Mã QR từng được xem là biểu tượng của sự tiện lợi. Nhưng chính sự tiện lợi ấy đang bị lợi dụng, khi ngày càng nhiều người “vô tư” quét mã ở nơi công cộng và vô tình mở cửa cho kẻ gian tiếp cận tiền bạc lẫn dữ liệu cá nhân.
Có một thói quen mà rất nhiều người trong chúng ta đang làm mỗi ngày: thấy mã QR là quét. Quét để xem menu, quét để thanh toán, quét để lấy thông tin, thậm chí quét chỉ vì… tò mò. Ít ai dừng lại vài giây để tự hỏi: mã QR này đến từ đâu, và nó thực sự sẽ dẫn mình đi đâu?
Các chuyên gia an ninh mạng gọi kiểu lừa đảo này là Quishing – một biến thể của phishing, nhưng thay vì email hay tin nhắn, kẻ gian dùng mã QR làm “cửa ngõ”. Nghe có vẻ vô hại, bởi QR code vốn chỉ là những ô vuông đen trắng. Nhưng chính vì không hiển thị rõ nội dung bên trong, nó lại trở thành công cụ lý tưởng cho lừa đảo.
QR code ban đầu không được tạo ra để bảo mật. Nó sinh ra để giúp mọi thứ nhanh và tiện hơn. Và khi smartphone trở thành vật bất ly thân, mã QR cũng xuất hiện dày đặc ở khắp nơi: nhà hàng, cây xăng, bãi đỗ xe, hóa đơn điện nước, thậm chí trên tờ rơi, biển quảng cáo ngoài đường. Điều này vô tình tạo ra một môi trường quá “màu mỡ” cho tội phạm mạng.
Chỉ cần in một mã QR giả, dán đè lên mã thật ở máy thanh toán hoặc bãi giữ xe, kẻ gian đã có thể dẫn nạn nhân tới một website giả mạo. Tại đó, người dùng có thể bị yêu cầu đăng nhập, nhập thông tin thẻ, hoặc chuyển khoản với lý do “thanh toán nhanh”. Mọi thứ diễn ra trong vài chục giây, đủ nhanh để không kịp nghi ngờ.
Điều đáng nói là Quishing đang tăng trở lại, không chỉ ở Mỹ hay châu Âu mà cả tại Việt Nam – nơi thanh toán QR đã trở thành thói quen hằng ngày. Chỉ cần quét là thông tin ngân hàng tự động hiện ra, không cần nhập số tài khoản, không cần kiểm tra tên người nhận kỹ như trước. Và kẻ gian đã tận dụng chính sự tiện lợi đó.
Một điểm nguy hiểm khác của lừa đảo qua mã QR là người dùng rất khó kiểm tra đường link trước khi truy cập. Không giống email hay tin nhắn, nơi bạn có thể đọc qua địa chỉ web, QR code che giấu toàn bộ liên kết phía sau. Chỉ khi đã quét, đường dẫn mới hiện ra – và lúc đó, nhiều người chọn bấm tiếp theo phản xạ.
Các thống kê cho thấy mức độ chủ quan này khá phổ biến. Một tỷ lệ lớn người dùng quét mã QR mà không xác minh nguồn gốc, và không ít trường hợp bị chuyển hướng sang website độc hại chỉ sau một lần quét. Đáng chú ý, người dùng smartphone cao cấp lại không hẳn an toàn hơn. Sự tin tưởng vào thiết bị, vào hệ sinh thái “an toàn”, đôi khi khiến họ mất cảnh giác.
Quishing không nhắm vào một nhóm tuổi cụ thể. Người lớn tuổi dễ bị lừa vì ít quen với các chiêu trò công nghệ mới. Trong khi đó, người trẻ lại quét mã QR thường xuyên hơn, nhanh hơn, và… ít suy nghĩ hơn. Hai thái cực khác nhau, nhưng đều chung một điểm yếu: tin rằng mã QR là thứ “vô hại”.
Các chuyên gia bảo mật cho rằng đây là kiểu tấn công ít tốn công sức nhưng mang lại hiệu quả cao, nên chắc chắn sẽ còn được khai thác mạnh trong thời gian tới. Khi email lừa đảo ngày càng dễ bị phát hiện, tin nhắn rác bị chặn nhiều hơn, mã QR trở thành con đường mới, kín đáo và khó kiểm soát hơn.
Để tự bảo vệ mình, điều quan trọng nhất vẫn là thay đổi thói quen. Không phải cứ thấy QR là quét. Với mã xuất hiện ở nơi công cộng, cần quan sát xem có dấu hiệu bị dán đè, lệch vị trí hay không. Khi quét, hãy đọc kỹ đường link hiện ra trước khi truy cập, đặc biệt nếu trang web yêu cầu đăng nhập, nhập thông tin cá nhân hoặc thanh toán.
Bên cạnh đó, các giải pháp kỹ thuật mới cũng đang được nghiên cứu, như mã QR có chữ ký số để xác thực nguồn gốc, hoặc QR được thiết kế riêng với logo, màu sắc đặc trưng để khó bị làm giả. Tuy nhiên, công nghệ chỉ hỗ trợ một phần. Phần còn lại vẫn nằm ở sự tỉnh táo của người dùng.
Trong thời đại mọi thứ chỉ cách nhau một cú chạm, đôi khi dừng lại vài giây trước khi quét mã QR lại chính là cách đơn giản nhất để tránh mất tiền, mất dữ liệu – và tránh rước rắc rối vào thân.