Lừa quét mã QR chiếm quyền kiểm soát Zalo

Lừa quét mã QR chiếm quyền kiểm soát Zalo

Lợi dụng tâm lý thiếu sự cảnh giác trước các lời mời ưu đãi và thói quen sử dụng nhanh, các đối tượng lừa đảo công nghệ cao dụ người dùng quét mã QR chứa liên kết độc hại, từ đó chiếm quyền truy cập, đánh cắp dữ liệu cá nhân và tiếp tay cho các hành vi lừa đảo tiếp theo.

Theo cơ quan chức năng, thay vì gửi trực tiếp các đường link độc hại như trước đây, các đối tượng xấu chuyển sang “ngụy trang” liên kết lừa đảo trong mã QR. Khi người dùng quét mã, họ có thể bị dẫn tới các website giả mạo được thiết kế giống hệt trang chính thống, từ đó vô tình cung cấp thông tin đăng nhập, mật khẩu, mã xác thực hoặc dữ liệu cá nhân nhạy cảm cho kẻ gian.

Chị Thu Trang, sinh sống tại phường Cửa Nam (Hà Nội) chia sẻ, chị sử dụng mã QR chuyển tiền thanh toán tại một cửa hàng thời trang. Dù tài khoản đã bị trừ tiền, nhưng chủ cửa hàng lại không nhận được khoản thanh toán. Sau đó mới phát hiện mã QR gốc đã bị kẻ gian dán chồng bằng một mã giả nhằm chiếm đoạt tiền. Không chỉ thế, các đối tượng lừa đảo còn sử dụng thủ đoạn tinh vi hơn, dẫn người dùng tới các trang đăng nhập giả mạo nhằm đánh cắp thông tin tài khoản.

Trường hợp của Nguyễn Minh Huy, sinh viên Trường Đại học Giao thông Vận tải là ví dụ điển hình. Sau khi quét mã QR để nhận voucher đồ ăn, Huy vô tình bị dẫn tới một trang đăng nhập Shopee giả mạo có giao diện giống hệt trang chính thức. Tin là thật, Huy nhập thông tin tài khoản và chỉ ít phút sau đã mất quyền kiểm soát ShopeePay. “Toàn bộ điểm tích lũy và thông tin thẻ thanh toán đều bị lộ”, Huy chia sẻ.

Theo đánh giá của các chuyên gia an ninh mạng, mức độ rủi ro của mã QR nằm ở chỗ người dùng không thể nhận diện nội dung bằng mắt thường. Chỉ đến khi thực hiện thao tác quét, thông tin ẩn bên trong mã mới được kích hoạt, khiến người dùng hầu như không có cơ hội phát hiện hay cảnh giác từ sớm. Bên cạnh đó, phần lớn các hệ thống lọc thư rác và công cụ phát hiện liên kết độc hại hiện nay vẫn tập trung vào văn bản hoặc URL hiển thị, trong khi mã QR dễ dàng “lọt lưới” các lớp bảo vệ này. Không chỉ vậy, hành vi quét mã QR thường được thực hiện trên điện thoại cá nhân - thiết bị ít được bảo vệ hơn so với hạ tầng mạng doanh nghiệp. Khi người dùng rời khỏi môi trường an ninh được kiểm soát chặt chẽ, các đối tượng tấn công mạng càng có nhiều cơ hội khai thác, xâm nhập và chiếm quyền kiểm soát thiết bị hoặc tài khoản của nạn nhân.

Đáng lo ngại hơn, theo cảnh báo từ cơ quan chức năng, tính năng đăng nhập nhanh bằng mã QR trên máy tính đã bị các đối tượng lừa đảo khai thác như một kẽ hở mới. Thủ đoạn phổ biến là gửi hoặc hiển thị mã QR kèm theo những lời mời hấp dẫn như “nhận quà”, “xem nội dung độc quyền”, “xem clip nóng”… Thực chất, đây là mã QR đăng nhập tài khoản Zalo trên thiết bị do nhóm lừa đảo kiểm soát. Khi người dùng quét mã, kẻ gian có thể chiếm quyền truy cập và kiểm soát toàn bộ tài khoản.

Sự nguy hiểm của thủ đoạn này xuất phát từ thói quen thao tác nhanh của nhiều người. Khi làm theo hướng dẫn và quét mã QR, điện thoại sẽ hiển thị yêu cầu xác nhận đăng nhập hoặc liên kết thiết bị mới. Nếu người dùng vô tình đồng ý, tài khoản sẽ ngay lập tức rơi vào tay kẻ gian.

Trước thực trạng trên, Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (PA05, Công an TP. Hồ Chí Minh) khuyến cáo người dân tuyệt đối không quét mã QR do người lạ gửi hoặc xuất hiện từ các nguồn không rõ ràng. Trường hợp lỡ quét mã và thấy màn hình hiện thông báo liên quan đến “đăng nhập” hoặc “liên kết thiết bị”, cần nhấn ngay nút “Từ chối” để ngăn chặn truy cập trái phép.

Bên cạnh đó, khi nghi ngờ tài khoản có dấu hiệu bị xâm nhập, người dùng nên lập tức đổi mật khẩu Zalo để vô hiệu hóa các phiên đăng nhập cũ. Trong phần cài đặt, người dùng cũng có thể kiểm tra lịch sử đăng nhập và chủ động đăng xuất khỏi toàn bộ các thiết bị lạ.

Nếu đã trở thành nạn nhân của hành vi lừa đảo, bị chiếm đoạt tài sản hoặc bị kẻ gian đe dọa, người dân cần nhanh chóng trình báo với cơ quan công an nơi gần nhất để được hỗ trợ kịp thời, tránh việc đối tượng tiếp tục lợi dụng danh tính của mình để thực hiện các hành vi vi phạm pháp luật khác.