Ngày nay, mã QR đã trở nên phổ biến khắp mọi nơi, từ quảng cáo trên tivi, các bài đăng trên mạng xã hội hay danh sách bất động sản.
Đặc biệt, sự lây lan của đại dịch Covid-19 càng khiến nhu cầu sử dụng mã QR tăng lên. Các nhà hàng thay thế thực đơn vật lý bằng phiên bản online có thể truy cập bằng cách sử dụng điện thoại cá nhân. Hay chỉ bằng thao tác quét mã QR, khách hàng có thể tìm hiểu một ngôi nhà rao bán có gì đặc biệt.
Cũng vị sự phổ biến của mã QR, tội phạm mạng đã nhanh chóng khai thác công nghệ tiện lợi này. Những kẻ lừa đảo tạo ra mã QR độc hại để lừa lấy tài khoản ngân hàng hoặc thông tin cá nhân người dùng.
Các nhóm tội phạm luôn khai thác các công nghệ mới phục vụ cho việc lừa đảo
"Bất cứ khi nào công nghệ mới ra đời, các nhóm tin tặc lại tìm cách khai thác chúng", Angel Grant, Phó chủ tịch tại F5, công ty an ninh mạng cho biết. Đặc biệt với công nghệ như mã QR, vốn được sử dụng rộng rãi nhưng không phải ai cũng biết công nghệ hoạt động như thế nào. Điều đó càng khiến việc thao túng người dùng trở nên dễ dàng hơn".
Mã QR, viết tắt của "phản ứng nhanh" (Quick Response), được phát minh tại Nhật Bản từ những năm 1990. Công nghệ lần đầu tiên được sử dụng trong ngành công nghiệp ô tô để quản lý sản xuất nhưng đã nhanh chóng lan rộng khắp mọi nơi.
Giờ đây công nghệ này đang bị khai thác bởi các nhóm tội phạm mạng, sử dụng để tấn công giả mạo qua email. Việc quét các mã QR giả mạo không tác động gì tới điện thoại của người dùng, ví như việc tải xuống các phần mềm độc hại chạy nền. Nhưng nó sẽ dẫn người dùng tới các website lừa đảo được thiết kế để lấy tài khoản ngân hàng, thẻ tín dụng hay các thông tin cá nhân.
Cũng giống bất kỳ các âm mưu giả mạo, người dùng không thể biết chính xác tần suất mã QR được sử dụng cho mục đích xấu. Các chuyên gia cho biết mã QR giả chỉ chiếm một tỉ lệ nhỏ trong các cuộc tấn công giả mạo, nhưng nhiều vụ lừa đảo năm ngoái liên quan tới sử dụng mã QR.
Nhiều người biết rằng họ phải đề phòng các liên kết giả mạo và tệp đính kèm đáng ngờ trong email giả mạo ngân hàng. Nhưng việc quét mã QR bằng điện thoại khiến hầu hết mọi người mất cảnh giác.
Ví dụ như tại thành phố Austin, Texas, Mỹ, cơ quan chức năng đã phát hiện hơn 30 mã QR độc tại các máy thu tiền đỗ xe, vốn sử dụng công nghệ quét mã để hỗ trợ lái xe thanh toán online. Thay vì đưa đường dẫn tới website hay ứng dụng hợp pháp, các lái xe bị lừa tới nhiều trang web giả mạo để thu thập thông tin thẻ tín dụng.
Brad Haas, nhà phân tích nguy cơ an ninh mạng tại Cofense, công ty an ninh thư điện tử, cho biết mã QR là phương tiện đưa con người từ thế giới thực lên trực tuyến, do đó dễ hiểu khi chúng được sử dụng trên các miếng dán (sticker) lừa đảo, hay trên thùng thư giấy. Haas cũng cho biết lừa đảo qua mã QR đã bắt đầu xuất hiện trong các thư điện tử giả mạo và quảng cáo trực tuyến.
Phó chủ tịch an ninh đám mây tại công ty diệt virus Trend Micro Aaron Ansari cho biết tin tặc có thể thích việc sử dụng mã QR trong email vì chúng thường không bị phát hiện bởi các phần mềm bảo mật, giúp hacker có cơ hội tiếp cận mục tiêu dự kiến tốt hơn là sử dụng tệp đính kèm hoặc liên kết giả mạo.
Lời khuyên từ các chuyên gia
Cẩn trọng trước khi quét mã, đặc biệt là các mã được đính ở những nơi công cộng. Mã QR chỉ là một miếng dán hay là một phần của bảng hiệu và màn hình lớn? Nếu mã trông không khớp với nền, hãy yêu cầu tài liệu bản cứng hoặc gõ địa chỉ URL thủ công.
Các chuyên gia khuyến nghị người dùng khi quét mã QR, hãy xem xét kỹ trang web được đưa tới và cảnh giác với các yêu cầu thông tin đăng nhập hoặc thông tin ngân hàng mà dường như không cần thiết. Các mã nhúng trong thư điện tử thường là một ý tưởng tồi. Hãy bỏ qua những thứ như vậy. Tương tự đối với các mã bạn nhận được trong hòm thư giấy, kiểu như mã cung cấp hỗ trợ vay trả nợ.
Xem trước đường dẫn URL của mã: Nhiều máy ảnh trên smartphone, gồm iPhone chạy phiên bản iOS mới nhất, có tính năng cho người dùng xem trước đường dẫn khi bắt đầu quét. Hoặc người dùng có thể sử dụng các phần mềm quét mã an toàn của các công ty bảo mật lớn.
Sử dụng trình quản lý mật khẩu: Như với tất cả các chiêu thức giả mạo khác, nếu mã QR đưa người dùng tới trang web lừa đảo, ứng dụng quản lý mật khẩu vẫn nhận ra sự khác biệt và không tự động điền các thông tin theo yêu cầu.