Ở một diễn biến khác, vào ngày 15/8, Công an tỉnh Lâm Đồng bắt quả tang một nhóm phát tán tờ rơi chứa hình ảnh các cô gái cùng mã QR, dụ người dùng quét để truy cập website và tải ứng dụng. Thực tế, ứng dụng đó được xác định là công cụ gián điệp, chứa phần mềm độc hại chuyên dùng để đánh cắp thông tin, dữ liệu của người dùng.

Theo thông báo của Công an tỉnh Lâm Đồng, mục tiêu của các đối tượng là nhằm đánh lừa người dùng cài đặt ứng dụng chứa mã độc, từ đó có thể 'nằm vùng' như một gián điệp, thu thập thông tin, điều khiển ứng dụng ngân hàng, đánh cắp tài khoản, mật khẩu và mã OTP của nạn nhân để thực hiện các hành vi vi phạm pháp luật.

Ngoài các chiêu trò lừa đảo kể trên, trước đó, những kẻ gian còn thực hiện hành vi tráo đổi mã QR thanh toán để tiền chảy về túi.

Ví dụ như trường hợp của chị Nguyễn Thị Hồng Thanh (33 tuổi), chủ một cửa hiệu thời trang tại Cầu Giấy (Hà Nội). Theo lời kể của chị Thanh, một tháng trước đây, sau khi khách thanh toán 700.000 đồng bằng phương thức quét mã QR thì chị phát hiện tiền khách đã bị trừ nhưng tài khoản của chị không nhận được bất cứ thông báo nhận tiền nào.

Cảm thấy khó hiểu, chị Thanh kiểm tra lại mã QR ngay quầy thanh toán và cảm thấy sốc khi mã vạch ấy không liên kết với tài khoản của mình mà của một tài khoản "lạ hoắc lạ huơ".

Chị Thanh cho biết: "Có lẽ một người nào đó đã dán mã QR của họ thay thế mã QR của mình. Sở dĩ mình không để ý và không phát hiện vì thi thoảng mới có khách thanh toán bằng mã QR. Thông thường nhiều khách thanh toán tiền mặt hoặc qua thẻ ATM".

Gặp trường hợp giống với chị Thanh, Anh Nguyễn Văn Trọng, chủ một cửa hàng kinh doanh điện thoại tại Nguyễn Huệ (Hà Đông), kể: "Vào ngày 2/7, sau khi khách đến mua phụ kiện điện thoại đã yêu cầu thanh toán bằng mã QR. Nhưng dù khách đã quét mã thanh toán được 10 phút, tôi vẫn không thấy tiền vào tài khoản. Đến lúc này tôi đoán mã QR mà tôi in sẵn phía trước gian hàng trưng bày có vấn đề nên kiểm tra. Hóa ra một người nào đó đã dán mã QR của họ đè lên".

Câu chuyện mà chị Thanh và anh Trọng gặp phải cũng đang được phản ánh trên diễn đàn chongluadao.vn. Các thành viên trong đó cho biết họ cũng từng là nạn nhân của chiêu lừa "thay mã QR".

Đại diện diễn đàn chongluadao.vn nhận định: "Kiểu lừa đảo giả mạo mã QR nhằm đánh lừa khách tới mua hàng. Khi người khách quét mã QR để trả tiền vào tài khoản ngân hàng hoặc ví điện tử sẽ nhầm tưởng là của chủ cửa hàng. Nhưng thực tế không phải vậy, mã QR ấy là của kẻ lừa đảo. Kẻ lừa đảo đã lén dán hoặc đặt biển có mã QR của họ thay vào mã QR của chủ quán để sẵn".

Cẩn trọng hơn khi quét mã QR

Theo ông Vũ Ngọc Sơn - giám đốc công nghệ Công ty an ninh mạng NCS, mã QR có nhiều ứng dụng nhưng phổ biến nhất hiện nay là để chứa các đường link hoặc số tài khoản ngân hàng trong các giao dịch chuyển khoản.

Lợi dụng việc phổ biến của mã QR, các đối tượng lừa đảo có thể mã hóa các đường link lừa đảo hoặc các số tài khoản giả mạo thành các mã QR để lừa người dùng. Nếu không để ý, người dùng có thể quét và truy cập các đường link này hoặc chuyển khoản cho các số tài khoản giả mạo mà không hay biết.

Phân tích cụ thể về cách thức lây nhiễm mã độc hoặc giả mạo đánh cắp thông tin tài khoản, ông Sơn cho biết khi người dùng thông qua một phần mềm để xử lý nội dung của mã QR tự động, việc quét mã QR độc hại có thể khiến họ bị tấn công ngay lập tức nếu phần mềm không kiểm tra nội dung mã QR có hợp lệ, an toàn trước khi tự động mở.

Ngược lại, nếu người dùng sử dụng máy ảnh của điện thoại tích hợp sẵn tính năng đọc mã QR thì sẽ chỉ hiển thị đường link hoặc số tài khoản, lúc này quyền bấm vào hay chuyển khoản thuộc về người dùng và nếu người dùng tiếp tục thực hiện hành động truy cập link hoặc chuyển khoản thì mới bị tấn công.

Ông Sơn khuyến cáo thêm người dùng chỉ nên quét các mã QR từ nguồn đảm bảo. Với các mã QR liên quan đến chuyển tiền cần nhìn rõ số tài khoản nhận tiền trước khi bấm nút chuyển. Với các mã QR liên quan đến đường link, chỉ sử dụng camera điện thoại để quét, cân nhắc chỉ ấn vào đường link bắt đầu với https và có tên miền quen thuộc.

Với chiêu trò tờ rơi, card visit..., cơ quan chức năng khuyến cáo không tò mò truy cập mã QR nhạy cảm để tránh bị lừa đảo, chiếm đoạt tài sản.

Còn trong môi trường doanh nghiệp, các chuyên gia tại Cofense cho rằng các tổ chức cần đào tạo nhân viên không quét mã QR trong email, hạn chế nguy cơ bị tấn công và giúp tài khoản của họ được an toàn.