Chuyên gia an ninh mạng ‘bóc trần’ tin giả quét mã QR bị mất toàn bộ tiền trong tài khoản
Chuyên gia an ninh mạng Ngô Minh Hiếu và nhóm CyProtek, thuộc dự án Chongluadao, đã đăng bài viết để đính chính về những thông tin sai lệch lan truyền trên MXH.
Chuyên gia an ninh mạng Hiếu PC vạch trần tin giả lan truyền trên MXH
Trong vài ngày gần đây, trên mạng xã hội Facebook và TikTok xuất hiện nhiều bài đăng khiến người dân hoang mang. Nội dung chủ yếu xoay quanh việc sau khi quét mã QR để chuyển tiền, ứng dụng bất ngờ yêu cầu quét sinh trắc học, sau đó thiết bị bị đơ, sập nguồn và tài khoản của người dùng bị hack, dẫn đến mất toàn bộ số tiền.
Nội dung bài đăng còn cho rằng hiện nay "có rất nhiều hình thức lừa đảo " có thể khiến bất kỳ ai cũng rơi vào tình trạng mất tiền, từ việc quét mã QR cho đến sao chép số tài khoản. Đồng thời, người đăng khuyến cáo nên ghi số tài khoản ra giấy và nhập thủ công để hạn chế rủi ro.
Mới đây, chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC) cùng nhóm CyProtek, thuộc dự án Chongluadao, đã đăng tải bài viết để “bóc trần” thông tin trên. Mục tiêu chính của bài viết là giúp mọi người hiểu rõ hơn về các mối đe dọa an ninh mạng mà không tiết lộ chi tiết cụ thể về các phương pháp, thủ thuật hay quy trình mà tin tặc có thể sử dụng, nhằm tránh vô tình tạo cơ hội cho các đối tượng xấu học hỏi và thực hiện hành vi nguy hiểm.
Trong bài viết, nhóm CyProtek khẳng định thông tin được lan truyền trên MXH gần đây là thông tin không chính xác. Đó chỉ là một phiên bản khác của những tin đồn tương tự như: “Chỉ cần nhấn vào đường link lạ là bị mất sạch tiền ngay” hoặc “Chỉ nghe điện thoại cũng bị rút hết tiền trong tài khoản ngân hàng”.
Nhóm CyProtek cho biết không khó để hiểu vì sao nhiều người lại chia sẻ những bài viết này trên MXH. Trước hết, có những người chưa nắm rõ vấn đề, chỉ đơn giản chia sẻ theo thói quen mà không kiểm chứng thông tin. Một số khác, đặc biệt là những người bán hàng online, có mục đích "câu like" hay "câu view" nhằm tăng tương tác cho tài khoản cá nhân hoặc trang kinh doanh của mình.
Ngoài ra, sự thiếu hiểu biết về công nghệ thông tin cũng là một nguyên nhân quan trọng, khiến họ không đủ khả năng phân tích và đánh giá tình huống một cách chính xác. Bên cạnh đó, có trường hợp thực sự bị lừa mất tiền, nhưng khi chia sẻ lại, cách diễn đạt không đầy đủ hoặc thiếu chính xác đã dẫn đến việc thông tin bị bóp méo hoặc sai lệch.
Các hình thức lừa đảo liên quan đến mã QR
Mã QR mang lại sự tiện lợi đáng kể trong thanh toán và truy cập thông tin. Tuy nhiên, điều này cũng khiến các đối tượng xấu lợi dụng để triển khai nhiều chiêu thức lừa đảo tinh vi. Dưới đây là một số hình thức phổ biến cùng những nguy cơ tiềm ẩn được nhóm CyProtek tổng hợp mà người dân cần đặc biệt lưu ý.
Lừa nạn nhân chuyển khoản qua mã QR có sẵn số tiền và nội dung chuyển khoản
Loại mã QR này thường thanh toán tại nhà hàng, siêu thị. Người dùng không thể chỉnh sửa thông tin trong mã này, chỉ cần xác nhận giao dịch. Cả cá nhân lẫn doanh nghiệp đều có thể tạo loại mã QR này thông qua ứng dụng ngân hàng, ví điện tử, hoặc ứng dụng thanh toán hóa đơn.
