Dùng mã QR để xác thực: Giải pháp tiện lợi nhưng tiềm ẩn rủi ro an ninh

Mã QR – Công nghệ tiện lợi nhưng “miếng bánh béo bở” cho tin tặc

Cuối tháng 2 vừa qua, Tập đoàn công nghệ Google đã bắt đầu triển khai mã QR như một giải pháp thay thế cho phương thức xác thực hai yếu tố (2FA) qua SMS dành cho người dùng Gmail. Đây là một bước tiến công nghệ nhằm tăng cường bảo mật khi đăng nhập, song đồng thời cũng gây ra những băn khoăn về tính an toàn của mã QR, khi mà tin tặc ngày càng tinh vi trong việc lợi dụng các lỗ hổng để tấn công.

Tin tặc lợi dụng mã QR để tạo ra các cuộc tấn công mạng. Ảnh minh họa

Mã QR (Quick Response) là một loại mã vạch hai chiều có khả năng lưu trữ dữ liệu đa dạng. Các mẫu tìm kiếm đặc trưng được in ở góc trên bên trái, góc trên bên phải và góc dưới bên trái giúp máy quét dễ dàng nhận diện mã. Các ô vuông đen trắng là các module mã hóa dữ liệu theo định dạng nhị phân, kèm theo đó là mã sửa lỗi cho phép thiết bị quét thành công ngay cả khi một phần của mã bị hư hỏng.

Khi được quét qua camera điện thoại thông minh, mã QR sẽ được giải mã và chuyển đổi thành URL hoặc thông tin cần thiết, giúp người dùng nhanh chóng truy cập vào các dịch vụ trực tuyến. Tuy nhiên, một vấn đề nổi cộm chính là người dùng thường không biết trước được liên kết đó dẫn tới đâu. Đây chính là “miếng bánh béo bở” mà tin tặc lợi dụng để chèn mã độc, thay đổi liên kết nhằm đánh cắp thông tin đăng nhập hoặc cài phần mềm độc hại lên thiết bị.

Nghiên cứu từ Công ty công nghệ an ninh mạng và bảo mật thông tin Cisco Talos Threat Intelligence được công bố vào tháng 11/2024 hé lộ, khoảng 60% các email chứa mã QR là thư rác, trong đó đa phần kèm theo nguy cơ độc hại. Tin tặc không chỉ lợi dụng email để gửi mã QR mà còn tích hợp chúng vào chữ ký email hoặc các thông báo đăng ký sự kiện hợp pháp, nhằm đánh lừa người dùng.

Chuyên gia bảo mật Jaeson Schultz của Cisco Talos nhận định: "Nhiều trong số đó là liên kết lừa đảo hoặc yêu cầu xác thực đa yếu tố được sử dụng để lừa đảo thông tin đăng nhập của người dùng",

Những lời cảnh báo này càng trở nên nghiêm trọng khi các vụ việc thực tế liên quan đến mã QR lừa đảo được ghi nhận. Có trường hợp người dùng quét mã QR để thanh toán phí đỗ xe, nhưng thực tế lại bị chuyển sang đăng ký dịch vụ chơi game trả phí hàng tháng. Một cảnh báo khác liên quan đến việc kẻ tấn công gửi mã QR được in ngụy trang vào tờ rơi quảng cáo, thông báo tải về ứng dụng cảnh báo thời tiết chính thức của Chính phủ, nhằm đánh lừa người dùng.

Tại Việt Nam, các hình thức lừa đảo qua mã QR cũng đã ghi nhận những vụ lừa đảo thông qua mã QR. Ngân hàng TMCP Lộc Phát (LPBank) đã đưa ra cảnh báo về nguy cơ bị lừa đảo khi giao dịch chuyển tiền qua mã QR. 

