Mã QR - 'Mồi câu xịn' của tin tặc

Những kẻ tấn công đang khai thác mã QR để lừa người dùng truy cập trang web độc hại hoặc đánh cắp thông tin cá nhân thông qua hình thức lừa đảo mới mang tên "quishing".

Từ thẻ lên máy bay đến thanh toán phí đỗ xe, mã QR đã trở thành một phần không thể thiếu trong cuộc sống hằng ngày. Tuy nhiên, sự phổ biến này cũng tạo ra cơ hội vàng cho tin tặc thực hiện các hành vi phạm pháp tinh vi và khó phát hiện.

Khi tiện ích trở thành bẫy nguy hiểm

Mã QR ban đầu là một công cụ đơn giản giúp người dùng thuận tiện trong các giao dịch. Trước đây chúng ta có thể đã thấy mã QR trong triển lãm bảo tàng để tìm hiểu thêm về lịch sử. Nhưng khi mã QR xuất hiện ở khắp mọi nơi - từ cây xăng, biển báo sân vườn đến quảng cáo truyền hình, chúng vừa hữu ích vừa tiềm ẩn nguy cơ.

Ông Dustin Brewer, giám đốc cấp cao về dịch vụ an ninh mạng chủ động tại BlueVoyant, cho biết giống như nhiều tiến bộ công nghệ bắt đầu với ý định tốt đẹp, mã QR ngày càng trở thành mục tiêu cho các hành vi sử dụng độc hại.

Những kẻ tấn công khai thác những biểu tượng tưởng chừng vô hại này để lừa mọi người truy cập các trang web độc hại hoặc vô tình chia sẻ thông tin cá nhân - một hình thức lừa đảo được gọi là "quishing".

Sự gia tăng đáng báo động của các vụ lừa đảo mã QR đã khiến Ủy ban Thương mại Liên bang Mỹ phải đưa ra cảnh báo vào đầu năm 2025.

Theo cảnh báo, các gói hàng bất ngờ xuất hiện mã QR mà khi quét "có thể dẫn người dùng đến trang web lừa đảo đánh cắp thông tin cá nhân như số thẻ tín dụng, tên người dùng và mật khẩu".

Mã QR cũng có thể tải phần mềm độc hại xuống điện thoại và cho phép tin tặc truy cập vào thiết bị.

Ông Gaurav Sharma, giáo sư khoa kỹ thuật điện và máy tính tại Đại học Rochester, chỉ ra rằng những kẻ lừa đảo có thể dán mã QR giả ở cửa hàng, bãi đỗ xe và lợi dụng việc người dùng đang vội vã, cần thực hiện nhanh các hoạt động thanh toán.

iPhone dễ bị tấn công hơn Android

Nghiên cứu từ nhiều công ty an ninh mạng cho thấy quy mô và tác động nghiêm trọng của vấn đề này.

Một nghiên cứu năm 2025 của KeepNet Labs tiết lộ 26% tổng số liên kết độc hại hiện được gửi qua mã QR.

Đáng lo ngại hơn, Công ty NordVPN cho biết 73% người Mỹ quét mã QR mà không cần xác minh, và hơn 26 triệu người đã bị chuyển hướng đến các trang web độc hại.

Theo nghiên cứu của Malwarebytes hoàn thành vào đầu năm 2025, lừa đảo mã QR có khả năng tấn công cả thiết bị Apple và Android, nhưng người dùng iPhone có thể dễ trở thành nạn nhân hơn.

Người dùng iPhone thể hiện sự tin tưởng vào thiết bị nhiều hơn so với người dùng Android, điều này có thể khiến họ mất cảnh giác.

Cụ thể, 70% người dùng iPhone đã quét mã QR để bắt đầu hoặc hoàn tất giao dịch mua hàng, so với 63% người dùng Android.

Nhà nghiên cứu David Ruiz của Malwarebytes cho rằng niềm tin này có thể dẫn tới hậu quả đáng lo ngại khi người dùng iPhone không cảm thấy cần thay đổi hành vi mua hàng trực tuyến và ít quan tâm đến việc sử dụng các biện pháp an ninh mạng bổ sung như phần mềm diệt virus.

55% người dùng iPhone tin tưởng vào mức độ bảo mật của thiết bị, cao hơn so với 50% của người dùng Android.

Ông Sharma dự đoán các vụ lừa đảo mã QR sẽ gia tăng khi việc sử dụng mã QR ngày càng phổ biến.

Một lý do khác khiến mã QR trở thành công cụ lừa đảo phổ biến là ngày càng có nhiều biện pháp bảo vệ được áp dụng để ngăn chặn những chiến dịch lừa đảo qua email truyền thống.

Mã QR nguy hiểm hơn email lừa đảo truyền thống vì người dùng thường không thể đọc hoặc xác minh địa chỉ web được mã hóa.

Mặc dù mã QR thường bao gồm văn bản có thể đọc được, kẻ tấn công có thể sửa đổi văn bản này để lừa người dùng tin tưởng vào liên kết và trang web mà nó dẫn đến.

Ông Brewer cảnh báo tội phạm mạng cũng đã và đang lợi dụng mã QR để xâm nhập vào các mạng lưới quan trọng. Một trong những khía cạnh nguy hiểm nhất của mã QR là việc chúng đã trở thành một phần của cuộc sống hằng ngày - một mối đe dọa an ninh mạng tiềm ẩn ngay trước mắt.