Các nhóm lừa đảo thường chọn Zalo làm nền tảng liên lạc với nạn nhân, bởi đây là một ứng dụng giao tiếp phổ biến, đặc biệt được ưa chuộng bởi các doanh nghiệp nhỏ và người bán hàng online như một kênh giao dịch chính thức.
Kẻ gian tiếp cận nạn nhân thông qua mã QR được thiết lập sẵn số tiền, đồng thời triển khai các kịch bản tinh vi như sau:
- Giả danh người mua hàng: Kẻ gian tuyên bố đã chuyển nhầm một khoản tiền lớn hơn giá trị thực của món hàng. Sau đó, kẻ lừa đảo gửi mã QR với số tiền đã định sẵn và yêu cầu nạn nhân hoàn trả phần chênh lệch.
- Giả danh nhân viên bưu điện: Kẻ gian yêu cầu nạn nhân liên kết với ứng dụng điện lực EVN hoặc thanh toán phí dịch vụ thông qua mã QR. Kẻ lừa đảo sử dụng các thủ đoạn tinh vi nhằm thao túng tâm lý nạn nhân thông qua các chiêu thức sau:
+Tạo áp lực và đe dọa cắt điện: Chúng liên tục đặt câu hỏi và sử dụng thông tin cá nhân của nạn nhân, thậm chí biết cả số tiền hóa đơn điện của họ, để tăng độ tin cậy. Những câu hỏi như: “Anh/chị đã liên kết ngân hàng để thanh toán tiền điện chưa?” hoặc “Nếu không thực hiện ngay, nhà anh/chị có thể bị cắt điện…” được đưa ra nhằm gây áp lực, khiến nạn nhân lo lắng và làm theo hướng dẫn mà không kịp nghi ngờ.
+Hướng dẫn liên kết: Chúng yêu cầu nạn nhân thực hiện các bước liên kết hoặc thanh toán phí dịch vụ qua mã QR đã được thiết lập sẵn.
+Quan sát tài khoản qua video call: Trong một số trường hợp, kẻ lừa đảo yêu cầu nạn nhân thực hiện thao tác trên ứng dụng ngân hàng qua video call hoặc facetime, nhằm giám sát số dư tài khoản của họ.
+Tiếp theo, kẻ gian yêu cầu nạn nhân thanh toán một khoản phí kích hoạt liên kết, chẳng hạn 23.121 đồng. Tuy nhiên, chúng cố ý chỉnh sửa mã QR để số tiền hiển thị là 23.121.014 đồng. Do giao diện của Zalo chỉ hiển thị số mà không kèm chữ diễn giải (ví dụ: “hai mươi ba triệu…”), nạn nhân dễ dàng nhầm lẫn, đặc biệt khi đang căng thẳng và thiếu tỉnh táo.
Những kịch bản này đều nhắm vào việc thao túng tâm lý, khiến nạn nhân vội vàng thực hiện giao dịch mà không kịp nhận ra mình đang rơi vào bẫy. Thông thường, mã QR được gửi qua Zalo, nơi có các tính năng tiện lợi như “Quét mã QR” hoặc “Chuyển tiền” hiển thị tự động, góp phần tạo cảm giác đáng tin cậy cho nạn nhân.
Kẻ lừa đảo tận dụng sự quen thuộc của nạn nhân với các tính năng như “Quét mã QR” hay “Chuyển tiền” trên Zalo để lừa họ thực hiện giao dịch. Khi nạn nhân sử dụng các tính năng này, ứng dụng sẽ ngay lập tức chuyển sang giao diện thực hiện chuyển tiền.
