QR Code lừa đảo – Thời đại quét mã cũng không còn an toàn

QR code là gì và vì sao lại phổ biến đến vậy

QR code (Quick Response Code) là dạng mã vạch hai chiều, có thể chứa nhiều thông tin hơn mã vạch truyền thống như đường link, thông tin thanh toán, mã giảm giá, dữ liệu đăng nhập, thông tin sản phẩm. Điểm mạnh của QR code nằm ở chỗ người dùng chỉ cần mở camera hoặc ứng dụng quét mã trên điện thoại, không phải gõ địa chỉ hay nhập dữ liệu thủ công.

Sau đại dịch, thói quen không chạm, thanh toán không tiền mặt và thủ tục online bùng nổ đã đẩy QR code thành công cụ “quốc dân” trong mọi lĩnh vực. Tuy nhiên, khi người dùng dần mất cảnh giác và quét mã theo phản xạ, đó cũng là lúc kẻ xấu xuất hiện.

QR code lừa đảo hoạt động như thế nào

Về bản chất, QR code chỉ là một “cái vỏ” chứa thông tin. Người dùng thường không biết bên trong mã là gì cho đến khi quét xong. Tội phạm mạng lợi dụng điểm mù này để:

• Ẩn link dẫn đến website giả mạo ngân hàng, ví điện tử, sàn thương mại điện tử, mạng xã hội.
• Dẫn tới các trang cài đặt ứng dụng độc hại, file cài phần mềm chứa mã độc.
• Tự động khởi tạo lệnh chuyển tiền, thanh toán hoặc yêu cầu đăng nhập.
• Thu thập thông tin cá nhân, tài khoản, mật khẩu, mã OTP hoặc dữ liệu thẻ ngân hàng.

Một khi người dùng quét mã, bấm vào link hiện ra và tiếp tục thao tác theo hướng dẫn, kẻ lừa đảo có thể lấy được gần như mọi thứ chúng cần: từ thông tin đăng nhập tài khoản ngân hàng đến quyền điều khiển thiết bị.

Các kịch bản lừa đảo phổ biến qua QR code

QR code lừa đảo không xuất hiện một cách ngẫu nhiên. Chúng thường được gắn vào những tình huống rất đời thường, khiến nạn nhân tin rằng đó là quy trình bình thường.

1. QR code thanh toán giả mạo tại cửa hàng, bãi gửi xe, quán ăn

Một trong những chiêu trò điển hình là dán đè QR code giả lên QR code thật tại quán cafe, nhà hàng, bãi gửi xe hoặc điểm bán hàng. Người dùng quét mã để chuyển khoản tưởng cho cửa hàng, nhưng tiền lại vào tài khoản của kẻ lừa đảo.

Ở một số nơi, kẻ gian còn giả làm nhân viên, chủ động đưa mã QR “mới” với lý do thay đổi tài khoản, nâng cấp hệ thống hoặc mã cũ bị lỗi. Nếu khách không kiểm tra kỹ tên người nhận, giao dịch sẽ hoàn tất mà không ai phát hiện cho đến khi đối chiếu.

2. QR code khuyến mãi, trúng thưởng, nhận quà

Kịch bản khác gài vào tâm lý ham ưu đãi. Kẻ lừa đảo in poster, tờ rơi, standee với nội dung khuyến mãi, giảm giá, tặng quà, hoàn tiền và đính kèm QR code. Khi quét:

• Người dùng được dẫn đến trang yêu cầu nhập thông tin cá nhân, số điện thoại, email, tài khoản mạng xã hội.
• Hoặc bị yêu cầu đăng nhập vào “tài khoản ngân hàng” hay “ví điện tử” để “nhận thưởng”. Thực chất đó là trang giả mạo, dùng để đánh cắp thông tin đăng nhập.

Nhiều chiến dịch còn được đẩy mạnh qua mạng xã hội, nhóm chat, tin nhắn với nội dung kêu gọi “quét mã để nhận quà”, “tham gia chương trình tri ân khách hàng” nhằm tạo cảm giác chính thống.

3. QR code trên email, tin nhắn giả mạo ngân hàng và dịch vụ

Thay vì gửi một đường link dễ bị nghi ngờ, kẻ gian nhúng link độc vào QR code và gửi kèm trong email, tin nhắn thông báo:

• Tài khoản của bạn đang bị khóa, cần xác minh lại.
• Có giao dịch bất thường, cần kiểm tra ngay.
• Bạn nhận được hoàn tiền hoặc ưu đãi đặc biệt.

