Lưu ý gì khi sử dụng mã QR thanh toán

Ông Phạm Huân, Giám đốc kỹ thuật khu vực tại Việt Nam, ManageEngine

Bên cạnh những lợi ích mà mã QR đem lại trong thanh toán, người dùng cần lưu ý gì khi sử dụng hình thức này trong giao dịch, thưa ông?

Việc chuyển tiền hoặc thanh toán bằng cách quét mã QR đang trở thành một thói quen phổ biến với người dùng tại Việt Nam, dần phát triển thành một hình thức chi tiêu và giao dịch hàng ngày. Với việc mã QR được sử dụng rộng rãi từ chợ truyền thống đến các siêu thị lớn, người dân giờ đây chỉ cần mang điện thoại để thực hiện thanh toán không dùng tiền mặt.

Tại Việt Nam, thanh toán không dùng tiền mặt và chuyển đổi số đang diễn ra với tốc độ nhanh chóng trong những năm gần đây. Báo cáo của Ngân hàng Nhà nước Việt Nam cho biết, trong 11 tháng đầu năm 2024, giao dịch thanh toán không tiền mặt đã tăng 56,86% về số lượng và 33,73% về giá trị so với cùng kỳ năm 2023. Trong đó, thanh toán bằng mã QR có tốc độ tăng trưởng cao nhất, với mức tăng 106,68% về số lượng và 84,77% về giá trị.

Song, khi mã QR ngày càng trở nên phổ biến, các vụ lừa đảo cũng gia tăng. Những kẻ lừa đảo lợi dụng các lỗ hổng bảo mật bằng cách đặt mã QR giả lên trên hoặc gần các điểm thanh toán dự kiến, chuyển hướng thanh toán đến tài khoản của chúng thay vì chủ cửa hàng.

Gần đây, cũng có sự gia tăng của các mã QR độc hại, được lan truyền qua các ứng dụng, diễn đàn và nhóm mạng xã hội. Các mã này thường hướng người dùng đến các trang web ngân hàng giả mạo yêu cầu thông tin cá nhân như tên, số căn cước công dân, số tài khoản, mã bảo mật hoặc mật khẩu một lần (OTP). Sau khi có được, những kẻ lừa đảo có thể nắm toàn quyền kiểm soát tài khoản của nạn nhân.

Vậy, lừa đảo qua mã QR có gì khác và giống với các hình thức lừa đảo phổ biến?

Lừa đảo bằng mã QR, hay còn gọi là "quishing", là một kiểu tấn công mạng, trong đó kẻ tấn công sử dụng mã QR để đánh lừa người dùng. Chúng lừa người dùng tải xuống phần mềm độc hại hoặc tiết lộ thông tin cá nhân. Tin tặc sử dụng tấn công phi kỹ thuật (social engineering), tạo ra các mã QR trông giống thật và khai thác các lỗ hổng trong ứng dụng đọc mã QR. Thường thì kẻ tấn công sẽ sử dụng thông tin đăng nhập ngân hàng hoặc thông tin thanh toán đã đánh cắp để thực hiện các giao dịch gian lận.

Các cuộc tấn công lừa đảo (phishing) sử dụng các kỹ thuật lừa đảo để dụ dỗ mọi người tiết lộ thông tin nhạy cảm, chẳng hạn như mật khẩu, tên người dùng hoặc chi tiết tài khoản ngân hàng. Chúng thường đóng giả làm các tổ chức hợp pháp và sử dụng các phương thức đáng tin cậy như email hoặc tin nhắn tức thời. Mục tiêu chính của các cuộc tấn công lừa đảo - giả mạo các cá nhân hoặc tổ chức có uy tín thông qua các phương pháp có vẻ đáng tin cậy - là đánh cắp hoặc truy cập trái phép.

Đây là một biến thể tinh vi của các chiến thuật lừa đảo truyền thống. Vì mã QR có thể dễ dàng được phân phối thông qua nhiều kênh khác nhau, chẳng hạn như tài liệu in ấn hoặc email, kẻ tấn công tận dụng khả năng hòa lẫn của chúng vào các bối cảnh hàng ngày. Với kỹ thuật này, người dùng có thể nhanh chóng bị điều hướng đến các trang web giả mạo, nơi họ có thể vô tình tiết lộ thông tin cá nhân. Kẻ tấn công được hưởng lợi từ việc người dùng sử dụng rộng rãi và tin tưởng mã QR khi khai thác sự tiện lợi của hình thức này và thường bỏ qua việc kiểm tra kỹ các URL cơ bản.

