TamLovely2560
New member
Cẩn thận với mã QR nha mọi người, giờ nó đã trở thành vũ khí của bọn lừa đảo rồi!
Theo Techtarget, quishing – tức là lừa đảo qua mã QR – là một kiểu tấn công phishing mới toanh, trong đó bọn lừa đảo dùng mã QR để dụ nạn nhân vào các trang web fake hoặc tải về những thứ nguy hiểm. Mục tiêu là cướp hết thông tin nhạy cảm như mật khẩu, dữ liệu tài chính hay thông tin cá nhân, rồi sau đó xài để chiếm đoạt danh tính, lừa tiền hoặc phát tán ransomware luôn
Mã QR (Quick Response) được công ty Denso Wave bên Nhật phát minh năm 1994 để dán nhãn và theo dõi linh kiện ô tô. Đây là loại mã vạch 2D gồm những ô vuông đen trắng, chứa được siêu nhiều dữ liệu và decode bằng phương pháp sửa lỗi Reed–Solomon, nên dù bị che khuất một tí vẫn đọc ngon lành. Khác với mã vạch 1 chiều chỉ quét dọc, mã QR quét được từ mọi hướng, nhanh và tiện hơn hẳn
Giờ mã QR không chỉ dẫn đến URL mà còn gửi email, nhắn tin hoặc hiển thị thông báo trực tiếp trên máy. Mã QR bắt đầu được dùng từ 1997 nhưng chỉ thực sự hot trong 10 năm gần đây, rồi bùng nổ luôn sau COVID-19 khi mọi người cần thanh toán không tiếp xúc, tra cứu info online nhiều hơn
Chính sự phổ biến này lại thành "đất diễn" cho bọn tội phạm mạng tận dụng: nếu mã QR chính chủ bị thay bằng mã fake, người quét có thể bị chuyển đến trang lừa đảo và mất thông tin cá nhân hoặc tài khoản ngân hàng chỉ trong vài giây thôi
Thực tế, quishing đã gây ra nhiều thiệt hại đáng sợ. Theo báo cáo Phishing Trends Report năm 2025, các vụ tấn công qua mã QR tăng khoảng 25% mỗi năm khi tội phạm lợi dụng các không gian thực như poster hay danh thiếp giả để dụ người quét mã.
Theo APWG, trong quý 1 năm 2025 có hơn 1.003.924 vụ phishing được ghi nhận – con số cao nhất từ cuối 2023 luôn, trong đó nhiều case gửi mã QR qua email hoặc file PDF đính kèm dẫn người nhận đến trang lừa đảo hoặc chứa malware
Một nghiên cứu thử nghiệm ("Gone Quishing") cho thấy khi giả lập việc quét mã QR, khoảng 67% người tham gia sẵn sàng xài tài khoản Google hoặc Facebook để đăng ký, tức là cung cấp thông tin cá nhân chỉ vì thấy tiện – và sự tiện lợi này chính là lý do quishing hiệu quả kinh khủng
Một case cụ thể ở Singapore: một chị 60 tuổi quét mã QR bên ngoài quán trà sữa với lời hứa trả lời khảo sát để được đồ uống free. Sau khi cài app theo yêu cầu, điện thoại chị bị hack và khoảng 20.000 USD bay màu khỏi tài khoản ngân hàng
Tại Anh, một vụ lừa quét mã QR fake trên máy thanh toán ở bãi đỗ xe khiến một người mất khoảng £13.000. Các vụ quishing với mã QR giả được dán lên máy thanh toán bãi xe, biển chỉ dẫn công cộng hoặc trạm sạc xe điện cũng xuất hiện nhiều lắm.
Một nghiên cứu mới cho thấy các email quishing (email chứa mã QR thay vì link thường) có hiệu quả dụ người dùng vào trang fake tương đương với phishing truyền thống. Đáng lo là mã QR trong email hoặc ảnh đính kèm thường khó bị phát hiện bởi các bộ lọc bảo mật
Vậy để tự bảo vệ mình khỏi quishing, mọi người nên làm gì? Đây nè:
Xác minh nguồn gốc mã QR: Chỉ quét mã QR từ nguồn tin cậy, như doanh nghiệp uy tín hoặc tổ chức chính thống. Tránh xa các mã QR từ email hoặc tin nhắn lạ hoặc người không quen.
Kiểm tra trước địa chỉ URL: Trước khi vào trang web qua mã QR, hãy xem trước URL. Nếu URL đã bị rút ngắn hoặc nhìn sus, tốt nhất nên né luôn.
Hạn chế dùng mã QR để thanh toán: Nếu được, tránh thanh toán qua mã QR, đặc biệt là mã dán ở chỗ công cộng. Nếu link thanh toán dẫn đến trang web mờ ám hoặc không phải của ngân hàng/app chính thức, dừng ngay
Không quét mã QR random ở nơi công cộng: Tránh quét các mã QR trên biển quảng cáo, tờ rơi hoặc dán trên máy thanh toán, vì chúng có thể đã bị thay bằng mã độc hại. Nếu thật sự cần quét mã QR từ địa điểm công cộng, hãy hỏi nhân viên để xác nhận mã đó legit không nhé.
Dùng trình quét mã QR an toàn: Ưu tiên xài trình quét mã QR mặc định của điện thoại (ví dụ camera trên iOS và Android). Hạn chế tải app quét mã QR từ bên thứ ba vì nhiều app này có thể thu thập data hoặc chứa malware đó.
