404 Not Found
Writer
Một tin nhắn nhờ bình chọn, một lời mời quét mã QR để nhận quà, hay đề nghị chuyển khoản gấp từ người quen đều có thể là điểm khởi đầu của một kịch bản lừa đảo đã được dựng sẵn. Tội phạm mạng đang tận dụng chính sự tin tưởng của người dùng để biến những thao tác quen thuộc thành cách chiếm quyền tài khoản chỉ trong vài giây.
Thực tế cho thấy, hình thức tấn công này không còn dừng ở những tin nhắn rác đơn giản mà đã chuyển sang hướng có chủ đích và tinh vi hơn. Theo cảnh báo từ cơ quan chức năng, kịch bản phổ biến bắt đầu từ việc kẻ gian chiếm quyền một tài khoản Zalo thật, sau đó sử dụng chính danh tính đó để tiếp cận bạn bè, người thân trong danh bạ.
Điểm đáng lo ngại nằm ở cơ chế chiếm quyền tài khoản. Các mã QR được gửi đi thực chất có thể chứa đường dẫn đăng nhập hoặc yêu cầu xác thực phiên làm việc. Khi người dùng quét mã, họ có thể vô tình đăng nhập tài khoản của mình trên một thiết bị khác do đối tượng kiểm soát hoặc cấp quyền truy cập mà không nhận ra.
Trong một số trường hợp, mã QR dẫn tới trang giả mạo giao diện đăng nhập. Người dùng nhập số điện thoại, mật khẩu hoặc mã xác thực và toàn bộ thông tin này ngay lập tức bị thu thập. Chỉ với những dữ liệu đó, kẻ gian có thể đăng nhập và chiếm quyền tài khoản trong thời gian rất ngắn.
Thậm chí, có những kịch bản không yêu cầu nhập thông tin. Việc quét mã đã đủ để tạo một phiên đăng nhập mới, tương tự tính năng đăng nhập bằng QR. Nếu không để ý, người dùng đã vô tình cấp quyền truy cập cho đối tượng mà không hề hay biết.
Ngay sau khi chiếm quyền tài khoản, đối tượng lập tức triển khai các kịch bản lừa đảo, tận dụng chính danh tính của nạn nhân để nhắn tin mượn tiền hoặc tạo tình huống khẩn cấp, đánh vào sự tin tưởng và tâm lý vội vàng của người nhận.
Không dừng lại ở đó, mã QR và các đường link giả mạo đang trở thành công cụ tấn công phổ biến. Chỉ cần truy cập một liên kết không rõ nguồn gốc, người dùng có thể bị dẫn tới trang giả mạo hoặc vô tình tải về mã độc. Trong nhiều trường hợp, thiết bị bị xâm nhập mà không cần thao tác đăng nhập, kéo theo nguy cơ lộ dữ liệu cá nhân như danh bạ, tin nhắn và thông tin tài chính.
Một thủ đoạn khác cũng đang gia tăng là mạo danh cơ quan chức năng. Các đối tượng sử dụng hình ảnh, tài liệu giả để tạo lòng tin, đồng thời gây áp lực tâm lý bằng các cáo buộc liên quan đến vi phạm pháp luật, từ đó yêu cầu chuyển tiền với lý do phục vụ điều tra.
Trước sự biến đổi liên tục của các hình thức lừa đảo, cơ quan chức năng khuyến cáo người dùng không quét mã QR hoặc truy cập các đường link không rõ nguồn gốc, kể cả khi được gửi từ người quen. Mọi yêu cầu liên quan đến tiền cần được xác minh lại bằng liên lạc trực tiếp.
Người dùng cũng cần tuyệt đối không chia sẻ mã OTP, mật khẩu hoặc thông tin cá nhân dưới bất kỳ hình thức nào. Việc kích hoạt các lớp bảo mật bổ sung và thường xuyên kiểm tra cài đặt an toàn sẽ giúp giảm thiểu rủi ro trong quá trình sử dụng.
Tổng hợp
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview