Gần đây, thay vì sử dụng hình thức gửi đường link website giả mạo dễ bị nhận diện, các đối tượng lừa đảo gửi mã QR dẫn đến các đường link giả mạo nhằm chiếm quyền sử dụng tài khoản ngân hàng điện tử, hoặc thu thập các thông tin liên quan đến thẻ tín dụng với mục đích chiếm đoạt tài sản.
Mã QR đã và đang ngày càng phổ biến khắp mọi nơi, nhất là sau "cú hích" của đại dịch COVID-19 khiến nhu cầu sử dụng mã QR tăng lên nhanh chóng. Theo Vụ Thanh toán, Ngân hàng Nhà nước, mã QR có tốc độ tăng trưởng mạnh mẽ cả về số lượng và giá trị. Trong năm 2022, thanh toán qua mã QR tăng tới 225,36% về số lượng và 243,92% về giá trị so với năm 2021.
Riêng 3 tháng đầu năm nay, thanh toán qua phương thức mã QR tăng mạnh mẽ nhất, tăng tới 160,7% về số lượng và 43,8% về giá trị; qua POS tăng 37,5% về số lượng và 32% về giá trị. Điều này cho thấy, phương thức thanh toán sử dụng mã QR đang ngày càng quen thuộc với người tiêu dùng.
Với tiện ích và mức độ phổ biến ngày càng rộng rãi của mã QR, công nghệ này đang bị khai thác bởi các nhóm tội phạm mạng bằng cách tạo ra mã QR độc hại để lừa lấy tài khoản ngân hàng hoặc thông tin cá nhân người dùng.
Bên cạnh hình thức gửi link đăng nhập website giả mạo để lừa đảo nhằm chiếm đoạt tài khoản đăng nhập (username/password) ngân hàng điện tử hoặc thu thập các thông tin liên quan tới thẻ tín dụng, kẻ gian vừa phát triển thêm phương thức gửi mã QR qua mạng xã hội (Zalo, Facebook, Viber…) để nâng cấp mức độ tinh vi hòng chiếm đoạt tài sản của khách hàng.
Cụ thể, đối tượng mạo danh là nhân viên ngân hàng, gọi điện từ số máy bàn có dãy số gần giống với số tổng đài của ngân hàng mời chào khách hàng nâng hạn mức thẻ tín dụng hoặc rút tiền mặt từ thẻ tín dụng hoặc một số dịch vụ tài chính khác. Tiếp đến, kẻ gian sẽ gửi và yêu cầu khách hàng quét mã QR.
Sau khi khách hàng quét mã QR mà kẻ gian gửi tới, khách hàng sẽ được chuyển đến đường link website giả mạo. Tại đây, khách hàng được yêu cầu nhập các thông tin như: Họ và tên, CMND/CCCD, chụp ảnh CMND, CCCD 2 mặt, số thẻ, mã bí mật CVV, ngày hết hạn thẻ và OTP gửi về số điện thoại khách hàng, thông tin đăng nhập user và password tài khoản ngân hàng….
Ngay sau khi khách hàng cung cấp thông tin, đối tượng lừa đảo sẽ chiếm được quyền sử dụng tài khoản Internet Banking hoặc thẻ tín dụng và thực hiện giao dịch chiếm đoạt tiền.
Các ngân hàng và cơ quan công an nhiều địa phương cũng từng lên tiếng cảnh báo chiêu thức giả mạo ngân hàng lừa quét mã QR.
Để tránh bị dính bẫy lừa đảo tinh vi mới này, các ngân hàng khuyến cáo khách hàng cần hết sức cảnh giác với các yêu cầu quét mã QR hoặc truy cập đường link lạ. Các ngân hàng cũng cho biết tuyệt đối không yêu cầu khách hàng cung cấp thông tin số thẻ, số CVV2/CVC2 (3 số bảo mật ở mặt sau của thẻ tín dụng) hoặc bất kỳ thông tin bảo mật cá nhân nào khác của khách hàng qua zalo/số điện thoại không định danh.
Đồng thời, các ngân hàng cũng khuyến cáo khách hàng tuyệt đối không cung cấp mã xác thực OTP/ Smart OTP cho bất kỳ ai kể cả nhân viên ngân hàng. Nếu lỡ quét mã QR, cần kiểm tra lại đường link để nhận diện link URL an toàn…
Những điều cần chú ý để phòng tránh lừa đảo qua mã QR :
(1) Thận trọng trước khi quét mã QR. Suy nghĩ kỹ trước khi quét, đặc biệt cảnh giác với các mã QR được dán hoặc chia sẻ ở những nơi công cộng và gửi qua mạng xã hội.
(2) Xác định thông tin tài khoản người trao đổi thông tin quét mã QR với mình là ai?
(3) Khi quét mã QR hãy xem kỹ trang web liên kết. Hãy để ý đường dẫn (URL) và các yếu tố khác xem có chuẩn xác không. Nếu yêu cầu các thông tin cá nhân như tài khoản đăng nhập ngân hàng, Facebook... thì tuyệt đối không nhập thông tin vào.
(4) QR Code trong email hầu hết là lừa đảo.
(5) Xem trước URL. Nhiều camera trên smartphone bao gồm cả iPhone chạy phiên bản iOS mới nhất, hoặc Android, sẽ cung cấp bản xem trước URL của QR Code khi bắt đầu quét. Nếu URL trông kỳ lạ thì nên bỏ qua.
(6) Dùng các ứng dụng quét mã QR an toàn. Một số ứng dụng quét mã QR an toàn được thiết kế để phát hiện ra các liên kết độc hại trước khi smartphone mở chúng.
(7) Sử dụng trình quản lý mật khẩu, xác thực hai yếu tố và các phương thức bảo vệ khác cho tài khoản cá nhân.
(8) Đổi ngay mật khẩu khi tài khoản đột ngột bị thoát ra hoặc có cảnh báo là đang đăng nhập ở một máy khác.