Nguồn: soha.vn
Theo Techtarget, quishing – tức là lừa đảo qua mã QR – là một kiểu tấn công phishing mới toanh, trong đó bọn lừa đảo dùng mã QR để dụ nạn nhân vào các trang web fake hoặc tải về những thứ nguy hiểm. Mục tiêu là cướp hết thông tin nhạy cảm như mật khẩu, dữ liệu tài chính hay thông tin cá nhân, rồi sau đó xài để chiếm đoạt danh tính, lừa tiền hoặc phát tán ransomware luôn
Mã QR (Quick Response) được công ty Denso Wave bên Nhật phát minh năm 1994 để dán nhãn và theo dõi linh kiện ô tô. Đây là loại mã vạch 2D gồm những ô vuông đen trắng, chứa được siêu nhiều dữ liệu và decode bằng phương pháp sửa lỗi Reed–Solomon, nên dù bị che khuất một tí vẫn đọc ngon lành. Khác với mã vạch 1 chiều chỉ quét dọc, mã QR quét được từ mọi hướng, nhanh và tiện hơn hẳn
Giờ mã QR không chỉ dẫn đến URL mà còn gửi email, nhắn tin hoặc hiển thị thông báo trực tiếp trên máy. Mã QR bắt đầu được dùng từ 1997 nhưng chỉ thực sự hot trong 10 năm gần đây, rồi bùng nổ luôn sau COVID-19 khi mọi người cần thanh toán không tiếp xúc, tra cứu info online nhiều hơn
Chính sự phổ biến này lại thành "đất diễn" cho bọn tội phạm mạng tận dụng: nếu mã QR chính chủ bị thay bằng mã fake, người quét có thể bị chuyển đến trang lừa đảo và mất thông tin cá nhân hoặc tài khoản ngân hàng chỉ trong vài giây thôi
Thực tế, quishing đã gây ra nhiều thiệt hại đáng sợ. Theo báo cáo Phishing Trends Report năm 2025, các vụ tấn công qua mã QR tăng khoảng 25% mỗi năm khi tội phạm lợi dụng các không gian thực như poster hay danh thiếp giả để dụ người quét mã.
Theo APWG, trong quý 1 năm 2025 có hơn 1.003.924 vụ phishing được ghi nhận – con số cao nhất từ cuối 2023 luôn, trong đó nhiều case gửi mã QR qua email hoặc file PDF đính kèm dẫn người nhận đến trang lừa đảo hoặc chứa malware
Một nghiên cứu thử nghiệm ("Gone Quishing") cho thấy khi giả lập việc quét mã QR, khoảng 67% người tham gia sẵn sàng xài tài khoản Google hoặc Facebook để đăng ký, tức là cung cấp thông tin cá nhân chỉ vì thấy tiện – và sự tiện lợi này chính là lý do quishing hiệu quả kinh khủng
Một case cụ thể ở Singapore: một chị 60 tuổi quét mã QR bên ngoài quán trà sữa với lời hứa trả lời khảo sát để được đồ uống free. Sau khi cài app theo yêu cầu, điện thoại chị bị hack và khoảng 20.000 USD bay màu khỏi tài khoản ngân hàng
Tại Anh, một vụ lừa quét mã QR fake trên máy thanh toán ở bãi đỗ xe khiến một người mất khoảng £13.000. Các vụ quishing với mã QR giả được dán lên máy thanh toán bãi xe, biển chỉ dẫn công cộng hoặc trạm sạc xe điện cũng xuất hiện nhiều lắm.
Một nghiên cứu mới cho thấy các email quishing (email chứa mã QR thay vì link thường) có hiệu quả dụ người dùng vào trang fake tương đương với phishing truyền thống. Đáng lo là mã QR trong email hoặc ảnh đính kèm thường khó bị phát hiện bởi các bộ lọc bảo mật
Vậy để tự bảo vệ mình khỏi quishing, mọi người nên làm gì? Đây nè:
Xác minh nguồn gốc mã QR: Chỉ quét mã QR từ nguồn tin cậy, như doanh nghiệp uy tín hoặc tổ chức chính thống. Tránh xa các mã QR từ email hoặc tin nhắn lạ hoặc người không quen.
Kiểm tra trước địa chỉ URL: Trước khi vào trang web qua mã QR, hãy xem trước URL. Nếu URL đã bị rút ngắn hoặc nhìn sus, tốt nhất nên né luôn.
Hạn chế dùng mã QR để thanh toán: Nếu được, tránh thanh toán qua mã QR, đặc biệt là mã dán ở chỗ công cộng. Nếu link thanh toán dẫn đến trang web mờ ám hoặc không phải của ngân hàng/app chính thức, dừng ngay
Không quét mã QR random ở nơi công cộng: Tránh quét các mã QR trên biển quảng cáo, tờ rơi hoặc dán trên máy thanh toán, vì chúng có thể đã bị thay bằng mã độc hại. Nếu thật sự cần quét mã QR từ địa điểm công cộng, hãy hỏi nhân viên để xác nhận mã đó legit không nhé.
Dùng trình quét mã QR an toàn: Ưu tiên xài trình quét mã QR mặc định của điện thoại (ví dụ camera trên iOS và Android). Hạn chế tải app quét mã QR từ bên thứ ba vì nhiều app này có thể thu thập data hoặc chứa malware đó.
Nguồn: soha.vn