Chỉ trong 5 giây, mất quyền kiểm soát tài khoản ngân hàng vì một công nghệ quen thuộc

Theo Techtarget, quishing – hay lừa đảo qua mã QR – là một dạng tấn công phishing, trong đó kẻ gian sử dụng mã QR để dụ người dùng truy cập trang web giả mạo hoặc tải xuống nội dung độc hại. Mục tiêu của hình thức tấn công này là đánh cắp các thông tin nhạy cảm như mật khẩu, dữ liệu tài chính hay thông tin nhận dạng cá nhân (PII), sau đó sử dụng cho những hành vi phạm tội như chiếm đoạt danh tính, gian lận tài chính hoặc phát tán ransomware.

Mã QR (Quick Response) được công ty Denso Wave (Nhật Bản) phát minh năm 1994 để phục vụ dán nhãn và theo dõi linh kiện ô tô. Đây là dạng mã vạch hai chiều gồm các ô vuông đen trắng, có thể chứa lượng dữ liệu lớn và được giải mã nhờ phương pháp sửa lỗi Reed–Solomon, cho phép vẫn đọc được ngay cả khi hình ảnh bị che khuất một phần. Không giống mã vạch một chiều chỉ quét theo hướng dọc, mã QR có thể được quét từ nhiều hướng, giúp thao tác nhanh và linh hoạt hơn.

Ngày nay, mã QR không chỉ dẫn người dùng tới một URL mà còn hỗ trợ gửi email, tin nhắn văn bản hoặc hiển thị thông điệp trực tiếp trên thiết bị. Việc áp dụng mã QR đã khởi đầu từ năm 1997 nhưng chỉ thực sự tăng tốc trong thập kỷ qua và bùng nổ sau đại dịch COVID-19 khi nhu cầu thanh toán, tra cứu thông tin và giao dịch không tiếp xúc gia tăng mạnh.

Chính sự phổ biến này lại trở thành “mảnh đất” để tội phạm mạng lợi dụng: nếu mã QR chính thức bị thay thế bằng mã giả, người quét có thể bị chuyển tới trang web lừa đảo và mất thông tin cá nhân hoặc tài khoản ngân hàng chỉ trong vài giây.

Trong thực tế, quishing đã gây ra nhiều thiệt hại đáng kể. Theo báo cáo Phishing Trends Report năm 2025, các vụ tấn công qua mã QR (quishing) tăng khoảng 25% mỗi năm khi tội phạm tận dụng các không gian thực như áp phích hay danh thiếp giả mạo để dụ người quét mã.

Theo APWG, trong quý 1 năm 2025 có hơn 1.003.924 vụ phishing được ghi nhận, con số cao nhất từ cuối năm 2023, trong đó có nhiều trường hợp gửi mã QR qua email hoặc tệp đính kèm PDF dẫn người nhận tới các trang lừa đảo hoặc chứa mã độc.

Một nghiên cứu thực nghiệm (“Gone Quishing”) cho thấy khi giả lập việc quét mã QR, khoảng 67% người tham gia sẵn sàng sử dụng tài khoản Google hoặc Facebook để đăng ký, tức cung cấp thông tin cá nhân, chỉ vì thấy tiện lợi; sự thuận tiện này là yếu tố khiến quishing hiệu quả cao.

Một ví dụ cụ thể xảy ra tại Singapore: một phụ nữ 60 tuổi đã quét mã QR bên ngoài cửa hàng trà sữa với lời hứa trả lời khảo sát để được đồ uống miễn phí. Sau khi cài một ứng dụng được yêu cầu, điện thoại cô bị tấn công, và khoảng 20.000 USD bị rút khỏi tài khoản ngân hàng của cô.

Tại Anh, một vụ lừa quét mã QR giả trên máy thanh toán tại bãi đậu xe đã khiến một người mất khoảng £13.000. Các vụ quishing với mã QR giả được dán lên máy thanh toán xe hơi, biển chỉ dẫn công cộng hoặc chỗ sạc xe điện cũng được ghi nhận.

Một nghiên cứu mới cho thấy các email quishing (tức email chứa mã QR thay vì đường link) có hiệu quả thu hút người dùng tới trang giả mạo tương đương với phishing truyền thống. Sự thật này đáng lo ngại vì mã QR trong email hoặc ảnh đính kèm thường khó bị phát hiện bởi các bộ lọc bảo mật.

Theo đó, để bảo vệ bản thân khỏi các cuộc tấn công quishing, người có thể áp dụng các biện pháp sau:

Xác minh nguồn gốc mã QR: Chỉ quét mã QR từ các nguồn đáng tin cậy, như các doanh nghiệp uy tín hoặc các tổ chức chính thống. Tránh quét mã QR từ email hoặc tin nhắn không rõ nguồn gốc hoặc từ người lạ.

Kiểm tra trước địa chỉ URL: Trước khi truy cập trang web thông qua mã QR, hãy xem trước địa chỉ URL. Nếu URL đã được rút ngắn hoặc không rõ ràng, tốt nhất nên tránh truy cập.

Hạn chế sử dụng mã QR để thanh toán: Nếu có thể, tránh thực hiện thanh toán qua mã QR, đặc biệt khi mã được dán ở nơi công cộng. Nếu liên kết thanh toán dẫn đến một trang web không rõ ràng hoặc không thuộc ngân hàng/ứng dụng chính thức, hãy dừng lại ngay.

Không quét mã QR ngẫu nhiên ở nơi công cộng: Tránh quét các mã QR xuất hiện trên biển quảng cáo, tờ rơi hoặc dán trên máy thanh toán, vì chúng có thể đã bị thay thế bằng mã độc hại. Nếu cần quét mã QR từ các địa điểm công cộng, hãy hỏi nhân viên để xác nhận mã đó là hợp pháp.

Sử dụng trình quét mã QR an toàn: Ưu tiên sử dụng trình quét mã QR mặc định đi kèm với điện thoại (ví dụ: camera trên iOS và Android). Hạn chế tải ứng dụng quét mã QR từ bên thứ ba, vì nhiều ứng dụng này có thể thu thập dữ liệu hoặc chứa mã độc.

Kiểm tra kỹ mã QR vật lý trước khi quét : Quan sát kỹ mã QR sắp quét, nếu có dấu hiệu bị dán đè lên, chỉnh sửa hoặc trông không đồng nhất với thiết kế xung quanh, hãy tránh xa. Nếu thấy một nhãn dán mã QR trên máy thanh toán hoặc tại địa điểm công cộng, hãy kiểm tra xem có dấu hiệu bị thay thế hay không và hỏi nhân viên để xác minh.