Giơ điện thoại quẹt một phát, đêm về nằm ngủ tự nhiên 300 triệu biến mất khỏi tài khoản: Chuyện kỳ quái gì đang xảy ra vậy?

Quẹt mã QR để nhận món quà miễn phí, người phụ nữ không ngờ rằng đêm đang ngủ ngon thì tiền trong tài khoản tự nhiên bay mất đến mấy trăm triệu.

Quét mã QR mất tiền

Người phụ nữ ghé một cửa hàng trà sữa trân châu và nhìn thấy một miếng dán trên cửa kính mời gọi khách hàng thực hiện khảo sát trực tuyến để nhận trà sữa miễn phí.

Trước cơ hội nhận món quà không mất tiền, người phụ nữ 60 tuổi quét mã QR dán trên đó và tải ứng dụng của bên thứ ba xuống điện thoại Android để hoàn thành "cuộc khảo sát".

Đêm hôm ấy, khi đang ngủ, điện thoại di động của người phụ nữ đột nhiên sáng lên. Từ ứng dụng tải xuống, kẻ lừa đảo đã sử dụng để chiếm đoạt thiết bị và đánh cắp 20.000 USD từ tài khoản ngân hàng của người này.

Đây không phải là nạn nhân duy nhất.

Vào tháng 4, cảnh sát và Cơ quan An ninh mạng Singapore đã cảnh báo về việc tải xuống ứng dụng từ các trang web đáng ngờ sẽ nhiễm phần mềm độc hại. Các phần mềm sẽ đánh cắp dữ liệu bí mật và nhạy cảm, bao gồm cả thông tin đăng nhập ngân hàng.

Cảnh sát cho biết kể từ tháng 3, đã có ít nhất 113 nạn nhân bị mất ít nhất 445.000 USD.

Beaver Chua, người đứng đầu bộ phận chống lừa đảo của Ngân hàng OCBC cho biết: "Mặc dù các vụ lừa đảo bằng phần mềm độc hại không phải mới, nhưng cách thức mà kẻ lừa đảo ứng dụng lại ngày càng tinh vi".

"Bên cạnh các biểu ngữ bật lên khi truy cập trang web, dán mã QR giả bên ngoài các cửa hàng ăn uống là một thủ đoạn mưu mô khác, vì người tiêu dùng có thể không phân biệt được mã QR chính thức hay giả mạo".

Cách thức hoạt động

Khi quét mã QR, nạn nhân được đề nghị tải xuống một ứng dụng có chứa phần mềm độc hại, yêu cầu cấp quyền truy cập vào micrô và máy ảnh của điện thoại.

Ứng dụng độc hại cũng yêu cầu quyền truy cập Dịch vụ trợ năng của Android, đây là tính năng hỗ trợ người dùng khuyết tật, cho phép kẻ lừa đảo xem và điều khiển màn hình của nạn nhân.

Kẻ lừa đảo sau đó đợi nạn nhân sử dụng ứng dụng ngân hàng di động và ghi lại thông tin đăng nhập và mật khẩu. Không những vậy, kẻ gian có thể vô hiệu hóa chức năng nhận dạng khuôn mặt, vì thế nạn nhân phải nhập thông tin chi tiết tài khoản.

Sau đó, chúng truy cập camera để theo dõi hoạt động của nạn nhân, chờ thời điểm thích hợp để ra tay. Vào ban đêm, khi nạn nhân đang ngủ, kẻ lừa đảo sẽ kiểm soát điện thoại thông qua phần mềm độc hại.

Chúng sẽ đăng nhập vào ứng dụng ngân hàng di động của nạn nhân và chuyển tiền sang tài khoản ngân hàng khác.

"Trò lừa đảo này rất quỷ quyệt vì những kẻ lừa đảo đã chiếm đoạt điện thoại của nạn nhân. Vì mất quyền kiểm soát tài khoản ngân hàng, họ thậm chí sẽ không biết khi nào mình bị mất sạch tiền", chuyên gia Chua nói.

Sinh viên đại học Char Shao Wen, 25 tuổi, mua trà sữa trân châu hai lần một tuần, cho biết cô luôn cảnh giác mỗi khi quét mã QR tại những cửa hàng như vậy.

"Tôi thường xuyên uống trà sữa trân châu nên cảm thấy rất sợ khi biết về hình thức lừa đảo đó. Nếu được dán gần các mã QR chính thức, tôi cho rằng sẽ khó phát hiện hơn rất nhiều", cô nói.

Chuyên gia Chua cho biết những kẻ lừa đảo cũng dán mã QR giả lên các cột đèn gần đèn giao thông, chờ nạn nhân cắn câu.

Ông Yeo Siang Tiong, tổng giám đốc khu vực Đông Nam Á công ty an ninh mạng Kaspersky, nhấn mạnh các doanh nghiệp nên cảnh giác với các nhãn dán quảng cáo và mã QR được đặt tại cơ sở của mình mà không hề hay biết.

Vào năm 2022, các nạn nhân bị lừa đảo ở Singapore đã mất 660,7 triệu USD, tăng từ 632 triệu USD vào năm 2021, nâng tổng số tiền bị mất lên gần 1,3 tỷ USD trong hai năm.

Có 31.728 trường hợp lừa đảo được báo cáo vào năm 2022, tăng từ 23.933 trường hợp của năm 2021.

Đặc biệt hơn, chuyên gia Yeo của Kaspersky cho biết hình thức lừa đảo này phổ biến trên hệ điều hành Android, vì đây là nền tảng mã nguồn mở, cho phép bất kỳ ai cũng có thể tùy chỉnh.

Ngược lại, người dùng iPhone ít bị phần mềm độc hại lừa đảo hơn vì người dùng iOS chỉ có thể tải xuống ứng dụng từ Apple App Store, nơi có các quy định nghiêm ngặt dành cho nhà phát triển ứng dụng. Chỉ có những ứng dụng hợp pháp và an toàn mới được cho người dùng tải về.