Vì sao nên thận trọng quét mã QR nơi công cộng?

Mã QR nơi công cộng có thể là bước đầu của một cuộc tấn công mã độc hoặc đánh cắp thông tin nếu người dùng quét và nhập dữ liệu.

“Đại dịch đã thúc đẩy sự phổ biến ngày càng mạnh mẽ của mã QR”, Ben Wood, chuyên gia của công ty phân tích CCS Insight, nói với The Next Web. “Nhưng cũng như tất cả các tương tác điện tử khác, người dùng cần tránh quét phải một liên kết lừa đảo”.

Quét mã QR công cộng có thể tiềm ẩn nhiều rủi ro. Ảnh: Urban Family

Mã QR là mã vạch hai chiều có thể lưu trữ 7.089 chữ số hoặc 4.296 ký tự, được áp dụng lần đầu tại các công xưởng từ thập niên 1990. Mã này phổ biến trong Covid-19 khi được sử dụng để khai báo y tế, đọc menu, mua vé tàu xe…

QR được đánh giá tiện lợi hơn so với các loại hình tiếp xúc không chạm khác, vì người dùng chỉ cần hướng camera là đã có thể nhận nội dung hoặc liên kết truy cập. Dù vậy, đây cũng là cơ hội để kẻ xấu lợi dụng để tấn công và đánh cắp dữ liệu. Số vụ lừa đảo liên quan đến mã QR nơi công cộng được ghi nhận khá nhiều thời gian qua. Thông thường, kẻ xấu có thể triển khai mã QR độc hại ở khu vực đông người qua lại như đèn tín hiệu giao thông hoặc trạm dừng xe buýt.

Năm ngoái tại Hà Lan, một nhóm lừa đảo đã mặc đồng phục bảo vệ, đến một bãi đậu xe và dán một loạt mã QR. Chúng nói với những người đang đỗ xe rằng hệ thống máy tính bị hỏng và phải thanh toán chi phí bằng cách quét mã QR đã dán. Một số người làm theo. Theo hãng bảo mật Trendmicro, cho đến khi nhóm kia bị phát hiện, các nạn nhân đã mất tổng số tiền tới hàng chục nghìn USD.

Hồi đầu năm, các nhà chức trách ở một số thành phố của Mỹ cũng phát đi cảnh báo về âm mưu tương tự. Trong đó, kẻ xấu cũng đã dán mã QR gian lận lên xe một số người nhằm lừa họ nhập thông tin thanh toán vào website lừa đảo.

Do sự phổ biến của mã QR công cộng, gần đây kẻ gian còn sử dụng thủ thuật mới: tạo mã lừa đảo và dán đè lên các mã của một số cơ quan, tổ chức và công ty. Nếu người dùng quét, nó có thể dẫn đến một số website mạo danh để đánh cắp tiền.

“Mã QR có thể là bước đầu trong một cuộc tấn công bằng phần mềm độc hại hoặc phishing”, Allan Liska, nhà phân tích cấp cao tại công ty an ninh mạng Recorded Future, nói trên Washington Post.

Theo các chuyên gia bảo mật, người dùng tốt nhất hạn chế quét mã QR ở nơi công cộng để tránh gặp rắc rối, trừ khi đã xác nhận độ tin cậy của mã đó. “Cần xem kỹ liên kết đã hiển thị trên màn hình sau khi quét và tuyệt đối không bấm vào nếu chưa tin tưởng”, Wood khuyên. “Nếu có gì đó không ổn, tốt nhất tự gõ tên website đó trên trình duyệt và xem xét các chứng chỉ bảo mật đi kèm”.
(Tổng hợp)