Cách phòng tránh lừa đảo bằng mã QR
Kế hoạch bài viết
Có lẽ bạn đã quét hàng chục mã QR trong tháng này mà không cần suy nghĩ – tại nhà hàng, máy đỗ xe, hoặc có thể là máy thanh toán tại quầy tính tiền. Chính sự tin tưởng tự động đó là điều mà những kẻ lừa đảo đang lợi dụng, và những con số này khó có thể bỏ qua.
Lừa đảo qua mã QR – hay còn được gọi là quishing – đã tăng 587% từ năm 2022 đến năm 2023, và tăng thêm 25% vào năm 2025, với hơn 26 triệu người Mỹ đã bị dẫn đến các trang web độc hại theo cách này. Và đây là phần đáng lo ngại: chỉ 39% người tiêu dùng có thể phát hiện mã QR bị nhiễm virus một cách đáng tin cậy trước khi quá muộn, điều đó có nghĩa là đại đa số đang quét mã QR một cách hoàn toàn mù quáng.
Vậy thực sự đang xảy ra chuyện gì, những kẻ tấn công thực hiện điều này như thế nào và bạn có thể làm gì để đối phó? Hãy cùng phân tích chi tiết.
Quishing (QR + phishing) là hành vi giấu các liên kết nguy hiểm bên trong mã QR để chuyển hướng người dùng đến các trang web giả mạo, đánh cắp thông tin đăng nhập hoặc cài đặt phần mềm độc hại. Hãy coi đó là một hình thức tấn công mã QR cổ điển – nhưng được bao bọc trong một định dạng mà mắt người không thể giải mã.
Đó chính là vấn đề cốt lõi của bảo mật mã QR: khác với liên kết thông thường trong email mà bạn có thể di chuột qua để xem trước, mã QR không tiết lộ gì cho đến khi trình duyệt đã tải xong trang đích. Không có tên miền sai chính tả để phát hiện, không có văn bản liên kết đáng ngờ để nhận ra. Nguy hiểm của mã QR là vô hình theo thiết kế – và chính điều này khiến quishing phishing hiệu quả hơn hẳn so với các chiêu lừa đảo truyền thống.
Đây là lý do tại sao mã QR xuất hiện trong 22% tổng số các cuộc tấn công lừa đảo trong năm 2024–2025. Chúng vượt qua hầu hết các bộ lọc email tự động vì các công cụ bảo mật không thể đọc URL được mã hóa bên trong hình ảnh.
Hiểu rõ toàn bộ bối cảnh mối đe dọa từ mã QR sẽ giúp bạn nhận ra các mối đe dọa trước khi trở thành nạn nhân. Dưới đây là các mẫu tấn công phổ biến nhất trong năm 2025.
Phương pháp vật lý phổ biến nhất liên quan đến việc dán nhãn dán mã QR giả mạo trực tiếp lên các mã hợp pháp – trên đồng hồ đỗ xe, bàn nhà hàng, biển báo giao thông hoặc kệ trưng bày bán lẻ. Bạn nghĩ rằng mình đang mở liên kết bản đồ hoặc thanh toán tại máy thanh toán. Trên thực tế, thông tin thẻ của bạn đang được chuyển thẳng đến cổng thông tin giả mạo của kẻ lừa đảo. Một cuộc kiểm tra vật lý nhanh chóng – kiểm tra xem mã có nằm phẳng hay trông giống như đã được dán chồng lên – có thể giúp bạn tránh hoàn toàn tình huống này.
Vì người dùng thường quét mã QR bằng điện thoại, các URL nhúng trong mã QR có thể vượt qua các công cụ bảo mật trên máy tính để bàn như tường lửa và bộ chặn URL đầu cuối. Điều này khiến việc hack qua mã QR qua email trở nên đặc biệt hiệu quả. Thông điệp trông giống như đến từ Microsoft, ngân hàng của bạn hoặc bộ phận CNTT của công ty – kèm theo logo và định dạng chuyên nghiệp.
Đáng chú ý là 27% các cuộc tấn công quishing này sử dụng các cảnh báo xác thực đa yếu tố giả mạo: "Phiên của bạn đã hết hạn – quét để xác minh lại." Sự khẩn cấp đó được thiết kế để ngăn bạn suy nghĩ lại.