Ông có thể nói rõ cách thức mà tội phạm mạng thường tiến hành các cuộc tấn công lừa đảo thông qua hình thức này?

Trước tiên, tội phạm mạng sẽ tạo ra các mã QR trông giống như thật nhưng lại chuyển hướng người dùng đến các trang web lừa đảo hoặc khiến họ tải xuống nội dung độc hại.

Tiếp theo, những kẻ lừa đảo thường sử dụng các thông điệp thuyết phục để dụ dỗ người dùng quét các mã QR độc hại. Những thông điệp này có thể hứa hẹn phần thưởng, giảm giá hoặc cảnh báo khẩn cấp để tạo cảm giác cấp bách hoặc phấn khích.

Mã QR độc hại được phân phối thông qua nhiều kênh, chẳng hạn như email lừa đảo và quảng cáo giả mạo. Chúng cũng có thể xuất hiện trên các vật phẩm vật lý như áp phích và tờ rơi. Kẻ tấn công sử dụng chúng để nhắm mục tiêu vào các nạn nhân không nghi ngờ cả trực tuyến và ngoại tuyến.

Kẻ tấn công thường ngụy trang các mã QR độc hại để khiến chúng trông giống hệt như các mã QR hợp pháp. Điều này bao gồm việc bắt chước thương hiệu, logo và các yếu tố thiết kế để đánh lừa người dùng, khai thác việc khó phân biệt mã độc hại với mã hợp pháp.

Sau khi mã QR được quét, các nạn nhân sẽ bị chuyển hướng đến các trang web giả mạo giống như các trang web hợp pháp. Tại đó, họ sẽ được nhắc tiết lộ thông tin bí mật như tên người dùng và mật khẩu hoặc chi tiết tài chính.

Trong một số trường hợp, việc quét mã QR độc hại có thể khiến phần mềm độc hại được tải xuống thiết bị của người dùng, gây nguy hiểm cho bảo mật và có thể kích hoạt thêm các nỗ lực hack. Những kẻ lừa đảo thu thập dữ liệu được nhập bởi các nạn nhân trên các trang web giả mạo. Điều này có thể dẫn đến đánh cắp danh tính, tổn thất tài chính hoặc truy cập trái phép vào tài khoản cá nhân.

Vậy, làm thế nào để có thể bảo vệ người dùng khỏi bị lừa đảo bằng mã QR?

Để bảo vệ khỏi các vụ lừa đảo bằng mã QR, người dùng cần liên tục cập nhật các tính năng bảo mật và hệ điều hành trên điện thoại thông minh lên phiên bản mới nhất; bật xác thực đa yếu tố (MFA) trên các tài khoản nhạy cảm để có thêm một lớp bảo mật nhằm bảo vệ thông tin cá nhân của bạn; đồng thời, cảnh giác với các mã QR trong email, vì chúng có thể là nỗ lực lừa đảo; sử dụng phần mềm bảo mật đáng tin cậy để lọc web nhằm ngăn chặn các trang web độc hại và các mối đe dọa tiềm ẩn; luôn cập nhật thông tin về các mối đe dọa và lừa đảo mã QR mới nổi thông qua các nguồn thông tin về mối đe dọa như MITRE.

Mặc dù mã QR đã giúp đơn giản hóa các giao dịch không tiền mặt ở Việt Nam, chúng cũng đi kèm với rủi ro bảo mật. Người dùng nên thận trọng bằng cách tránh các liên kết đáng ngờ, xác minh mã QR trước khi quét và không bao giờ tiết lộ thông tin ngân hàng, cá nhân. Để tránh gian lận, các doanh nghiệp cũng nên thường xuyên xác minh các mã QR mà họ hiển thị.

Cuối cùng, cả khách hàng lẫn doanh nghiệp đều có thể hưởng lợi từ thanh toán kỹ thuật số đồng thời giảm thiểu rủi ro bằng cách luôn cảnh giác và có hiểu biết.

Xin cảm ơn ông!