Nội dung thường kèm cảnh báo khẩn cấp, thúc giục người dùng quét QR code để xử lý ngay. Khi làm theo, nạn nhân sẽ bị dẫn tới trang đăng nhập giả mạo, nơi toàn bộ thông tin đăng nhập và OTP có thể bị chiếm đoạt.

4. QR code cài phần mềm độc hại trên điện thoại

Một số mã QR dẫn tới file APK hoặc trang tải ứng dụng bên ngoài chợ ứng dụng chính thức. Những app này được ngụy trang thành:

• Ứng dụng nhận quà, nhận voucher, quay số trúng thưởng.
• Ứng dụng theo dõi đơn hàng, kiểm tra phí ship, tra cứu hóa đơn.
• Ứng dụng hỗ trợ vay tiền, giải ngân nhanh, kiểm tra hạn mức.

Khi người dùng cài đặt và cấp quyền truy cập SMS, danh bạ, thông báo, ứng dụng độc hại có thể đọc mã OTP, chặn thông báo từ ngân hàng, từ đó thực hiện giao dịch mà chủ máy không hề hay biết.

Vì sao người dùng dễ bị lừa qua QR code

Lý do chính là đa số người dùng đã quen với việc quét mã như một thao tác vô thức. Khi thấy QR code, bạn hiếm khi đặt câu hỏi: ai tạo ra mã này, nó dẫn tới đâu, có thật sự thuộc về đơn vị chính thức hay không. Một số yếu tố khiến người dùng dễ mắc bẫy:

• Tâm lý tin vào hình thức chuyên nghiệp: poster đẹp, standee, backdrop, biển hiệu in QR code trông rất chính thống.
• Thói quen làm nhanh cho xong: cần thanh toán, cần vào wifi, cần nhận ưu đãi, chỉ muốn quét và dùng ngay.
• Sợ bỏ lỡ khuyến mãi: nội dung “số lượng có hạn”, “chỉ hôm nay” khiến người dùng ít suy nghĩ hơn.
• Thiếu kiến thức về phishing, website giả mạo, app độc hại.

Dấu hiệu nhận biết QR code có nguy cơ lừa đảo

Không phải mọi QR code đều nguy hiểm, nhưng có những dấu hiệu bạn nên đặc biệt cảnh giác:

• Mã QR bị dán chồng lên lớp mã cũ, có dấu hiệu bong, lệch, không đồng bộ với thiết kế xung quanh.
• Nhân viên yêu cầu đổi sang quét QR code khác với lý do mơ hồ, thiếu rõ ràng.
• Sau khi quét, link hiện ra có tên miền lạ, viết sai chính tả, hoặc cố tình nhái tên thương hiệu.
• Trang web yêu cầu nhập quá nhiều thông tin nhạy cảm không liên quan đến mục đích ban đầu.
• Ứng dụng được đề nghị cài đặt yêu cầu quyền truy cập SMS, danh bạ, thông báo, cài đặt hệ thống.
• Email, tin nhắn kèm QR code sử dụng ngôn ngữ khẩn cấp, hù dọa hoặc hứa hẹn lợi ích quá lớn.

Cách quét QR code an toàn hơn

Bạn không cần phải ngừng hoàn toàn việc sử dụng QR code, nhưng phải thay đổi cách tiếp cận. Một số nguyên tắc giúp quét mã an toàn hơn:

1. Kiểm tra nguồn gốc trước khi quét

Chỉ quét QR code từ những nguồn bạn tin tưởng: bảng thông tin chính thức, kênh truyền thông của thương hiệu, tài liệu từ đơn vị uy tín. Tránh quét các mã xuất hiện bất thường ở cột điện, tường, thang máy, nhà vệ sinh công cộng, tờ rơi không rõ nguồn gốc.

2. Luôn xem kỹ link trước khi bấm

Khi quét QR code, hầu hết điện thoại sẽ hiển thị đường link trước khi mở. Hãy đọc kỹ tên miền:

• Kiểm tra chính tả tên thương hiệu, ngân hàng, dịch vụ.
• Coi chừng các tên miền gần giống, thêm bớt ký tự lạ.
• Ưu tiên các trang có giao thức https và tên miền chính thức.