Nạn nhân tự chuyển tiền vào QR chứa số tài khoản kẻ gian
QR chứa số tài khoản người nhận yêu cầu người chuyển tiền tự điền thông tin số tiền và nội dung trước khi xác nhận giao dịch. Trong bất kỳ trường hợp nào, ứng dụng ngân hàng cũng sẽ yêu cầu người dùng kiểm tra lại thông tin trước khi thực hiện bước quét sinh trắc học hoặc nhập mã OTP.
Với loại mã QR này, có 2 hình thức lừa đảo phổ biến nhất, gồm:
- Lừa đảo đầu tư online: Kẻ gian gửi mã QR chỉ chứa thông tin tài khoản người nhận và yêu cầu nạn nhân tự nhập số tiền muốn chuyển. Một số kịch bản thường gặp như nạn nhân được khuyến khích tham gia các dự án đầu tư với lời hứa lợi nhuận cao; kẻ gian mạo danh cộng tác viên và yêu cầu nạn nhân thực hiện các giao dịch để nhận hoa hồng. Hình thức lừa đảo này đã được cơ quan chức năng và các phương tiện truyền thông cảnh báo nhiều lần.
- Đánh tráo mã QR tại cửa hàng: Kẻ gian sẽ tìm cách dán mã QR của mình lên mã QR thanh toán của các cửa hàng. Khi khách hàng thực hiện thanh toán, họ tin rằng mình đang chuyển tiền cho chủ cửa hàng, nhưng thực tế số tiền sẽ được chuyển vào tài khoản của kẻ gian. Nếu cả khách hàng và chủ cửa hàng không chú ý kiểm tra kỹ, họ rất dễ trở thành nạn nhân của hình thức lừa đảo này.
Mã QR dẫn tới website/ứng dụng lừa đảo
Trong trường hợp này, kẻ gian thường giả mạo ngân hàng, tổ chức tài chính, nền tảng mạng xã hội hoặc cơ quan nhà nước và dịch vụ công (VNEID, VSSID, EVN, ETax Mobile) nhằm mục đích đánh cắp thông tin đăng nhập (tài khoản và mật khẩu); chiếm đoạt mã OTP để truy cập trái phép vào tài khoản; thu thập thông tin nhạy cảm (số CCCD, thông tin thẻ tín dụng,....)
Sau đó lừa nạn nhân quét mã QR dẫn tới website lừa đảo, từ đó tải ứng dụng chứa mã độc về thiết bị di động. Sau khi được cài đặt, ứng dụng này chiếm quyền kiểm soát thiết bị, từ đó đánh cắp dữ liệu cá nhân, thông tin tài chính hoặc sử dụng điện thoại nạn nhân cho các mục đích lừa đảo khác.
Ví dụ điển hình và phổ biến gần đây là giả danh nhân viên điện lực EVN. Kẻ lừa đảo lợi dụng tâm lý của nạn nhân bằng cách đe dọa cắt điện nếu không thanh toán các khoản phí liên quan (như phí kích hoạt dịch vụ liên kết). Sau khi quét mã QR, nạn nhân sẽ được yêu cầu tải một ứng dụng để "hỗ trợ liên kết" hoặc "kiểm tra hóa đơn". Tuy nhiên, ứng dụng này thường chứa mã độc, cho phép kẻ gian chiếm quyền điều khiển thiết bị và thu thập thông tin nhạy cảm của nạn nhân.
Ngoài ra, có một hình thức lừa đảo khác lợi dụng tính năng quét mã QR tự động của Zalo. Kẻ gian tiếp cận nạn nhân bằng những kịch bản tinh vi, dụ dỗ họ quét mã QR, sau đó hướng nạn nhân đến một trang web để tải các ứng dụng giả mạo, chẳng hạn như ứng dụng hẹn hò 18+ hoặc ứng dụng nhận quà tặng.
Qua phân tích của nhóm CyProtek, các ứng dụng này thường có khả năng chiếm quyền kiểm soát điện thoại, từ đó trích xuất danh bạ, truy cập thư viện ảnh, tin nhắn và nhiều dữ liệu nhạy cảm khác.
Nguồn: CyProtek
