Quét mã QR lạ có thể lộ thông tin tài khoản ngân hàng

Cuối tháng 2 vừa qua, Google thông báo sẽ triển khai mã QR để thay thế mã xác thực hai yếu tố qua SMS cho người dùng Gmail trong những tháng tới. Bản nâng cấp bảo mật này nhận được nhiều sự ủng hộ từ cộng đồng. Tuy nhiên, điều này cũng dấy lên những lo ngại về độ an toàn của mã QR, đặc biệt là khi xuất hiện nhiều cảnh báo từ lực lượng cảnh sát về các cuộc tấn công bằng mã QR.

Mã QR có an toàn không?

Mã QR (Quick Response Code) là một loại mã vạch có thể lưu trữ nhiều dữ liệu nhiều hơn so với các mã vạch quen thuộc khác như trên các sản phẩm mua sắm, nhãn bưu kiện... Đây là một dạng mã vạch hai chiều, cho phép truy cập ngay vào một trang web, tải ứng dụng hoặc thực hiện giao dịch khi quét bằng điện thoại thông minh mà không cần nhập liệu thủ công.

Mã QR cho phép thiết bị quét có thể truy cập ngay vào một trang web, tải ứng dụng hoặc thực hiện giao dịch

Được phát triển từ năm 1994 cho ngành công nghiệp ô tô Nhật Bản, mã QR đóng vai trò là một phương pháp mã hóa thông tin theo cả hướng ngang và hướng dọc. Đây là sự kết hợp của một số thành phần bao gồm các mẫu tìm kiếm nằm ở góc trên cùng bên trái, trên cùng bên phải và dưới cùng bên trái, các ô vuông lớn, cho phép thiết bị quét căn chỉnh cấu hình phù hợp. Những ô vuông đen trắng thực chất là các mô-đun dữ liệu mã hóa thông tin ở định dạng nhị phân và mã sửa lỗi, cho phép thiết bị quét thành công ngay cả khi một phần tư khối mã không thể đọc được. Khi được quét, thường là bằng camera điện thoại thông minh, mã QR sẽ được giải mã, thông tin nhúng được trích xuất và thường là cung cấp URL, có thể nhấn vào để kết nối.

Tuy nhiên, có một vấn đề lớn là không phải lúc nào người dùng cũng biết rõ đường liên kết trên mã QR sẽ dẫn đến đâu. Chính vì vậy, mã QR trở thành một "miếng bánh béo bở" đối với những kẻ lừa đảo.

Nghiên cứu của Cisco Talos Threat Intelligence vào tháng 11/2024 cho thấy, 60% email có chứa mã QR là thư rác và phần lớn thư rác hiện nay đều đi kèm các mối đe dọa độc hại.

"Không phải tất cả các email có mã QR bên trong đều là thư rác hoặc độc hại" - Jaeson Schultz, một nhà nghiên cứu của Cisco Talos, cho biết - "Nhiều người dùng email gửi mã QR như một phần trong chữ ký email của họ hoặc bạn cũng có thể tìm thấy các email hợp lệ có chứa mã QR được sử dụng để đăng ký sự kiện".

Tuy nhiên, theo chuyên gia nghiên cứu này, vấn đề là không ít mã QR đính kèm trong số đó là liên kết lừa đảo hoặc yêu cầu xác thực đa yếu tố để đánh cắp thông tin đăng nhập của người dùng.

Gần đây, một phụ nữ 70 tuổi nghĩ rằng bà đang trả phí đỗ xe khi quét mã QR nhưng thực tế là bà đang đăng ký dịch vụ trò chơi trả phí hàng tháng. Một trường hợp khác là kẻ tấn công gửi mã QR in ngụy trang thành tờ rơi chứa thông tin tải xuống của một phần mềm lừa đảo, giả mạo ứng dụng cảnh báo thời tiết khắc nghiệt chính thức của chính phủ. Có thể thấy, các đối tượng xấu có rất nhiều phương pháp để thực hiện lừa đảo, xâm nhập thiết bị và chiếm đoạt thông tin cá nhân của người dùng thông qua mã QR.

Giảm thiểu mối đe dọa từ mã QR

Mặc dù những kẻ lừa đảo mã QR có vẻ thành công nhưng theo các chuyên gia, mối đe dọa này có thể được giảm thiểu khi áp dụng các nguyên tắc bảo mật thông thường, đó là luôn phải nghi ngờ mã QR như bất kỳ liên kết lạ nào khác.

Để giảm thiểu mối đe dọa từ mã QR, các chuyên gia bảo mật khuyến cáo người dùng cần:

- Luôn kiểm tra xem liên kết từ mã QR thực sự đưa bạn đến đâu trước khi nhấn vào. Thiết bị quét mã QR của bạn sẽ tiết lộ thông tin này ngay khi quét mã. Nếu không, hãy tìm phương pháp thay thế để kết nối tới trang web. Không có quy trình hợp pháp nào sử dụng mã QR mà không có bất kỳ thông tin nào khác liên quan đến trang web bạn đang được chuyển đến, do đó, nếu thấy có dấu hiệu lạ thì đừng nên kết nối đến trang web đó.

- Đảm bảo rằng bất kỳ mã QR vật lý nào không bị giả mạo bằng cách sử dụng nhãn dán khác trên mã gốc.

- Không bao giờ tải xuống ứng dụng trực tiếp từ mã QR. Chỉ sử dụng kết nối đến ứng dụng nằm trong cửa hàng ứng dụng chính thức của thiết bị.

- Không bao giờ mù quáng làm theo mã QR thanh toán gửi trong email. Hãy tìm đến công ty thông qua trang web đáng tin cậy và gọi điện để xác nhận tính xác thực của yêu cầu.

- Đừng tải xuống các ứng dụng qua quét mã QR vì điều này làm tăng nguy cơ phần mềm độc hại xâm nhập khi điện thoại thông minh của bạn có thể quét mã bằng camera của thiết bị.