Nếu có bất kỳ điểm nào khiến bạn nghi ngờ, tốt nhất không bấm vào đường link đó.

3. Không cài ứng dụng từ link lạ sau khi quét

Nếu QR code dẫn tới file cài đặt ứng dụng, đặc biệt là file APK ngoài chợ ứng dụng, hãy dừng lại. Thay vì cài trực tiếp, hãy:

• Tự tìm tên ứng dụng trên chợ chính thức như Google Play hoặc App Store.
• Kiểm tra nhà phát triển, số lượt tải, đánh giá người dùng.

Khi một dịch vụ uy tín thực sự có ứng dụng, họ gần như luôn phát hành trên chợ ứng dụng chính thức.

4. Hạn chế cấp quyền nhạy cảm cho ứng dụng

Ngay cả khi bạn đã lỡ cài một ứng dụng từ QR code, hãy chú ý các quyền mà ứng dụng yêu cầu. Những quyền rất nhạy cảm bao gồm:

• Quyền đọc và gửi SMS.
• Quyền truy cập thông báo.
• Quyền quản trị thiết bị hoặc thay đổi cài đặt hệ thống.

Nếu đó chỉ là ứng dụng khuyến mãi, xem thông tin hoặc tra cứu bình thường, những quyền này là không cần thiết. Hãy từ chối hoặc gỡ cài đặt.

5. Luôn xác nhận thông tin thanh toán

Khi quét QR để chuyển khoản, hãy kiểm tra kỹ:

• Tên người nhận có đúng tên cửa hàng, doanh nghiệp hay không.
• Số tài khoản, số tiền, nội dung chuyển khoản.

Nếu nghi ngờ, hãy hỏi lại nhân viên, yêu cầu hiển thị thông tin tài khoản dưới dạng chữ để đối chiếu, hoặc chuyển bằng cách nhập tay số tài khoản từ hóa đơn hoặc bảng thông tin chính thức.

Phải làm gì khi nghi ngờ đã quét QR code lừa đảo

Nếu bạn đã lỡ quét và bấm vào link đáng ngờ, hoặc đã nhập thông tin vào trang lạ sau khi quét mã, hãy xử lý càng sớm càng tốt:

• Ngắt kết nối mạng nếu nghi máy bị cài phần mềm lạ.
• Đổi ngay mật khẩu tài khoản ngân hàng, ví điện tử, email, mạng xã hội liên quan.
• Kiểm tra lịch sử giao dịch, nếu có dấu hiệu bất thường hãy liên hệ ngân hàng ngay để khóa tài khoản hoặc thẻ.
• Gỡ bỏ ứng dụng vừa cài từ nguồn không rõ ràng.
• Cân nhắc khôi phục cài đặt gốc nếu nghi ngờ thiết bị đã bị xâm nhập sâu.

Song song đó, bạn nên lưu lại bằng chứng như ảnh chụp mã QR, nội dung tin nhắn, email, lịch sử truy cập để phục vụ việc trình báo cơ quan chức năng nếu cần.

Kết luận: Thời đại quét mã, cảnh giác phải đi trước tiện lợi

QR code không xấu, ngược lại là một công cụ hữu ích giúp cuộc sống số trở nên tiện lợi và nhanh chóng hơn. Vấn đề nằm ở chỗ tội phạm mạng luôn tìm cách bám vào nơi người dùng mất cảnh giác nhất. Khi chúng ta quen với tư duy “quét cho lẹ”, không kiểm tra, không nghi ngờ, những mã QR tưởng chừng vô hại có thể trở thành cánh cửa dẫn thẳng tiền và dữ liệu cá nhân vào tay kẻ xấu.

Để bảo vệ bản thân và người xung quanh, mỗi người cần hình thành thói quen mới: luôn kiểm tra nguồn gốc, kiểm tra link, cảnh giác với ưu đãi bất thường, không cài ứng dụng từ nguồn lạ và chủ động học cách nhận diện lừa đảo. Thời đại quét mã không còn an toàn tuyệt đối, nhưng với đủ kiến thức và sự tỉnh táo, bạn hoàn toàn có thể sử dụng QR code một cách thông minh và an toàn.