Giả mạo ngân hàng lừa quét mã QR, lấy sạch tiền trong tài khoản nạn nhân

Mã QR ngày càng phổ biến

Mã QR hiện là một trong những hình thức thanh toán phổ biến tại Việt Nam. Thay vì nhập tên ngân hàng, số tài khoản như trước, người dùng chỉ cần quét là thông tin được tự động điền. Việc liên kết giữa các đơn vị cũng giúp thanh toán QR trở nên đơn giản, khi ứng dụng của ngân hàng này có thể quét QR của bên khác.

Mã QR đã và đang ngày càng phổ biến khắp mọi nơi, nhất là sau "cú hích" của đại dịch Covid-19 khiến nhu cầu sử dụng mã QR tăng lên nhanh chóng.

Theo Vụ Thanh toán, Ngân hàng Nhà nước, mã QR có tốc độ tăng trưởng mạnh mẽ cả về số lượng và giá trị. Trong năm 2022, thanh toán qua mã QR tăng tới 225,36% về số lượng và 243,92% về giá trị so với năm 2021.

Còn trong 5 tháng đầu 2023, thanh toán qua phương thức quét mã QR tăng 151,14% về số lượng và 30,41% về giá trị so với cùng kỳ năm ngoái.

Với tiện ích và mức độ phổ biến của mã QR, công nghệ này đang bị khai thác bởi các nhóm tội phạm mạng bằng cách tạo ra mã QR độc hại để lừa lấy tài khoản ngân hàng hoặc thông tin cá nhân người dùng.

Giả mạo ngân hàng lừa quét mã QR

Bên cạnh hình thức gửi link đăng nhập website giả mạo để lừa đảo nhằm chiếm đoạt tài khoản đăng nhập (username/password) ngân hàng điện tử hoặc thu thập các thông tin liên quan tới thẻ tín dụng, kẻ gian vừa phát triển thêm phương thức gửi mã QR qua mạng xã hội (Zalo, Facebook, Viber…) để nâng cấp mức độ tinh vi hòng chiếm đoạt tài sản của khách hàng.

Hiện nay, các đối tượng lừa đảo luôn cập nhật, thay đổi cách thức để tiếp cận, chiếm đoạt tiền từ nhiều khách hàng nhất có thể.

Cụ thể, đối tượng mạo danh là nhân viên ngân hàng, gọi điện từ số máy bàn có dãy số gần giống với số tổng đài của ngân hàng mời chào khách hàng nâng hạn mức thẻ tín dụng hoặc rút tiền mặt từ thẻ tín dụng hoặc một số dịch vụ tài chính khác. Tiếp đến, kẻ gian sẽ gửi và yêu cầu khách hàng quét mã QR.

Sau khi khách hàng quét mã QR mà kẻ gian gửi tới, khách hàng sẽ được chuyển đến đường link website giả mạo. Tại đây, khách hàng được yêu cầu nhập các thông tin như: Họ và tên, CMND/CCCD, chụp ảnh CMND, CCCD 2 mặt, số thẻ, mã bí mật CVV, ngày hết hạn thẻ và OTP gửi về số điện thoại khách hàng, thông tin đăng nhập user và password tài khoản ngân hàng….

Ngay sau khi khách hàng cung cấp thông tin, đối tượng lừa đảo sẽ chiếm được quyền sử dụng tài khoản Internet Banking hoặc thẻ tín dụng và thực hiện giao dịch chiếm đoạt tiền.

Các ngân hàng và cơ quan công an nhiều địa phương cũng từng lên tiếng cảnh báo chiêu thức giả mạo ngân hàng lừa quét mã QR.

Dán đè mã QR giả mạo tại nhiều cửa hàng để chiếm đoạt tiền chuyển khoản

Chiêu thức lừa đảo mã QR nữa là giả mạo tại các cửa hàng/địa điểm thanh toán mã QR.

Tại nhiều cửa hàng, mã QR thường được in và đóng khung đặt trên quầy. Một số còn sao thành nhiều bản, dán tại các khu vực trong cửa hàng. Đây cũng là kẽ hở khiến kẻ gian dán đè, "tráo" địa chỉ nhận tiền.

Kẻ gian lợi dụng sơ hở để dán đè hoặc đặt biển có mã QR Code của tài khoản giả mạo tại điểm thanh toán mã QR của cửa hàng, nhà hàng hoặc điểm thanh toán khác để lừa đảo khách hàng và chiếm đoạt tiền chuyển khoản tới mã QR.

Theo ông Ngô Minh Hiếu, nhà sáng lập dự án Chống lừa đảo, thời gian qua, hình thức giả mạo này đã được ghi nhận dù chưa phổ biến. Song sự nguy hiểm nằm ở việc kẻ xấu có thể dễ dàng thực hiện bằng cách đóng vai khách hàng, dán mã QR mới trong vài giây, sau đó chọn mua món hàng với giá trị lớn.

Tài khoản nhận tiền thường là tài khoản không chính chủ, gây khó khăn cho việc truy tìm. Trên thị trường chợ đen, tài khoản ngân hàng rác có thể được mua giá 2-3 triệu đồng. Kẻ gian sẵn sàng chi số tiền này vì các vụ lừa đảo có thể đem lại cho chúng khoản chênh lệch lớn hơn nhiều.

Làm sao để tránh bẫy lừa đảo quét mã QR

Để tránh bị dính bẫy lừa đảo tinh vi mới này, các ngân hàng khuyến cáo khách hàng cần hết sức cảnh giác với các yêu cầu quét mã QR hoặc truy cập đường link lạ. Các ngân hàng cũng cho biết tuyệt đối không yêu cầu khách hàng cung cấp thông tin số thẻ, số CVV2/CVC2 (3 số bảo mật ở mặt sau của thẻ tín dụng) hoặc bất kỳ thông tin bảo mật cá nhân nào khác của khách hàng qua zalo/số điện thoại không định danh.

Đồng thời, các ngân hàng cũng khuyến cáo khách hàng tuyệt đối không cung cấp mã xác thực OTP/ Smart OTP cho bất kỳ ai kể cả nhân viên ngân hàng. Nếu lỡ quét mã QR, cần kiểm tra lại đường link để nhận diện link URL an toàn…

Khách hàng phải luôn kiểm tra lại thông tin số tài khoản, tên chủ tài khoản với chủ cửa hàng khi thực hiện quét mã QR để thanh toán. Chủ cửa hàng cũng phải luôn rà soát các mã QR chuyển tiền đặt tại cơ sở của mình để kịp thời phát hiện và gỡ bỏ các mã QR giả mạo này.