Lừa đảo 'Quishing' bùng phát tại Việt Nam: Nguy cơ từ mã QR và cách phòng tránh

Hình thức lừa đảo sử dụng mã QR code phishing) đang bùng phát mạnh mẽ tại Việt Nam, gây thiệt hại đáng kể về tài chính và thông tin cá nhân cho người dùng. Với sự phổ biến của mã QR trong thanh toán không tiếp xúc, truy cập thông tin, và các dịch vụ công cộng, các đối tượng lừa đảo đã lợi dụng sự tiện lợi này để thực hiện các hành vi phạm tội tinh vi.

"Quishing" (kết hợp của "QR code" và "phishing") là một dạng lừa đảo kết hợp giữa QR code và phishing (lừa đảo qua mạng). Tội phạm tạo ra các mã QR giả mạo, dẫn người dùng đến các trang web lừa đảo hoặc cài đặt phần mềm độc hại (malware) khi quét mã. Các mã QR này thường được đặt ở những nơi công cộng như bãi đỗ xe, nhà hàng, hoặc gửi qua email, tin nhắn, và mạng xã hội, giả danh các tổ chức uy tín như ngân hàng, công ty thương mại điện tử, hoặc cơ quan nhà nước. 

Tại Việt Nam, sự bùng phát của quishing có thể được lý giải bởi các yếu tố sự phổ biến của mã QR. Theo Ngân hàng Nhà nước, thanh toán qua mã QR chiếm 35% tổng giao dịch không tiền mặt trong năm 2024, đặc biệt tại các thành phố lớn như Hà Nội và TP.HCM.

Tuy nhiên, nhiều người dùng tại Việt Nam chưa quen với việc kiểm tra tính xác thực của mã QR trước khi quét, đặc biệt khi mã QR xuất hiện ở những nơi công cộng hoặc trong các email có vẻ hợp pháp.

Lừa đảo bằng mã QR thường khó phát hiện, do đây là hình ảnh, không phải liên kết văn bản, nên dễ dàng qua mặt các phần mềm chống virus và bộ lọc email. Điều này khiến quishing trở thành công cụ lý tưởng cho tội phạm mạng.

Theo báo cáo từ Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (A05) thuộc Bộ Công an, số vụ lừa đảo liên quan đến mã QR tại Việt Nam đã tăng gấp đôi trong năm 2024, với khoảng 15.000 vụ được ghi nhận, gây thiệt hại ước tính hàng trăm tỷ đồng. 

Một số vụ việc lừa đảo quishing đáng chú ý tại Việt Nam trong thời gian gần đây như lừa đảo tại bãi đỗ xe, email giả mạo ngân hàng, quishing qua mạng xã hội.

Theo đó, tại TP.HCM và Hà Nội, nhiều bãi đỗ xe công cộng đã bị dán đè mã QR giả lên các bảng hướng dẫn thanh toán hợp pháp. Một vụ việc điển hình xảy ra tại bãi đỗ xe ở quận 1, TP.HCM vào tháng 3/2025, khi hơn 50 người dùng bị mất tiền từ tài khoản ngân hàng sau khi quét mã QR giả để thanh toán phí đỗ xe. Các mã này dẫn đến một trang web giả mạo, yêu cầu người dùng nhập thông tin thẻ ngân hàng, dẫn đến thiệt hại lên đến 2 tỷ đồng.

Trong quý 1/2025, hàng loạt email giả danh các ngân hàng lớn như Vietcombank, Techcombank, và BIDV đã được gửi đến người dùng, chứa mã QR yêu cầu “xác nhận thông tin tài khoản” hoặc “nhận ưu đãi”. Khi quét mã, người dùng bị dẫn đến trang web giả mạo, nơi thông tin đăng nhập và mã OTP bị đánh cắp. Một trường hợp tại Hà Nội ghi nhận một cá nhân mất 500 triệu đồng sau khi quét mã QR từ email giả mạo Vietcombank.

Các nhóm lừa đảo trên Facebook và Zalo đã sử dụng mã QR trong các bài đăng quảng cáo “khuyến mãi lớn” hoặc “tặng quà miễn phí”. Một chiến dịch quishing trên Facebook Marketplace vào tháng 2/2025 đã khiến hàng chục người dùng tại Đà Nẵng mất tiền khi quét mã QR để “đặt cọc” mua hàng giá rẻ.

Nạn nhân của "Quishing" có thể phải đối mặt với nhiều hậu quả nghiêm trọng. Ngoài việc bị tổn thất tài chính, bị mất tiền trực tiếp từ tài khoản ngân hàng hoặc thẻ tín dụng, người dùng còn có thể bị đánh cắp danh tính. Thông tin cá nhân như số CMND/CCCD, mật khẩu, hoặc mã OTP bị đánh cắp có thể được sử dụng để mở tài khoản ngân hàng, vay nợ, hoặc thực hiện các giao dịch bất hợp pháp. Một số mã QR dẫn đến các trang web tự động tải malware, làm tê liệt thiết bị hoặc đánh cắp dữ liệu từ điện thoại người dùng.

Các doanh nghiệp bị giả mạo (ngân hàng, nhà hàng, công ty thanh toán) cũng chịu tổn thất uy tín và phải chi phí để khắc phục hậu quả. 

Để góp phần phòng ngừa, ngăn chặn, đấu tranh hiệu quả với loại tội phạm này, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao CATP Hà Nội khuyến nghị người dân nên:

- Kiểm tra kỹ trước khi quét mã QR: Luôn xác minh nguồn gốc và tính hợp lệ của mã QR, đặc biệt với các mã lạ hoặc dán chồng.

- Quan sát cẩn thận môi trường xung quanh: Tại điểm thanh toán, phải kiểm tra bảo đảm mã QR không bị can thiệp.

- Cảnh giác với ưu đãi bất thường: Tránh quét mã QR kèm theo các chương trình khuyến mãi quá hấp dẫn.

- Xem xét kỹ URL sau khi quét: Đảm bảo địa chỉ web bắt đầu bằng "https://" và đúng tên miền của tổ chức.

- Sử dụng ứng dụng quét mã an toàn: Cân nhắc dùng ứng dụng có chức năng cảnh báo link độc hại.

- Cập nhật phần mềm bảo mật: Đảm bảo thiết bị được bảo vệ bởi phần mềm diệt virus mới nhất.

- Hạn chế chia sẻ thông tin cá nhân: Cẩn trọng khi cung cấp thông tin sau khi quét mã QR.

- Báo cáo các dấu hiệu lừa đảo: Thông báo ngay cho cơ quan chức năng nếu nghi ngờ bị lừa đảo.

"Quishing" là một mối đe dọa ngày càng gia tăng. Mỗi người dân cần nâng cao cảnh giác, trang bị kiến thức để tự bảo vệ mình và những người xung quanh. Hãy luôn kiểm tra trước trước khi quét bất kỳ mã QR nào và nhớ rằng sự cẩn trọng của bạn là chìa khóa để tránh khỏi những cạm bẫy nguy hiểm trong thế giới số.