhân, tài khoản ngân hàng hoặc cài mã độc. Những người thiếu kiến thức về bảo mật, người lớn tuổi và trẻ nhỏ thường là nhóm dễ bị lừa đảo nhất khi quét mã QR

Một xu hướng khác được ghi nhận là người dùng thiết bị iOS, đặc biệt là iPhone, thường có tâm lý chủ quan về bảo mật, do tin tưởng vào hệ điều hành an toàn của Apple. Điều này khiến họ ít cảnh giác hơn khi quét mã QR lạ, từ đó dễ trở thành nạn nhân của các cuộc tấn công quishing tinh vi.

Dấu hiệu nhận biết mã QR giả

Trong thời đại số, mã QR ngày càng trở nên phổ biến, đi kèm với đó là nguy cơ từ mã QR giả mạo. Việc nhận biết các dấu hiệu lừa đảo sẽ giúp bạn bảo vệ thông tin cá nhân và tài chính

Nhận diện Mã QR thật, giả

Người dùng cần lưu ý các dấu hiệu sau đây để tránh bị lừa:

1. Mã QR bị dán đè hoặc có dấu hiệu can thiệp thủ công: Hãy kiểm tra kỹ xem mã QR có bị dán chồng lên một lớp mã khác hay không. Kẻ gian thường in mã giả rồi dán đè lên mã thật tại các địa điểm công cộng như ATM, quán cà phê, điểm gửi xe… Nếu có dấu hiệu keo dán, bong tróc, lệch màu hoặc không đồng nhất với nền thì cần cảnh giác.
2. Chất lượng in kém hoặc thiết kế không đồng bộ với thương hiệu: Mã QR giả thường được in nhanh bằng thiết bị kém chất lượng, có thể bị nhòe, lệch màu, khó quét. Ngoài ra, nếu mã QR được đặt trong tờ rơi, banner hay sản phẩm có thiết kế không phù hợp hoặc sai lệch về màu sắc, logo của thương hiệu, đó cũng là dấu hiệu đáng nghi.
3. Vị trí dán mã bất thường hoặc không đáng tin cậy: Nếu mã QR được đặt ở những nơi không hợp lý như góc khuất, tường cũ kỹ, cột điện, trạm xe buýt… người dùng nên cân nhắc kỹ trước khi quét. Các tổ chức uy tín thường dán mã QR ở vị trí dễ thấy, có chú thích rõ ràng và được bảo vệ cẩn thận.
4. Không hiển thị đường link rõ ràng sau khi quét: Sau khi quét mã QR, nếu không thấy hiển thị URL hoặc đường dẫn hiển thị mơ hồ, có ký tự lạ, không bắt đầu bằng “https://” thì không nên tiếp tục truy cập. Mã độc thường dẫn tới trang web giả mạo có địa chỉ gần giống trang chính thức để đánh lừa người dùng.
5. Yêu cầu cung cấp thông tin nhạy cảm ngay sau khi quét: Nếu trang đích yêu cầu nhập thông tin cá nhân, tài khoản ngân hàng, mật khẩu hoặc mã OTP ngay sau khi quét, người dùng cần lập tức thoát khỏi trang. Đây là cách phổ biến mà tội phạm mạng sử dụng để đánh cắp thông tin.
6. Ưu đãi phi lý hoặc lời kêu gọi hành động khẩn cấp: Những thông tin đi kèm như “trúng thưởng 100 triệu”, “giảm giá 90% chỉ trong hôm nay”, “nhanh tay quét mã để không bỏ lỡ”… thường là chiêu trò đánh vào tâm lý hám lợi hoặc hoảng sợ để người dùng vội vàng quét mã mà không kiểm tra kỹ.

Biện pháp phòng chống quishing

Người dùng nên sử dụng ứng dụng quét mã có tích hợp kiểm tra bảo mật, luôn kiểm tra kỹ đường link trước khi truy cập, và tuyệt đối không cung cấp thông tin cá nhân nếu không chắc chắn về nguồn gốc mã QR.

Cảnh báo chiêu trò lừa đảo Quishing qua mã QR

Đối với cá nhân: Nâng cao cảnh giác khi sử dụng mã QR

Trước sự gia tăng của các vụ lừa đảo qua mã QR (quishing), mỗi người dùng cần trang bị cho mình những kiến thức và thói quen an toàn để bảo vệ thông tin cá nhân và tài sản:

