Tội phạm mạng ngày càng sử dụng mã QR độc hại để lừa người tiêu dùng.

Bạn thấy mã QR ở khắp mọi nơi ngày nay. Các mã vạch hình vuông hiển thị ở khắp mọi nơi: danh sách bất động sản, quảng cáo trên TV và các bài đăng trên mạng xã hội chào hàng những thứ trông giống như những ưu đãi tuyệt vời cho các mặt hàng phải có.

Đại dịch đã thúc đẩy sự gia tăng trong việc sử dụng mã QR. Tìm cách cắt giảm khả năng truyền tải, các nhà hàng đã thay thế thực đơn vật lý có sẵn cho tất cả khách hàng bằng các phiên bản trực tuyến có thể truy cập trên điện thoại cá nhân của riêng bạn. Quét hình vuông nhỏ đó và bạn sẽ tìm ra điểm đặc biệt của ngôi nhà.

Tội phạm mạng nhanh chóng ghi nhận và bắt đầu khai thác sự tiện lợi không thể phủ nhận của công nghệ. Những kẻ lừa đảo đang tạo mã QR độc hại của riêng họ được thiết kế để lừa người tiêu dùng không cố ý chuyển giao thông tin ngân hàng hoặc thông tin cá nhân của họ.

Hãy suy nghĩ trước khi quét mã QR đó.

“Bất cứ khi nào công nghệ mới xuất hiện, tội phạm mạng đều cố gắng tìm cách khai thác nó”, Angel Grant, phó chủ tịch bảo mật của F5, một công ty bảo mật ứng dụng, cho biết. Điều đó đặc biệt đúng với công nghệ như mã QR, mà mọi người biết cách sử dụng nhưng có thể không biết chúng hoạt động như thế nào, cô nói. “Sẽ dễ dàng thao túng mọi người hơn nếu họ không hiểu nó.”

Mã QR – chữ viết tắt của “phản hồi nhanh” – được phát minh ở Nhật Bản vào những năm 1990 . Chúng lần đầu tiên được sử dụng bởi ngành công nghiệp ô tô để quản lý sản xuất nhưng đã lan rộng khắp mọi nơi. Các trang web và ứng dụng đã được cắt xén để cho phép bạn tự tạo. 

Giờ đây, chúng đang bị tội phạm mạng khai thác trong một vụ lừa đảo qua email. Quét mã QR không có thật sẽ không ảnh hưởng gì đến điện thoại của bạn, chẳng hạn như tải xuống phần mềm độc hại trong nền. Nhưng nó sẽ đưa bạn đến các trang web lừa đảo được thiết kế để lấy tài khoản ngân hàng , thẻ tín dụng hoặc thông tin cá nhân khác . 

Giống như bất kỳ kế hoạch lừa đảo nào khác, không thể biết chính xác tần suất mã QR được sử dụng cho các mục đích xấu. Các chuyên gia cho biết chúng vẫn chiếm một tỷ lệ nhỏ trong tổng số lừa đảo, nhưng nhiều vụ lừa đảo liên quan đến mã QR đã được báo cáo cho Cục Kinh doanh Tốt hơn , đặc biệt là trong năm qua.

Gần đây nhất, FBI đã đưa ra một cảnh báo khuyên người tiêu dùng nên suy nghĩ trước khi quét mã QR sơ sài tiềm ẩn. 

Nhiều người biết rằng họ cần phải đề phòng các liên kết lừa đảo và các tệp đính kèm đáng ngờ trong các email có chủ đích từ ngân hàng. Nhưng suy nghĩ kỹ về việc quét mã QR bằng camera trên điện thoại thông minh của bạn không phải là bản chất thứ hai đối với hầu hết mọi người. 

Ảnh chụp màn hình của các trình điều khiển trang web lừa đảo đã được dẫn đến khi họ sử dụng điện thoại để quét các nhãn dán mã QR độc hại trên đồng hồ đỗ xe ở Austin, Texas.

Lợi dụng những người lái xe không nghi ngờ có thể đã đứng sau  gần 30 nhãn dán mã QR độc hại  được tìm thấy gần đây trên đồng hồ đỗ xe ở Austin, Texas, sử dụng công nghệ mã QR để cho phép người lái xe trả tiền đỗ xe trực tuyến. 

Tuy nhiên, thay vì được đưa đến trang web hoặc ứng dụng được ủy quyền của thành phố, những người lái xe đã quét nhãn lừa đảo đã dẫn đến một trang web giả mạo thu thập thông tin thẻ tín dụng của họ.

Cảnh sát không biết bao nhiêu người đã bị lừa. Bộ khuyến khích bất kỳ ai nghĩ rằng họ có thể đã bị trang web giả đánh cắp thông tin thẻ tín dụng của mình để liên hệ với họ.

Austin không phải là thành phố duy nhất trải qua những trò gian lận bằng mã QR không có thật. Các quan chức ở San Antonio, Texas, cách đó khoảng 80 km,  đã đưa ra cảnh báo  sau khi phát hiện các nhãn dán tương tự được kết nối với một trang web thanh toán bãi đậu xe giả mạo.

