Tiện, nhưng phải an toàn
Việc sử dụng mã QR khá phổ biến trong hoạt động giao dịch, thanh toán. Mấy năm qua, từ các nhà thuốc, bệnh viện đến các quán ăn, siêu thị, cửa hàng, quầy bán rau, thịt… đều có sử dụng hình thức thanh toán này. Chuyện đối tượng xấu lợi dụng, tìm cách dán chồng mã nhằm chiếm đoạt tiền của chủ hàng đã trở nên phổ biến. Vừa qua, Bệnh viện Nhi Trung ương phát hiện đối tượng xấu dán mã giả mạo tại một số quầy thanh toán viện phí nhằm chiếm đoạt tài sản. Ngoài gỡ bỏ các mã QR giả, Bệnh viện Nhi Trung ương đã phát thông báo, hướng dẫn người nhà bệnh nhân thực hiện đúng các quy định về thanh toán viện phí, tránh bị kẻ xấu chiếm đoạt tài sản.
Ông Nguyễn Minh Đức, Giám đốc Công ty cổ phần An toàn thông tin Cyrada, chia sẻ: "Hiện nay ở nhiều cửa hàng, mã QR thường được in và đóng khung đặt trên quầy. Có nơi sao thành nhiều bản, dán tại các khu vực trong cửa hàng. Điều này vô tình tạo kẽ hở để kẻ gian dán đè mã (nhằm thay đổi địa chỉ nhận tiền). Điều đáng nói, chúng còn có thể đóng vai khách hàng, nhanh tay dán đè mã mới trong vài giây rồi chọn mua hàng với giá trị lớn".
Mới đây, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Công an tỉnh Lâm Đồng) phát hiện nhóm phát tờ rơi quảng cáo, dán hình các cô gái khêu gợi và đính kèm QR, nhằm dụ dỗ khách hàng sử dụng dịch vụ "tình cảm" bằng cách quét mã và tải ứng dụng trên website. Mục tiêu của chúng nhằm dụ người dùng cài đặt các ứng dụng chứa mã độc vào điện thoại cá nhân. Khi cài đặt ứng dụng này, mã độc có thể xâm nhập, chiếm đoạt tài khoản, mật khẩu và mã OTP của nạn nhân để thực hiện các hành vi vi phạm pháp luật.
Theo chuyên gia an ninh mạng Ngô Trí Nhật, Công ty An ninh mạng NSC: "Việc quét mã trong thanh toán đã trở nên rất tiện lợi, nhưng người dùng phải để tâm vào việc thực hiện thao tác, nhấn nút. Nếu không rất dễ truy cập link xấu, hoặc chuyển tiền tới số tài khoản giả mạo mà không biết".
Tăng cường cảnh báo
Mới đây, Cục An toàn thông tin, Bộ Thông tin và Truyền thông đã cảnh báo ba hình thức lừa đảo trực tuyến phổ biến nhất, đó là lừa đảo giả mạo website, lừa đảo chiếm đoạt bằng đường link/file nén và lừa đảo thẻ tín dụng, chiếm đoạt tài sản thông qua mã QR. Nhiều công ty mạng trên thế giới cho rằng, sử dụng mã QR để lừa đảo là cách thức tinh vi, phức tạp. Một số cuộc tấn công được bắt đầu bằng việc gửi email qua mã QR, song khi quét hệ thống sẽ chuyển hướng người dùng tới các trang website lừa đảo. Dấu hiệu cho thấy có thể là giả mạo: người gửi thúc giục, cho rằng tình huống là khẩn cấp, và mã QR cần phải quét ngay lập tức. Nạn nhân được đề nghị xác thực thông tin cá nhân, mã OTP hoặc bị dẫn tới các trang quảng cáo chứa mã độc và dễ dàng "kéo" mã độc về thiết bị của mình. So với đường link độc hại truyền thống thì mã QR có thể chèn trực tiếp vào email, tin nhắn mà không bị các bộ lọc chặn lại, từ đó dễ dàng tiếp cận người dùng.
Chuyên gia an ninh mạng Vũ Ngọc Sơn cho biết, một số ứng dụng quét hiện nay hỗ trợ việc tự động xử lý nội dung. Nếu vô tình quét phải mã độc mà không có hàng rào bảo vệ, chúng có thể khiến người dùng bị tấn công. Nhiều chuyên gia còn cho rằng, hiện nay trên thị trường có thể mua tài khoản ngân hàng rác chỉ với hai triệu đồng. Kẻ gian sẵn sàng chi tiền mua nhiều tài khoản không chính chủ, sau đó thực hiện lừa đảo để thu về số tiền lớn hơn.
Để tránh bẫy kẻ gian, Bộ Thông tin và Truyền thông cảnh báo người dùng không nên đăng nhập vào ứng dụng hoặc dịch vụ bất thường thông qua mã QR. Đặc biệt cẩn trọng trước những dụ dỗ bằng phần thưởng, tránh việc quét mã ngẫu nhiên từ các nguồn không xác định hoặc đáng ngờ. Ông Nguyễn Duy Khiêm, đại diện Cục An toàn thông tin khuyến cáo: "Người dùng nên cài đặt trình quản lý mật khẩu, xác thực hai yếu tố và các phương thức bảo vệ khác cho tài khoản của mình". Ngoài ra, theo nhiều chuyên gia, các tổ chức cung cấp mã QR cần cảnh báo đến người dùng, đưa ra giải pháp giao dịch an toàn, thường xuyên kiểm tra các bảng mã được dán tại trụ sở, đơn vị.