Lừa đảo nhắm vào mã QR
Gần đây, lừa đảo qua mã QR được ghi nhận tăng mạnh trên thế giới và cả ở Việt Nam. Do đó, người dùng cần thận trọng trước khi quét mã QR, đặc biệt cảnh giác với các mã QR được dán hoặc chia sẻ ở những nơi công cộng, gửi qua mạng xã hội, email... Một số ngân hàng tại Việt Nam cũng cảnh báo tình trạng lừa đảo thẻ tín dụng thông qua mã QR.
Cụ thể, kẻ gian sau khi kết bạn qua mạng xã hội để trao đổi với nạn nhân sẽ gửi mã QR để người dùng quét. Mã này dẫn tới các website giả mạo ngân hàng. Người dùng được yêu cầu nhập thông tin họ tên, số căn cước công dân (CCCD), tài khoản, mã bí mật hoặc OTP, từ đó bị chiếm tài khoản. Trong khi đó, tại các điểm thanh toán đông người như quán cà phê, quán ăn… thủ đoạn lừa đảo liên quan đến mã QR là dán đè lên mã QR. Tức kẻ lừa đảo đã dán mã QR chồng lên mã QR “chính chủ”, người thanh toán vô ý sẽ bị mất tiền chỉ trong vòng vài giây. Để an toàn cho khách thanh toán, một số quán ăn, quán cà phê chỉ dán mã QR ngay tại quầy thu ngân và luôn nhắc khách cẩn thận khi quét mã.
Bên cạnh tình trạng mã QR thanh toán bị dán đè khiến tiền chuyển về tài khoản kẻ gian, trong thời gian vừa qua, hiện tượng mã QR độc hại cũng bị phát tán dễ dàng qua các bài viết, hình ảnh thông qua nhiều ứng dụng nhắn tin, diễn đàn, hội nhóm trên mạng xã hội, đặc biệt là trong các chương trình phát sóng trực tiếp (livestream). Khi người đọc, người xem quét mã sẽ bị chuyển hướng đến các trang quảng cáo cờ bạc kèm mã độc có thể bị cài đặt vào điện thoại…
Vụ việc lừa đảo qua mã QR mà Công an tỉnh Lâm Đồng vừa bắt quả tang là một ví dụ. Qua điều tra, công an phát hiện một nhóm phát tán tờ rơi chứa hình ảnh các cô gái trẻ đẹp cùng mã QR nhằm dẫn dụ người dùng quét để truy cập website và tải ứng dụng. Tuy nhiên, ứng dụng lại chứa phần mềm độc hại chuyên dùng để đánh cắp thông tin, dữ liệu của người dùng.
Thực tế, bản chất của mã QR không phải mã độc tấn công trực tiếp mà chỉ là trung gian để truyền tải nội dung. Do đó, việc người dùng có bị tấn công hay không phụ thuộc vào cách xử lý nội dung sau khi quét mã QR. Để không bị lừa đảo thông qua hình thức này, người dùng cần thận trọng trước khi quét mã QR, đặc biệt cảnh giác với các mã QR được dán hoặc chia sẻ ở những nơi công cộng, gửi qua mạng xã hội, email. Người dùng cũng cần xác định và kiểm tra kỹ càng thông tin tài khoản người trao đổi mã QR; xem xét kỹ nội dung trang web mà mã QR liên kết.
Ông Nguyễn Duy Khiêm (Cục An toàn thông tin, Bộ TT-TT) nhận định, mã QR đã và đang ngày càng phổ biến khắp mọi nơi, không chỉ ở Việt Nam mà ở nhiều nước trên thế giới. Phương thức thanh toán sử dụng mã QR đang ngày càng quen thuộc và phổ biến với nhiều người dùng Việt Nam.
Theo thống kê của Vụ Thanh toán (Ngân hàng Nhà nước Việt Nam), mã QR có tốc độ tăng trưởng mạnh mẽ cả về số lượng và giá trị. Trong năm 2022, thanh toán qua mã QR tăng hơn 225% về số lượng và trên 243% về giá trị. 5 tháng đầu năm 2023, thanh toán qua phương thức quét mã QR tăng 151,14% về số lượng và 30,41% về giá trị so với cùng kỳ.
Cục An toàn thông tin đưa ra khuyến cáo, người dùng cần thận trọng trước khi quét mã QR, đặc biệt cảnh giác với các mã QR được dán hoặc chia sẻ ở những nơi công cộng, gửi qua mạng xã hội, email.
Cục An toàn thông tin đề nghị các cơ quan, đơn vị, tổ chức cung cấp mã QR cần chú ý có cảnh báo tuyên truyền đến người dùng và kịp thời đưa ra giải pháp xác minh giao dịch có dấu hiệu bất thường; thường xuyên kiểm tra các mã QR được dán tại địa điểm cung cấp.
Chiếm dụng mã OTP, tài khoản ngân hàng
Vụ Thanh toán, Ngân hàng Nhà nước Việt Nam vừa phát đi văn bản số 4893/NHNN-TT gửi các tổ chức tín dụng, cảnh báo các chiêu thức lừa đảo đánh cắp mã OTP, tài khoản ngân hàng. Theo đó, thủ đoạn của đối tượng lừa đảo là mạo danh nhân viên ngân hàng gọi điện thoại cho khách hàng với lý do hỗ trợ kiểm tra số dư và giao dịch; khi khách hàng đọc tên và 6 số đầu tiên của thẻ ghi nợ nội địa, đối tượng yêu cầu khách hàng đọc dãy số còn lại trên thẻ để xác nhận đúng chủ thẻ.
Sau đó, đối tượng lừa đảo thông báo ngân hàng sẽ gửi tin nhắn cho khách hàng và yêu cầu khách hàng đọc 6 số trong tin nhắn. Thực chất đó là mã OTP để thực hiện giao dịch thanh toán trực tuyến và nếu thực hiện theo yêu cầu của đối tượng thì khách hàng bị mất tiền trong tài khoản thẻ.
Vụ Thanh toán cũng thông tin, các đối tượng lừa đảo thường lập trang web mạo danh ngân hàng để tiếp nhận và hỗ trợ giải đáp thắc mắc về các dịch vụ của ngân hàng, nhằm thu thập thông tin cá nhân, lịch sử giao dịch và tài khoản. Ngoài ra, đối tượng lừa đảo gửi tin nhắn mạo danh thương hiệu ngân hàng đến khách hàng để thông báo tài khoản của khách hàng có dấu hiệu hoạt động bất thường và hướng dẫn khách hàng xác nhận thông tin, thay đổi mật khẩu… Từ đó, đối tượng lừa đảo lấy được thông tin bảo mật của khách hàng để chiếm đoạt tiền trong tài khoản.
Ông Vũ Minh Hiếu, Trưởng phòng An ninh mạng, Tập đoàn Bkav, chia sẻ, trong nhiều trường hợp, nếu khách hàng cung cấp thông tin bảo mật của dịch vụ ngân hàng điện tử như tên truy cập, mật khẩu, mã OTP cho đối tượng lừa đảo thì rất dễ bị chiếm quyền kiểm soát tài khoản. Còn theo ông Vũ Ngọc Sơn, Giám đốc Công nghệ Công ty Công nghệ An ninh mạng quốc gia Việt Nam, để tránh mất tài khoản ngân hàng hay bị chiếm mã OTP, người dùng tuyệt đối không cung cấp các thông tin cá nhân như tài khoản đăng nhập, tài khoản mạng xã hội.
“Người dùng không làm theo hướng dẫn của người lạ để vô tình tiết lộ các thông tin cá nhân về tài khoản ngân hàng (số tài khoản, mã OTP), số CCCD, số điện thoại, địa chỉ cư trú. Đo là cách tự bảo vệ mình trước vòng vây lừa đảo online”, ông Vũ Ngọc Sơn nhấn mạnh.
Lừa đảo trực tuyến tăng 64%
Theo ghi nhận từ Cổng Cảnh báo an toàn thông tin Việt Nam, năm 2022 có khoảng 13.000 trường hợp lừa đảo trực tuyến với 2 loại hình lừa đảo chính: lừa đảo để đánh cắp thông tin cá nhân (chiếm 24,4%) và lừa đảo tài chính (75,6%). Việc lừa đảo đánh cắp thông tin cá nhân cũng là bước đệm để tiếp nối cho việc lên kịch bản thực hiện lừa đảo tài chính. Mục tiêu cuối cùng đều nhằm lừa đảo chiếm đoạt tài sản và phương thức là đánh vào tâm lý nhẹ dạ, thiếu sự tiếp cận thông tin, việc làm hoặc thu nhập thấp, đánh vào lòng tham trong mỗi người. Theo thống kê của Cục An toàn thông tin (Bộ TT-TT), 6 tháng đầu năm 2023, tình hình lừa đảo trực tuyến tại Việt Nam tăng 64% so với cùng kỳ.
Bộ Công an cũng công bố, hiện có 3 nhóm lừa đảo chính, gồm giả mạo thương hiệu, chiếm đoạt tài khoản và các hình thức kết hợp khác. Với 3 nhóm lừa đảo này, Bộ Công an chia làm 24 hình thức lừa đảo như: lừa đảo “combo du lịch giá rẻ”; lừa đảo cuộc gọi video Deepfake, Deepvoice; lừa đảo “khóa SIM” vì chưa chuẩn hóa thuê bao; giả danh giáo viên, nhân viên y tế báo người thân đang cấp cứu để lừa đảo chuyển khoản; giả danh công ty tài chính, ngân hàng… Các hình thức lừa đảo này nhắm vào người cao tuổi, trẻ em, sinh viên, thanh niên, công nhân, người lao động và nhân viên văn phòng. Theo Bộ Công an, việc tuyên truyền, phổ biến, nâng cao nhận thức nhằm trang bị cho mỗi cá nhân những kiến thức và kỹ năng cơ bản để bảo đảm an toàn thông tin trên không gian mạng là yếu tố then chốt giúp tạo dựng một không gian mạng Việt Nam an toàn, góp phần thúc đẩy quá trình chuyển đổi số, phát triển hạ tầng kinh tế - xã hội số một cách bền vững. Đây là nhiệm vụ cần thiết và cấp bách trong thời đại số hóa, bảo vệ an toàn thông tin cho mọi đối tượng tham gia hoạt động trên môi trường mạng.