• Không quét mã QR từ nguồn không rõ ràng: Tránh quét mã từ email, tin nhắn, mạng xã hội hoặc các tờ rơi, biển quảng cáo dán ở nơi công cộng nếu cảm thấy nghi ngờ. Tội phạm mạng thường lợi dụng những kênh này để phát tán mã độc.
• Kiểm tra kỹ đường link (URL) trước khi truy cập: Sau khi quét mã, hãy kiểm tra cẩn thận địa chỉ trang web hiển thị. Chỉ truy cập nếu URL bắt đầu bằng "https://" và thuộc các tên miền chính thức, tránh những địa chỉ lạ, sai chính tả hoặc chứa ký tự bất thường.
• Sử dụng ứng dụng quét mã có chức năng hiển thị trước URL: Ưu tiên dùng các ứng dụng quét mã QR đáng tin cậy có tính năng cảnh báo nếu phát hiện liên kết nguy hiểm hoặc có dấu hiệu lừa đảo. Không nên quét trực tiếp bằng camera mặc định nếu không có tính năng kiểm tra bảo mật.
• Cập nhật phần mềm bảo mật và hệ điều hành thường xuyên: Đảm bảo thiết bị di động, trình duyệt và phần mềm diệt virus luôn ở phiên bản mới nhất để được cập nhật các bản vá lỗi và cơ chế bảo vệ chống lại mã độc, trong đó có các hình thức tấn công qua mã QR.
• Cá nhân: Không quét mã QR từ nguồn không rõ ràng, đặc biệt là email, tin nhắn hay các nơi công cộng nếu nghi ngờ. Kiểm tra kỹ URL trước khi truy cập vào trang web sau khi quét mã. Sử dụng ứng dụng quét có hiển thị trước URL. Cập nhật phần mềm bảo mật thường xuyên.

Đối với doanh nghiệp: Chủ động phòng ngừa rủi ro từ mã QR độc hại

Trong bối cảnh tội phạm mạng ngày càng tinh vi, đặc biệt là hình thức quishing, lừa đảo thông qua mã QR, các doanh nghiệp cần chủ động triển khai các biện pháp bảo vệ toàn diện nhằm giảm thiểu rủi ro và bảo vệ hệ thống nội bộ.

• Sử dụng mã QR có thương hiệu riêng biệt: Doanh nghiệp nên thiết kế mã QR đi kèm logo, màu sắc nhận diện hoặc các yếu tố đồ họa đặc trưng để tăng tính nhận biết và khó bị giả mạo. Đồng thời, mã QR nên dẫn tới tên miền chính thức, rõ ràng, dễ xác minh.
• Kiểm tra định kỳ các mã QR tại nơi làm việc: Tất cả mã QR được dán tại văn phòng, quầy dịch vụ, hoặc các điểm giao tiếp với khách hàng nên được kiểm tra thường xuyên nhằm phát hiện các trường hợp mã bị thay thế, dán chồng hoặc can thiệp trái phép.
• Đào tạo nhân viên nhận diện rủi ro từ quishing: Tổ chức các buổi huấn luyện về an toàn thông tin, hướng dẫn cách phát hiện mã QR giả, nhận biết email chứa mã độc hoặc trang web lừa đảo. Nhân viên chính là tuyến phòng thủ đầu tiên và hiệu quả nếu được trang bị kiến thức đầy đủ.
• Tăng cường giải pháp bảo mật mạng nội bộ và email: Áp dụng các hệ thống lọc email, tường lửa thông minh, phần mềm chống mã độc và sandboxing để phát hiện và chặn các mã QR chứa liên kết nguy hiểm trước khi chúng tiếp cận người dùng nội bộ.
• Thiết lập quy trình xác thực và cảnh báo: Doanh nghiệp nên thiết kế quy trình xác minh nguồn gốc mã QR khi sử dụng trong giao tiếp nội bộ hoặc với khách hàng. Nếu phát hiện bất thường, cần có cơ chế phản hồi và cảnh báo kịp thời đến toàn hệ thống.

Cảnh báo trong tương lai

Dự báo trong năm 2025, việc sử dụng mã QR sẽ tăng mạnh, kéo theo nguy cơ các cuộc tấn công "quishing"bằng hình thức lừa đảo qua mã QR cũng gia tăng nhanh chóng, thậm chí có thể gấp đôi so với hiện nay. Việc sử dụng mã QR đã trở thành mối đe dọa nghiêm trọng đối với an ninh mạng, do kẻ gian lợi dụng sự tiện lợi và thói quen quét mã QR của người dùng để thực hiện hành vi lừa đảo tinh vi. Để hạn chế rủi ro, cả cá nhân lẫn tổ chức cần nâng cao cảnh giác, chủ động kiểm tra nguồn gốc mã QR trước khi quét, sử dụng phần mềm bảo mật phù hợp và tăng cường tuyên truyền, giáo dục cộng đồng về nhận thức an toàn thông tin. Bên cạnh đó, cần phát triển công nghệ mã QR theo hướng an toàn hơn và có cơ chế kiểm soát chặt chẽ nhằm phòng ngừa hiệu quả loại tội phạm mạng nguy hiểm này trong kỷ nguyên số.

Theo tạp chí Điện tử và Ứng dụng