Đây là một trong những nguy cơ thường bị bỏ qua khi quét mã QR: chỉ riêng vào giữa năm 2024, đã có nửa triệu email lừa đảo chứa mã QR nhúng trong tệp đính kèm PDF bị phát hiện. Tài liệu trông có vẻ hợp pháp – hóa đơn, bảng kê lợi ích, thông báo giao hàng – và mã QR bên trong dường như là một lối tắt tiện lợi. Cục Thương mại Liên bang (FTC) cũng đã cảnh báo về sự gia tăng các vụ lừa đảo qua thư vật lý, trong đó các liên kết mã độc QR được in trên phiếu gói hàng giả mạo hoặc hóa đơn dịch vụ công.
Sự phát triển mới nhất và đáng lo ngại nhất của các mối đe dọa an ninh mạng quishing liên quan đến các trang lừa đảo do AI tạo ra, gần như không thể phân biệt với trang thật. Kẻ tấn công hiện có thể tạo ra một trang đăng nhập giả mạo về đặt chỗ hoặc PayPal thuyết phục chỉ trong vài phút, được tùy chỉnh cho mục tiêu cụ thể, với thương hiệu chân thực và nội dung cá nhân hóa. Điều này đã khiến việc phòng ngừa lừa đảo qua mã QR trở nên khó khăn hơn đáng kể đối với cả cá nhân và tổ chức.
Tuy nhiên, mối đe dọa không chỉ dừng lại ở các trang đăng nhập giả mạo. AI hiện đang được sử dụng ở mọi giai đoạn của quy trình tấn công – từ việc lựa chọn mục tiêu đến việc gửi tin nhắn và trốn tránh.
Hậu quả thực tế rất rõ ràng: các dấu hiệu trực quan và bối cảnh từng giúp mọi người nhận diện lừa đảo đang trở nên không đáng tin cậy. Sự hoài nghi về nguồn gốc – chứ không chỉ vẻ bề ngoài – giờ đây là bộ lọc quan trọng hơn.
Các rủi ro bảo mật của mã QR không phân bố đồng đều. Một số ngành phải đối mặt với mức độ rủi ro cao hơn đáng kể do bản chất việc sử dụng mã QR và giá trị của dữ liệu mà họ xử lý.
| Ngành | Tại sao lại trở thành mục tiêu | Phương thức tấn công phổ biến |
|---|---|---|
| Tài chính & Ngân hàng | Thông tin đăng nhập có giá trị cao, dữ liệu thanh toán | Trang đăng nhập ứng dụng ngân hàng giả mạo, cổng thông tin PayPal / Venmo giả mạo nhằm thu thập thông tin đăng nhập |
| Y tế | Dữ liệu bệnh nhân nhạy cảm, hệ thống cũ | Các biểu mẫu bệnh nhân giả mạo được gửi qua email, mã QR trên các tài liệu đăng ký in sẵn |
| Giáo dục | Cơ sở người dùng lớn, nhận thức về an ninh mạng thấp | Cổng đăng nhập Wi-Fi giả mạo trong khuôn viên trường, mã QR trong tài liệu khóa học định dạng PDF |
| Bán lẻ & Thương mại điện tử | Xử lý thanh toán, lượng khách hàng đông đúc | Lừa đảo bằng nhãn dán dán lên các thiết bị thanh toán hợp pháp, mã giảm giá hoặc mã đặt chỗ chương trình khách hàng thân thiết giả mạo |
| Nhà hàng & Du lịch | Sử dụng mã QR rộng rãi, đặt tại các khu vực công cộng | Thay thế mã QR trên thực đơn bằng các trang đặt hàng giả mạo, các cổng Wi-Fi giả mạo tại sảnh |
| Chính phủ | Lợi dụng lòng tin của công chúng | Mẫu đơn xin giấy phép giả mạo, cổng thanh toán thuế giả mạo bắt chước các trang web chính thức |
| Logistics | Sự cấp bách trong việc giao hàng | Các liên kết theo dõi giả mạo được gửi qua tin nhắn SMS, mã QR trên phiếu giao hàng giả mạo |
| Bất động sản | Giao dịch giá trị cao | Trang danh sách bất động sản giả mạo, biểu mẫu ký kết tài liệu gian lận, kèm theo hành vi đánh cắp thông tin đăng nhập |
Nhân viên bán lẻ có tỷ lệ bỏ sót cao nhất trong việc phát hiện hoạt động độc hại liên quan đến mã QR, trong khi tài chính, sản xuất và y tế luôn nằm trong số các ngành bị nhắm mục tiêu nhiều nhất. Đáng chú ý, các vấn đề bảo mật liên quan đến mã QR trong lĩnh vực y tế có thể gây ra hậu quả đặc biệt nghiêm trọng – dữ liệu bệnh nhân, thông tin bảo hiểm và hệ thống nội bộ đều có nguy cơ bị ảnh hưởng.
