Chiêu trò lừa đảo về mã QR
Trong những ngày qua, một số tài khoản trên mạng xã hội lan truyền thông tin "quét mã QR tự nhiên tài khoản bay hết tiền" khiến nhiều người xôn xao. Tuy nhiên, điều này không thực sự chính xác. Bởi để bị mất tiền từ tài khoản ngân hàng thì phải là một quá trình với nhiều thao tác sau đó gồm đăng nhập vào ứng dụng ngân hàng điện tử, xác nhận mã OTP hay sinh trắc học, thực hiện lệnh chuyển tiền...
Dù vậy, hiện tượng bị lừa đảo thông qua chuyển khoản, thanh toán bằng mã QR (QR code) đã được cảnh báo nhiều lần. Mới nhất, vào cuối tuần qua, Ngân hàng TMCP Lộc Phát (LPBank) đã đưa ra cảnh báo về việc lừa đảo khi giao dịch chuyển tiền qua mã QR. Theo đó, do hình thức thanh toán qua mã QR đã trở thành phương thức thanh toán quen thuộc và tiện lợi trong cuộc sống hàng ngày nên các đối tượng lừa đảo cũng thay đổi hình thức lừa đảo từ gửi đường link độc hại truyền thống sang gửi mã QR tới khách hàng. Mã QR có thể chèn trực tiếp vào email, tin nhắn mà không bị các bộ lọc chặn lại như đường link.
Ma trận lừa đảo giăng bẫy người dùng cận Tết Nguyên đán
LPBank liệt kê một số hình thức lừa đảo như dùng mã QR giả mạo. Cụ thể với việc bị giả mạo thì tại nhiều cửa hàng, mã QR thường được in và đóng khung đặt trên quầy thanh toán hoặc dán bản sao tại khu vực xung quanh. Kẻ gian lợi dụng sơ hở để dán đè hoặc đặt biển có mã QR của tài khoản giả mạo để lừa đảo khách hàng và chiếm đoạt tiền chuyển khoản. Bên cạnh đó, kẻ gian tạo mã QR giả mạo lên hóa đơn, tờ rơi giả mạo nhà hàng, quán ăn, shop online uy tín, quen thuộc,… nhằm dụ dỗ người dùng thực hiện thanh toán. Cũng xuất hiện đối tượng lừa đảo mạo danh cán bộ ngân hàng hay cán bộ cơ quan chức năng liên hệ và yêu cầu khách hàng quét mã QR để cung cấp thông tin bảo mật, thông tin cá nhân, hình ảnh căn cước công dân, tài khoản và mật khẩu ngân hàng thông qua các hình thức như sinh trắc học, nhập mã OTP, Smart OTP,… dẫn đến việc bị đánh cắp tài khoản.
Song song đó, có tình trạng mã QR gửi kèm hóa đơn từ tin nhắn SMS, email, mạng xã hội,… thông báo khách hàng trúng thưởng, nhận được quà tặng khuyến mại. Khi thực hiện quét mã QR, khách hàng sẽ bị chuyển khoản đến website lừa đảo để đánh cắp thông tin hoặc thiết bị sẽ bị cài đặt các phần mềm độc hại lên thiết bị. Ngoài ra, kẻ gian cũng tạo lập các cửa hàng mua sắm thanh toán trực tuyến trên mạng xã hội, sàn thương mại điện tử,… mua các lượt chia sẻ, tương tác để tạo dựng hình ảnh cửa hàng uy tín hoặc đặt tên cửa hàng gần giống các thương hiệu uy tín dễ gây nhầm lẫn. Khi gặp người có nhu cầu mua hàng, đối tượng lừa đảo sẽ gửi mã QR để khách hàng thanh toán. Tuy nhiên, tài khoản nhận tiền khi khách hàng quét mã QR và thông tin tài khoản in trên QR không đồng nhất dẫn tới việc khách hàng bị điều hướng chuyển khoản vào tài khoản lừa đảo...
Phòng chống lừa đảo như thế nào?
Trong năm 2024, Công an TPHCM cũng phát đi cảnh báo về chiêu thức lừa đảo quét mã QR . Chẳng hạn, người dùng bỗng dưng nhận được bưu phẩm quà tặng 0 đồng và phiếu cào dự thưởng. Khi người dân cào, tất nhiên trúng giải thưởng giá trị và quy trình đổi thưởng phải quét mã QR code. Khi quét mã QR code có đưa tới đường link lạ và từ đó điện thoại bị xâm nhập, bị chiếm quyền điều khiển và các đối tượng lừa đảo dễ dàng lấy tiền trong tài khoản ngân hàng...
Chuyên gia bảo mật Võ Đỗ Thắng cho hay ngoài việc giả mạo phổ biến là dán đè mã mới lên các QR code ở những điểm công cộng như bệnh viện hay tờ rơi, quảng cáo hoặc thậm chí nơi cửa hàng, kẻ gian có thể gắn đường link giả mạo ẩn dưới logo chính hãng, tên thương hiệu để qua mắt người dùng. Khi người dùng quét QR code sẽ xuất hiện một trang web giả mạo và sẽ có những hướng dẫn tiếp theo để điền thông tin, chuyển khoản. Khi đó có thể tất cả thông tin cá nhân kèm mật khẩu, mã OTP của ngân hàng sẽ bị lộ khiến tiền trong tài khoản bị đánh cắp. Đồng thời các tài khoản Facebook, địa chỉ mail cũng có thể bị đánh cắp và sẽ phát sinh nhiều hệ lụy lâu dài.
Riêng đối với tình trạng đánh cắp tài khoản dưới chiêu trò giả vờ nhập sai mật khẩu để bị khóa ứng dụng ngân hàng điện tử thì ông Võ Đỗ Thắng cho rằng sẽ khó xảy ra hơn. Bởi sau khi thực hiện sinh trắc học thì quy trình để khách hàng có thể lấy lại mật khẩu ngân hàng điện tử sẽ gồm nhiều thủ tục hơn trước đây. Một số ngân hàng vẫn cho phép khách khách hàng liên hệ qua tổng đài và mật khẩu sẽ được gửi về địa chỉ mail cá nhân đã đăng ký trước đó. Nếu điện thoại khách hàng đã bị chiếm quyền điều khiển thì kẻ lừa đảo cũng có thể lấy được mật khẩu mới này. Còn các nhà băng vẫn yêu cầu khách hàng phải ra tận quầy giao dịch mà không cho phép thực hiện online thì sẽ an toàn hơn.
Vì vậy, vị chuyên gia này lưu ý khách hàng cẩn trọng trong mọi giao dịch thanh toán. Ví dụ khi quét mã QR cần xác minh kỹ thông tin giao dịch như số tài khoản, tên chủ tài khoản tương ứng với thông tin của chủ cửa hàng thì mới thực hiện các bước chuyển tiền trực tuyến. Khi quét mã QR code có đưa tới đường link lạ, cần phải kiểm tra kỹ mới quyết định thực hiện các thao tác tiếp theo. Đặc biệt trong tất cả trường hợp liên quan đến tài khoản ngân hàng thì nên đến quầy giao dịch trực tiếp, không nên tin vào bất kỳ cá nhân nào để cung cấp mật khẩu, OTP...