Quishing: Nguy Cơ Mất Hàng Ngàn Đô Khi Quét Mã QR

Quishing Là Gì?

Quishing là từ ghép của “QR” và “phishing”. Đây là hình thức lừa đảo mà kẻ gian sử dụng mã QR giả để lấy cắp thông tin cá nhân và thanh toán của bạn khi bạn quét mã. Quishing đang gia tăng số lượng nạn nhân trên toàn thế giới.

Quishing Có Thể Khiến Bạn Mất Hàng Ngàn Đô Như Thế Nào?

Quishing nguy hiểm vì hầu hết mọi người không để ý khi quét mã QR. Điều này cho phép kẻ lừa đảo tấn công vào những nơi sử dụng mã QR để thanh toán. Chúng nghiên cứu trang web mà mã QR liên kết đến, tạo ra một bản sao và thay thế mã QR thật bằng mã giả để dẫn đến trang web giả.

Khi nạn nhân quét mã QR giả, họ sẽ được dẫn đến trang web giả và tin rằng đó là trang web hợp pháp. Trang web giả yêu cầu thông tin cá nhân, bao gồm cả thông tin thanh toán. Khi kẻ lừa đảo có được thông tin này, chúng có thể thực hiện mua sắm trực tuyến bằng tài khoản ngân hàng của nạn nhân.

3 Ví Dụ Về Tấn Công Quishing

Việc mất hàng ngàn đô từ việc quét mã QR giả nghe có vẻ như khoa học viễn tưởng, nhưng đó là thực tế. Dưới đây là một số hình thức tấn công quishing phổ biến.

1. Tấn Công Mã QR Tại Đồng Hồ Đỗ Xe Và Điểm Sạc Điện

Một số đồng hồ đỗ xe và điểm sạc điện sử dụng mã QR như một phần của quy trình thanh toán. Để thanh toán, bạn quét mã QR để được dẫn đến trang web thanh toán hoặc tải ứng dụng.

Kẻ lừa đảo chiếm đoạt các mã QR này bằng cách dán mã QR độc hại lên mã gốc. Khi ai đó đi thanh toán phí đỗ xe hoặc điện, họ quét mã, nhập thông tin thanh toán vào trang web hoặc ứng dụng giả và gửi tiền mà không biết cho kẻ lừa đảo.

Mã QR trên điện thoại

Theo ITV, một người đã mất £13,000 ($16,500) sau khi quét mã QR giả trên máy đỗ xe.

2. Tấn Công Mã QR Qua Email

Đôi khi, kẻ lừa đảo gửi email với mã QR đính kèm. Chúng thuyết phục bạn quét mã QR, ví dụ như nói rằng đó là để tải ứng dụng quan trọng hoặc yêu cầu thanh toán từ cơ quan thực thi pháp luật. Khi nạn nhân quét mã QR, họ sẽ được dẫn đến trang web hoặc ứng dụng giả yêu cầu thông tin thẻ tín dụng.

HP Threat Research đã báo cáo rằng phương pháp tấn công này đã gia tăng ở Trung Quốc vào năm 2022 với một email tuyên bố người nhận được quyền nhận trợ cấp từ chính phủ. Quá trình này yêu cầu người dùng cung cấp thông tin đầy đủ về thẻ tín dụng, bao gồm cả số dư hiện tại.

3. Mã QR Giả Từ Các Trang Tạo Mã QR

Trong một số trường hợp, kẻ lừa đảo thiết lập các trang tạo mã QR giả để lừa người dùng. Điều này thường xảy ra khi người dùng có thể sử dụng mã QR để yêu cầu thanh toán, và kẻ lừa đảo có thể xâm nhập vào tài khoản của họ thay vì các trang tạo mã QR gốc.

BitDefender đã báo cáo một ví dụ trong đó nhiều trang web thiết lập các trang tạo mã QR giả cho ví Bitcoin. Trang web yêu cầu người dùng cung cấp ID ví và hứa hẹn sẽ tạo mã QR mà người nhận có thể dễ dàng quét và sử dụng, nhưng thực tế, mã QR này dẫn đến ví Bitcoin của kẻ lừa đảo.

Cách Kiểm Tra Mã QR An Toàn

Quishing nghe có vẻ đáng sợ, nhưng bạn có thể ngăn chặn các cuộc tấn công này trước khi chúng truy cập vào thông tin tài chính của bạn với một vài mẹo bảo mật đơn giản.

Kiểm Tra Xem Mã QR Có Bị Thay Đổi Không

Nếu bạn quét mã QR ở nơi công cộng, hãy đảm bảo rằng mã QR không bị thay đổi. Hãy tìm dấu hiệu ai đó đã dán nhãn dán lên mã QR gốc; nếu có, đừng quét mã QR đó.

Tương tự, nếu bạn tạo mã QR để nhận thanh toán, hãy tự quét mã QR và kiểm tra lại xem thanh toán sẽ đi đến đâu.

Quét mã QR

Kiểm Tra Lại URL Hoặc Trang Web Sau Khi Quét

Sau khi quét mã QR, luôn kiểm tra lại URL hoặc trang web xuất hiện. Trang web của kẻ lừa đảo sẽ có URL trông lạ hoặc trang web không “cảm thấy đúng”. Hãy thực hiện các bước kiểm tra xem trang web có an toàn không, và nếu có điều gì đáng ngờ, đừng nhập thông tin thanh toán vào trang web.

Tìm Phương Thức Thanh Toán Thay Thế

Nếu mã QR trông đáng ngờ hoặc bạn không muốn mạo hiểm, hãy tìm cách thanh toán khác. Ví dụ, nếu mã QR tuyên bố sẽ dẫn bạn đến một ứng dụng, hãy tìm kiếm thủ công ứng dụng đó trên cửa hàng ứng dụng của điện thoại. Nếu người nhận cho phép các phương thức thanh toán thay thế, hãy sử dụng chúng hoặc hỏi nhân viên về chúng.

Các cuộc tấn công quishing có thể khiến bạn mất tiền, nhưng biện pháp phòng thủ tốt nhất là hiểu cách chúng hoạt động và những điều cần lưu ý. Nếu mã QR dẫn bạn đến nơi đáng ngờ, đừng nhập thông tin thanh toán của bạn.