Mã QR đưa mọi người từ thế giới thực đến thế giới trực tuyến. Đó là lý do tại sao việc sử dụng chúng trong các nhãn lừa đảo, cũng như thư rác trên giấy là rất hợp lý, Brad Haas, nhà phân tích tình báo về mối đe dọa mạng của Cofense, một công ty bảo mật email, cho biết. Nó đưa những người trực tuyến mà chưa có.

Haas cho biết mã QR lừa đảo cũng bắt đầu xuất hiện trong các email lừa đảo và quảng cáo trực tuyến, một chiến thuật khiến anh phải vò đầu bứt tai. “Thực sự không có lý do gì để ai đó rút điện thoại ra và quét mã QR trong email mà họ đã xem trên máy tính xách tay của mình”, Haas nói. Rốt cuộc, người nhận đã trực tuyến với máy tính xách tay của họ. Tại sao một người gửi hợp pháp lại muốn họ kết nối với thiết bị thứ hai? Vì lý do đó, người tiêu dùng nên nghi ngờ bất kỳ email nào chứa mã QR. 

Tuy nhiên, các mã giả vẫn xuất hiện trong các email lừa đảo, mặc dù không thường xuyên như các chiến thuật đã thử, chẳng hạn như các tệp đính kèm chứa vi-rút hoặc liên kết đến các trang web lừa đảo. Cofense gần đây đã phát hiện ra một vụ lừa đảo nhắm mục tiêu vào những người nói tiếng Đức , bao gồm mã QR nhằm thu hút người dùng ngân hàng di động.

Ảnh chụp màn hình email lừa đảo chứa mã QR độc hại được các nhà nghiên cứu của Cofense phát hiện. Lưu ý rằng mã QR đã được thay đổi và sẽ không dẫn đến một trang web độc hại.

Aaron Ansari, phó chủ tịch phụ trách bảo mật đám mây của công ty chống vi-rút cho biết tin tặc có thể thích sử dụng mã QR trong các email lừa đảo vì chúng thường không được phần mềm bảo mật chọn ra, giúp chúng có cơ hội tiếp cận mục tiêu dự kiến ​​tốt hơn là các tệp đính kèm hoặc liên kết xấu. Xu hướng micro.

Ngay cả khi tỷ lệ thành công thấp hơn, việc gửi hàng triệu email lừa đảo sẽ dễ dàng hơn rất nhiều so với việc dán nhãn trên đồng hồ đỗ xe và trạm dừng xe buýt.

Điều tóm lại là mã QR chỉ là một cách nữa để tội phạm mạng có được những gì chúng muốn và một mối đe dọa khác mà mọi người cần phải đề phòng. 

“Ngày nay có rất nhiều cách để bạn bị xâm phạm,” Ansari nói, “nhưng chỉ cần một cách”.

Lời khuyên từ các chuyên gia

Hãy suy nghĩ trước khi bạn quét.  Đặc biệt cảnh giác với các mã được dán ở những nơi công cộng. Có một cái nhìn tốt. Nó là một nhãn dán hay một phần của một bảng hiệu hoặc màn hình lớn hơn? Nếu mã trông không khớp với nền, hãy yêu cầu bản sao giấy của tài liệu bạn đang cố truy cập hoặc nhập URL vào theo cách thủ công.

Khi bạn quét mã QR, hãy xem kỹ trang web mà nó đã dẫn bạn đến, Haas khuyến nghị. Nó có giống như bạn mong đợi không? Nếu nó yêu cầu thông tin đăng nhập hoặc thông tin ngân hàng mà dường như không cần thiết, đừng giao nó. 

Mã nhúng trong email hầu như luôn là một ý tưởng tồi.  Hãy nghe lời khuyên của Haas và hoàn toàn bỏ qua những điều này. Tương tự như vậy đối với các mã bạn nhận được trong thư rác giấy không được yêu cầu, chẳng hạn như những mã cung cấp trợ giúp trong việc hợp nhất nợ, Grant nói.

Xem trước URL của mã. Nhiều máy ảnh trên điện thoại thông minh, bao gồm cả  iPhone  chạy phiên bản  iOS mới nhất , sẽ cung cấp cho bạn bản xem trước URL của mã khi bạn bắt đầu quét. Nếu URL trông lạ, bạn có thể muốn tiếp tục.

Tốt hơn, Ansari khuyên bạn nên sử dụng ứng dụng quét an toàn, được thiết kế để phát hiện các liên kết độc hại trước khi điện thoại của bạn mở chúng. Công ty của ông, Trend Micro,  cung cấp một chương trình miễn phí , cũng như một số công ty chống vi-rút lớn khác.

Nhưng hãy gắn bó với các công ty bảo mật nổi tiếng, anh ấy nói. Các ứng dụng quét QR độc hại được thiết kế để thu thập thông tin người dùng đã từng đưa nó vào các cửa hàng ứng dụng trong quá khứ.

Sử dụng trình quản lý mật khẩu. Như với tất cả các loại lừa đảo, nếu mã QR đưa bạn đến một trang web giả mạo đặc biệt thuyết phục, người quản lý mật khẩu sẽ vẫn biết sự khác biệt và sẽ không tự động điền mật khẩu của bạn, Haas nói.