Tạo
Mã QR ngay bây giờ!
Đặt liên kết mã QR của bạn, thêm tên cho QR của bạn, chọn danh mục nội dung và tạo!
Dưới đây là hướng dẫn chi tiết để đảm bảo an toàn – cho dù bạn là người dùng cá nhân, chủ doanh nghiệp hay người chịu trách nhiệm về các tài liệu tiếp thị có chứa mã QR.
Hầu hết các điện thoại thông minh hiện đại đều hiển thị liên kết đích ngay sau khi quét, trước khi trình duyệt của bạn tải bất kỳ nội dung nào. Thói quen 10 giây này là nền tảng của sự an toàn mã QR – đừng bỏ qua nó.
Khi kiểm tra URL, hãy chú ý đến:
Sử dụng ứng dụng quét mã QR an toàn – không chỉ là camera mặc định trên điện thoại của bạn. Trình kiểm tra an toàn mã QR thích hợp sẽ đánh dấu các tên miền độc hại đã biết trước khi mở bất kỳ thứ gì, mang đến cho bạn một lớp bảo vệ thực sự thay vì chỉ là sự tiện lợi.
Việc phát hiện sự giả mạo là một mối lo ngại thực sự ở những địa điểm có lưu lượng người qua lại cao. Trước khi quét bất cứ thứ gì ở nơi công cộng, hãy quan sát kỹ: mã có nằm phẳng trên bề mặt hay có vẻ hơi nhô lên? Các cạnh có gọn gàng hay có vẻ như là một miếng dán được dán lên trên một thứ khác?
Điều này đặc biệt quan trọng tại các máy đỗ xe, trạm trung chuyển và bất kỳ nơi nào liên quan đến thanh toán qua mã QR – chính xác là những địa điểm mà những kẻ lừa đảo nhắm đến nhiều nhất, vì sự khẩn cấp và sự mất tập trung có lợi cho chúng.
Đây là nơi lừa đảo qua mã QR gây ra nhiều thiệt hại nhất. Các công ty hợp pháp – ngân hàng, nhà cung cấp phần mềm, bộ phận nhân sự – sẽ không yêu cầu bạn quét mã QR để xác minh danh tính hoặc đặt lại mật khẩu qua email. Nếu nhận được tin nhắn như vậy, hãy truy cập trực tiếp vào trang web chính thức của công ty bằng cách nhập địa chỉ thủ công.
Không bao giờ quét mã QR từ hình ảnh hoặc tệp đính kèm PDF mà bạn không mong đợi, bất kể nó trông có chính thức đến mức nào. Điều này cũng áp dụng cho các tin nhắn chuyển tiếp trên WhatsApp và tin nhắn SMS – các hacker sử dụng mã QR đã vượt xa phạm vi email.
Không phải tất cả các ứng dụng quét mã QR đều cung cấp mức độ bảo vệ như nhau. Một camera cơ bản chỉ đọc mẫu mã – trong khi trình quét mã QR an toàn nhất sẽ chủ động đối chiếu URL đích với cơ sở dữ liệu mối đe dọa theo thời gian thực. Hãy tìm các ứng dụng có tính năng bảo mật rõ ràng cho trình đọc mã QR: xem trước URL, phát hiện phần mềm độc hại và kiểm tra danh tiếng tên miền.
Xác minh mã QR trước khi thực hiện là thói quen hiệu quả nhất mà bạn có thể hình thành. Nếu một ứng dụng không hiển thị liên kết trước khi mở, hãy tìm một ứng dụng khác có tính năng này.
Hãy chú ý đến những dấu hiệu cảnh báo này bất kể bối cảnh – cho dù bạn đang quét mã QR cho một trang mạng xã hội, mạng Wi-Fi, danh bạ vCard hay liên kết thanh toán:
Sai lầm là điều khó tránh khỏi – đây là cách để hạn chế thiệt hại. Ngắt kết nối Wi-Fi và dữ liệu di động ngay lập tức để cắt đứt liên lạc với máy chủ của kẻ tấn công. Chạy quét bằng ứng dụng bảo mật di động đáng tin cậy. Thay đổi mọi mật khẩu đã nhập sau khi quét, ưu tiên các tài khoản tài chính và công việc. Kiểm tra lịch sử cài đặt trên App Market để tìm bất kỳ thứ gì lạ, thu hồi các quyền không rõ nguồn gốc và liên hệ ngay với ngân hàng nếu có bất kỳ thông tin thanh toán nào bị liên quan.
Nếu tổ chức của bạn sử dụng mã QR trong tiếp thị các chiến dịch, quy trình thương mại điện tử, danh sách bất động sản, biểu mẫu đăng ký y tế hoặc thực đơn nhà hàng – việc bảo mật mã QR là một phần trách nhiệm của bạn đối với người dùng.
Các tính năng bảo mật mã QR hiệu quả cho doanh nghiệp bao gồm sử dụng mã được thiết kế riêng với logo và màu sắc thương hiệu của bạn (khó giả mạo hơn), thông báo rõ ràng cho người dùng về những gì họ sẽ thấy sau khi quét và thường xuyên kiểm tra các mã công khai để phát hiện dấu hiệu giả mạo.
Ngoài ra, vấn đề bảo mật của công cụ tạo mã QR cũng rất quan trọng. Một công cụ tạo mã QR an toàn nhất sẽ kiểm tra URL đích ngay tại thời điểm tạo mã – chặn các liên kết độc hại, spam và nội dung bị cấm trước khi mã được phát hành. Me-QR hoạt động chính xác như vậy: mọi mã QR động được tạo qua dịch vụ này đều được tự động kiểm tra để phát hiện phần mềm độc hại, nội dung lừa đảo và các vi phạm chính sách, nhờ đó cả bạn lẫn khách hàng của bạn đều không phải đối mặt với rủi ro bảo mật từ mã QR thông qua các tài liệu của chính bạn.
Những nguy hiểm khi sử dụng mã QR không nằm ở bản thân công nghệ – chúng nằm ở nơi mã QR dẫn đến và liệu bạn có kiểm tra hay không. Giữ an toàn không phải là tránh mã QR – mà là biết cần kiểm tra gì trước khi quét.
Kiểm tra URL. Kiểm tra mã vật lý. Sử dụng trình quét bảo mật QR để thực hiện việc xác minh cho bạn. Những kẻ lừa đảo đứng sau các vụ tấn công mã QR đang dựa vào thói quen quét tự động. Và theo thống kê, họ đúng – 61% người dùng vẫn quét mà không kiểm tra xem mã dẫn đến đâu. Con số đó chính là lỗ hổng thực sự. Đóng lỗ hổng đó lại, và bạn đã làm được nhiều hơn hầu hết mọi người.
Quản lý mã QR của bạn!
Thu thập tất cả mã QR của bạn ở một nơi, xem thống kê và thay đổi nội dung bằng cách tạo tài khoản
Đăng ký
Bài viết này có hữu ích không?
Nhấn vào một ngôi sao để đánh giá!
Cảm ơn bạn đã bình chọn!
Xếp Hạng Trung Bình: 5/5 Bình chọn: 2
Hãy là người đầu tiên đánh giá bài viết này!
Tạo mã với trình tạo mã QR miễn phí của chúng tôi. Giao diện dễ hiểu, sự đa dạng trong việc chọn loại mã QR của bạn và khả năng xem số liệu thống kê!
Tải xuống ứng dụng của chúng tôi
Bây giờ nó đơn giản và dễ dàng để tạo và quét mã QR!
Hợp pháp
Bản tin của chúng tôi
Tạo mã với trình tạo mã QR miễn phí của chúng tôi. Giao diện dễ hiểu, sự đa dạng trong việc chọn loại mã QR của bạn và khả năng xem số liệu thống kê!
Tải xuống ứng dụng của chúng tôi
Bây giờ nó đơn giản và dễ dàng để tạo và quét mã QR!
Copyright © 2018- Me-Team