Cụ thể, với việc bị giả mạo thì tại nhiều cửa hàng, mã QR thường được in và đóng khung đặt trên quầy thanh toán hoặc dán bản sao tại khu vực xung quanh. Kẻ gian lợi dụng sơ hở để dán đè hoặc đặt biển có mã QR của tài khoản giả mạo để lừa đảo khách hàng và chiếm đoạt tiền chuyển khoản. Bên cạnh đó, kẻ gian tạo mã QR giả mạo lên hóa đơn, tờ rơi giả mạo nhà hàng, quán ăn, shop online uy tín, quen thuộc,… nhằm dụ dỗ người dùng thực hiện thanh toán.

Cũng xuất hiện đối tượng lừa đảo mạo danh cán bộ ngân hàng hay cán bộ cơ quan chức năng liên hệ và yêu cầu khách hàng quét mã QR để cung cấp thông tin bảo mật, thông tin cá nhân, hình ảnh căn cước công dân, tài khoản và mật khẩu ngân hàng thông qua các hình thức như sinh trắc học, nhập mã OTP, Smart OTP,… dẫn đến việc bị đánh cắp tài khoản.

Song song đó, có tình trạng mã QR gửi kèm hóa đơn từ tin nhắn SMS, email, mạng xã hội,… thông báo khách hàng trúng thưởng, nhận được quà tặng khuyến mại. Khi thực hiện quét mã QR, khách hàng sẽ bị chuyển khoản đến website lừa đảo để đánh cắp thông tin hoặc thiết bị sẽ bị cài đặt các phần mềm độc hại lên thiết bị.

Ngoài ra, kẻ gian cũng tạo lập các cửa hàng mua sắm thanh toán trực tuyến trên mạng xã hội, sàn thương mại điện tử,… mua các lượt chia sẻ, tương tác để tạo dựng hình ảnh cửa hàng uy tín hoặc đặt tên cửa hàng gần giống các thương hiệu uy tín dễ gây nhầm lẫn. Khi gặp người có nhu cầu mua hàng, đối tượng lừa đảo sẽ gửi mã QR để khách hàng thanh toán. Tuy nhiên, tài khoản nhận tiền khi khách hàng quét mã QR và thông tin tài khoản in trên QR không đồng nhất dẫn tới việc khách hàng bị điều hướng chuyển khoản vào tài khoản lừa đảo...

Không chỉ các chuyên gia an ninh, Công an TP.HCM cũng đã phát đi cảnh báo về việc lừa đảo qua mã QR. Trong một số trường hợp, người dùng nhận được bưu phẩm hoặc phiếu cào với nội dung “0 đồng” nhưng khi thực hiện theo hướng dẫn đổi thưởng lại phải quét mã QR. Hành động này dẫn đến việc chuyển hướng người dùng đến các trang web lạ, từ đó điện thoại bị xâm nhập và thông tin tài khoản bị đánh cắp.

Giải pháp giảm thiểu rủi ro từ mã QR

Để hạn chế nguy cơ bị lừa đảo qua mã QR, các chuyên gia bảo mật đưa ra một số biện pháp phòng ngừa hữu ích cho người dùng và doanh nghiệp như.

Kiểm tra liên kết trước khi truy cập: Người dùng cần luôn kiểm tra xem liên kết mà mã QR dẫn tới có phải là địa chỉ tin cậy hay không. Nếu không rõ, hãy tìm kiếm thông tin xác thực từ nguồn khác trước khi nhấp.

Bảo vệ mã QR vật lý: Đối với các thiết bị hiển thị mã QR như tại điểm thanh toán, nên sử dụng các biện pháp bảo vệ vật lý như dán nhãn an toàn hay sử dụng khung bảo vệ để tránh bị thay đổi hoặc can thiệp.

Cảnh giác với ứng dụng tải qua quét mã QR: Không nên tải xuống ứng dụng chỉ dựa trên mã QR được gửi qua email, tin nhắn hay từ nguồn không rõ ràng.

Xác thực giao dịch qua kênh khác: Đối với các giao dịch quan trọng như thanh toán ngân hàng, hãy luôn xác nhận lại thông tin với bộ phận chăm sóc khách hàng của đơn vị cung cấp dịch vụ trước khi quét mã QR.

Duy Trinh (t/h)