Hàng loạt ngân hàng lớn ở Mỹ và Anh cảnh báo sự gia tăng lừa đảo mã QR quishing

Hàng loạt ngân hàng và tổ chức cho vay lớn của Anh và Mỹ, trong đó có HSBC, Santander và TSB đã cảnh báo sự gia tăng các vụ lừa đảo mã QR, còn gọi là “quishing”, để đánh cắp thông tin tài chính của khách hàng. Mã QR đang ngày càng trở nên phổ biến khi cung cấp quyền truy cập nhanh vào nhiều thông tin, ứng dụng chỉ bằng một lần quét. Tuy nhiên, tiện ích này lại cũng mở cánh cửa cho những đối tượng xấu lợi dụng để thực hiện các hành vi lừa đảo.

Các vụ lừa đảo liên quan tới mã QR đã gia tăng, khi công nghệ này trở nên phổ biến trong đại dịch Covid-19 từ hộ chiếu vaccine đến thực đơn nhà hàng. Một cuộc khảo sát mới đây của công ty phần mềm bảo mật McAfee cho thấy, hơn 1/5 trong số tất cả các vụ lừa đảo trực tuyến ở Anh có thể bắt nguồn từ mã QR. Còn theo Action Fraud, các báo cáo về các vụ lừa đảo bằng mã QR ở Anh đã tăng gấp đôi trong năm - tính đến tháng 8/2024.

Ủy ban Thương mại Liên bang Mỹ trong năm nay cũng cảnh báo hành vi lừa đảo "quishing", cụ thể nhằm vào các lái xe như dán đè mã QR giả lên mã QR hợp lệ tại các điểm dừng đỗ xe, sạc xe điện, nhà ga xe lửa và bàn ăn trong nhà hàng. Những liên kết này có thể dẫn người dùng đến một trang web không chính xác, yêu cầu họ nhập thông tin chi tiết hoặc dẫn họ tải xuống phần mềm độc hại. Tệ hơn nữa, bạn có thể gặp rắc rối với pháp luật vì trốn phí hoặc không có vé hợp lệ.

“Chúng ta đã biết tới tấn công giả mạo (phishing), tin nhắn lừa đảo (smishing) và bây giờ là quishing. Những kẻ lừa đảo sử dụng mã QR để xâm phạm thông tin cá nhân của bạn. Thật dễ dàng để thực hiện hành vi lừa đảo. Các đối tượng chỉ cần đi bộ, dán mã QR giả vào đồng hồ đỗ xe chẳng hạn, che mã thật và tiền sẽ ngay lập tức rơi vào túi của chúng. Chỉ khi bạn nhận được 1 vé phạt đỗ xe, bạn mới biết điều gì đã xảy ra”, Giám đốc điều hành Trung tâm Nguồn lực chống trộm danh tính James Lee cho biết.

Loại hình lừa đảo mới qua email này thường liên quan đến việc tội phạm gửi các mã QR trong các tệp PDF đính kèm. Các chuyên gia cho biết, chiến lược này hiệu quả vì tin nhắn thường vượt qua các bộ lọc an ninh mạng của DN thường đánh dấu các liên kết trang web độc hại, nhưng không quét các hình ảnh trong tệp đính kèm.

Theo nghiên cứu của IBM, các cuộc tấn công "lừa đảo", trong đó kẻ lừa đảo gửi email có mục tiêu kèm theo liên kết độc hại, ngày càng tốn kém hơn đối với các công ty. Ước tính, thiệt hại trung bình toàn cầu cho một vụ vi phạm dữ liệu tăng gần 10% lên 4,9 triệu đô la vào năm 2024.

Mặc dù hầu hết điện thoại thông minh đều hiển thị bản xem trước ngắn về URL có trong mã QR được quét. Tuy nhiên, cửa sổ bật lên này thường không đủ để người dùng có thể phát hiện ra rằng liên kết có thể là lừa đảo. Theo chuyên gia Amir Sadon, giám đốc nghiên cứu tại công ty tư vấn an ninh mạng Sygnia, các đối tượng lợi dụng thực tế là mã QR vốn khó diễn giải trực quan, do đó nạn nhân thường không biết họ đang bị chuyển hướng đến đâu cho đến khi quá muộn.