Tại Mỹ, một chiến dịch lừa đảo mới đang được tội phạm mạng thực hiện khá bài bản, khi chuyển từ đường link độc hại sang sử dụng mã QR trong các tin nhắn giả mạo thông báo vi phạm giao thông.
Theo ghi nhận, kẻ tấn công gửi tin nhắn SMS với nội dung giả danh cơ quan tòa án hoặc cơ quan xử lý vi phạm giao thông, thông báo người nhận đang có “vi phạm” và yêu cầu thanh toán gấp. Điểm đáng chú ý là thay vì đính kèm đường link như trước đây, tin nhắn chứa mã QR để người dùng quét.
Sau khi quét, nạn nhân sẽ bị chuyển hướng tới một trang web giả mạo, yêu cầu thanh toán khoản phí nhỏ (ví dụ: 6,99 USD) nhưng thực chất là nhằm thu thập thông tin cá nhân và dữ liệu thẻ ngân hàng.
Theo ghi nhận, kẻ tấn công gửi tin nhắn SMS với nội dung giả danh cơ quan tòa án hoặc cơ quan xử lý vi phạm giao thông, thông báo người nhận đang có “vi phạm” và yêu cầu thanh toán gấp. Điểm đáng chú ý là thay vì đính kèm đường link như trước đây, tin nhắn chứa mã QR để người dùng quét.
Sau khi quét, nạn nhân sẽ bị chuyển hướng tới một trang web giả mạo, yêu cầu thanh toán khoản phí nhỏ (ví dụ: 6,99 USD) nhưng thực chất là nhằm thu thập thông tin cá nhân và dữ liệu thẻ ngân hàng.
“Quishing” – biến thể phishing khó nhận biết hơn
Giới chuyên gia gọi hình thức này là “quishing” (QR phishing) - một biến thể của tấn công phishing truyền thống. Khác với các đường link đáng ngờ có thể bị cảnh báo, mã QR khiến người dùng mất đi khả năng kiểm tra trực quan trước khi truy cập.
Thực tế, QR code ngày càng phổ biến trong đời sống như thanh toán, menu nhà hàng, xác thực dịch vụ… Điều này khiến người dùng hình thành thói quen tin tưởng và quét mã mà không kiểm tra kỹ nguồn gốc. Chính yếu tố “tin tưởng mặc định” này đang bị tội phạm mạng khai thác triệt để.
Thực tế, QR code ngày càng phổ biến trong đời sống như thanh toán, menu nhà hàng, xác thực dịch vụ… Điều này khiến người dùng hình thành thói quen tin tưởng và quét mã mà không kiểm tra kỹ nguồn gốc. Chính yếu tố “tin tưởng mặc định” này đang bị tội phạm mạng khai thác triệt để.
Đánh vào tâm lý sợ hãi và tính khẩn cấp
Một điểm chung của các chiến dịch lừa đảo là tạo áp lực tâm lý. Trong trường hợp này, tin nhắn thường sử dụng các cụm từ như “Notice of Default” (thông báo vi phạm), đe dọa hậu quả pháp lý nếu không thanh toán ngay.
Các cơ quan chức năng tại Mỹ đã phải phát đi cảnh báo rằng họ không bao giờ yêu cầu thanh toán tiền phạt qua tin nhắn hoặc mã QR, đồng thời khuyến cáo người dân tuyệt đối không quét các mã không rõ nguồn gốc.
Công nghệ ngày càng tinh vi: Người dùng gần như “mù phân biệt”
Điểm đáng lo ngại không chỉ nằm ở mã QR, mà còn ở cách nội dung lừa đảo được tạo ra.
Ngày nay, với sự hỗ trợ của AI, các thông báo giả mạo có thể:
Ngày nay, với sự hỗ trợ của AI, các thông báo giả mạo có thể:
- Viết đúng văn phong hành chính
- Sử dụng logo, bố cục giống cơ quan thật
- Tạo hình ảnh, tài liệu gần như không thể phân biệt bằng mắt thường
Điều này khiến người dùng phổ thông gần như không có khả năng nhận biết đâu là thật - giả chỉ bằng cảm quan.
Sự tiến bộ của công nghệ AI mang lại hiệu quả cao trong tự động hóa và sáng tạo nội dung, nhưng đồng thời cũng trở thành công cụ nguy hiểm nếu rơi vào tay kẻ xấu. Khi kết hợp AI với các kỹ thuật social engineering, các chiến dịch lừa đảo trở nên:
Sự tiến bộ của công nghệ AI mang lại hiệu quả cao trong tự động hóa và sáng tạo nội dung, nhưng đồng thời cũng trở thành công cụ nguy hiểm nếu rơi vào tay kẻ xấu. Khi kết hợp AI với các kỹ thuật social engineering, các chiến dịch lừa đảo trở nên:
- Thuyết phục hơn
- Cá nhân hóa tốt hơn
- Khó bị phát hiện hơn
Khi con người trở thành “mắt xích yếu nhất”
Các chuyên gia an ninh mạng nhận định, xu hướng tấn công hiện nay không còn tập trung vào việc phá vỡ hệ thống kỹ thuật mà chuyển sang khai thác yếu tố con người. Chỉ cần một hành động đơn giản như: quét mã QR, nhập thông tin, xác nhận thanh toán,... người dùng có thể vô tình trao toàn bộ dữ liệu nhạy cảm cho kẻ tấn công.
Trong bối cảnh đó, hệ thống bảo mật truyền thống như antivirus hay firewall gần như không thể ngăn chặn nếu người dùng chủ động thực hiện hành vi.
Trong bối cảnh đó, hệ thống bảo mật truyền thống như antivirus hay firewall gần như không thể ngăn chặn nếu người dùng chủ động thực hiện hành vi.
Khuyến nghị: Đừng quét mã QR “vô danh”
Để tránh trở thành nạn nhân, người dùng cần lưu ý:
- Không quét mã QR từ tin nhắn, email không rõ nguồn gốc
- Không thanh toán tiền phạt qua SMS hoặc mã QR
- Luôn kiểm tra thông tin qua website chính thức của cơ quan chức năng
- Cảnh giác với các thông báo tạo áp lực “phải xử lý ngay”
Theo Bleepingcomputer
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview