Sự thật lừa đảo quét mã QR mất hết tiền trong tài khoản

Quét mã QR, mất hết tiền trong tài khoản?

Gần đây, nhiều tài khoản trên mạng xã hội lan truyền thông tin chỉ cần quét mã QR (khi thanh toán) là máy điện thoại bị sập nguồn và tiền trong tài khoản ngân hàng bị mất hết.

Theo nội dung cảnh báo, kẻ gian giả vờ mua hàng và cố tình chuyển khoản số tiền lớn hơn giá trị thực tế. Sau đó, chúng gửi mã QR cho người bán, yêu cầu quét mã để nhận lại số tiền thừa. Khi người dùng quét mã QR này và thực hiện xác thực sinh trắc học, điện thoại có thể bị đơ, sập nguồn, dẫn đến nguy cơ mất tiền trong tài khoản ngân hàng.

Các tài khoản này đưa ra lời khuyên người dùng nên ghi chép số tài khoản ngân hàng ra giấy thay vì sao chép trực tiếp từ tin nhắn hay các nguồn khác. Cảnh báo nhấn mạnh tuyệt đối không quét bất kỳ mã QR nào được cung cấp vì việc sao chép số tài khoản có thể dẫn đến rủi ro mất tiền do kẻ gian có thể chèn các đường link độc hại vào số tài khoản này.

Thông tin này khiến nhiều người xôn xao. Nhưng theo các chuyên gia, điều này không thực sự chính xác.

Bởi để bị mất tiền từ tài khoản ngân hàng thì phải là một quá trình với nhiều thao tác sau đó gồm: đăng nhập vào ứng dụng ngân hàng điện tử, xác nhận mã OTP hay sinh trắc học, thực hiện lệnh chuyển tiền...

Ông Vũ Ngọc Sơn, Trưởng ban Công nghệ, Hiệp hội An ninh mạng quốc gia khẳng định, đây là tin giả, không đúng sự thật.

Ông Sơn cho hay, quét mã QR hay sao chép số tài khoản, đường link thực tế không làm người dùng lập tức mất tiền hay bị chiếm tài khoản.

Mã QR là một cách thức để “nén” một hoặc nhiều nội dung dữ liệu về một dạng ảnh giúp cho máy móc có cảm biến hình ảnh (như máy quét, camera điện thoại) có thể ánh xạ ngược từ ảnh sang nội dung ban đầu. QR Code có nhiều ứng dụng, nhưng phổ biến nhất hiện nay là để chứa các đường link hoặc số tài khoản ngân hàng trong các giao dịch chuyển khoản.

Lợi dụng việc phổ biến của QR Code, các đối tượng lừa đảo có thể mã hóa các được link lừa đảo hoặc các số tài khoản giả mạo thành các mã QR để lừa người dùng. Nhưng bản chất QR Code không phải mã độc tấn công trực tiếp mà chỉ là trung gian để chuyển tải nội dung. Do đó, người dùng có bị tấn công hay không phụ thuộc vào cách xử lý nội dung sau khi máy quét ánh xạ từ QR code ra nội dung ban đầu.

Theo ông Sơn, nếu sau khi quét mã QR ra đường link hay số tài khoản thì người dùng chưa bị mất tiền hay bị tấn công, chiếm quyền điều khiển. Nhưng nếu người dùng bấm vào link, cài đặt phần mềm hay chuyển khoản theo số tài khoản quét ra từ mã QR thì lúc này mới bị mất tiền và bị tấn công, còn hệ thống ngân hàng không tự động bao giờ.

Đại diện Vụ Thanh Toán - Ngân hàng Nhà nước (NHNN) cho biết, với trường hợp mất tiền trong tài khoản khách hàng khi chuyển khoản hay quét mã QR, có thể các nạn nhân đã làm theo hướng dẫn của đối tượng lừa đảo, không cảnh giác khi chuyển tiền cũng như cung cấp cả mã OTP. "Việc này không khác gì mời trộm vào nhà và đưa chìa khóa cho trộm", vị đại diện nói.

Phòng chống lừa đảo ra sao?

Hiện tượng bị lừa đảo thông qua chuyển khoản, thanh toán bằng mã QR (QR code) đã được cảnh báo nhiều lần.

Năm 2024, Công an TPHCM phát đi cảnh báo về chiêu thức lừa đảo quét mã QR. Theo đó, người dùng bỗng dưng nhận được bưu phẩm quà tặng 0 đồng và phiếu cào dự thưởng. Khi người dân cào, tất nhiên trúng giải thưởng giá trị và quy trình đổi thưởng phải quét mã QR code. Khi quét mã QR code có đưa tới đường link lạ và từ đó điện thoại bị xâm nhập, bị chiếm quyền điều khiển và các đối tượng lừa đảo dễ dàng lấy tiền trong tài khoản ngân hàng...

Ngân hàng LPBank mới đây cho biết, các đối tượng lừa đảo đã thay đổi hình thức từ gửi đường link độc hại truyền thống sang gửi mã QR tới khách hàng. Mã QR có thể chèn trực tiếp vào email, tin nhắn mà không bị các bộ lọc chặn lại.

Thủ đoạn là mạo danh cán bộ ngân hàng, cán bộ cơ quan chức năng liên hệ khách hàng và yêu cầu quét mã QR để cung cấp thông tin bảo mật, thông tin cá nhân, hình ảnh căn cước công dân, tài khoản và mật khẩu ngân hàng thông qua các hình thức như sinh trắc học, nhập mã OTP, Smart OTP… dẫn đến việc bị đánh cắp tài khoản.

Tại nhiều cửa hàng, mã QR thường được in và đóng khung đặt trên quầy thanh toán hoặc dán bản sao tại khu vực xung quanh cửa hàng. Kẻ gian lợi dụng sơ hở để dán đè hoặc đặt biển có mã QR của tài khoản giả mạo tại điểm thanh toán để lừa đảo khách hàng và chiếm đoạt tiền chuyển khoản.

"Kẻ gian còn tạo mã QR giả mạo lên hóa đơn, tờ rơi giả mạo nhà hàng, quán ăn, shop online uy tín, quen thuộc… nhằm dụ dỗ, lấy lòng tin người dùng thực hiện quét mã thanh toán. Thậm chí còn gửi tin nhắn hoặc hóa đơn giả mạo đã chuyển khoản thành công và gửi thông tin đến chủ cửa hàng, giống như tin nhắn thật từ ngân hàng; hóa đơn cũng được sửa lại thông tin khiến chủ cửa hàng lầm tưởng giao dịch đã hoàn tất và giao hàng cho kẻ lừa đảo", LPBank nêu các thủ đoạn.

Chuyên gia bảo mật Võ Đỗ Thắng cho hay ngoài việc giả mạo phổ biến là dán đè mã mới lên các QR code ở những điểm công cộng như bệnh viện hay tờ rơi, quảng cáo hoặc thậm chí nơi cửa hàng, kẻ gian có thể gắn đường link giả mạo ẩn dưới logo chính hãng, tên thương hiệu để qua mắt người dùng. Khi người dùng quét QR code sẽ xuất hiện một trang web giả mạo và sẽ có những hướng dẫn tiếp theo để điền thông tin, chuyển khoản. Khi đó có thể tất cả thông tin cá nhân kèm mật khẩu, mã OTP của ngân hàng sẽ bị lộ khiến tiền trong tài khoản bị đánh cắp. Đồng thời, các tài khoản Facebook, địa chỉ mail cũng có thể bị đánh cắp và sẽ phát sinh nhiều hệ lụy lâu dài.

TS. Nguyễn Quốc Hùng - Tổng thư ký Hiệp hội Ngân hàng Việt Nam - thông tin, khi người dân mua bán hàng trực tuyến và nhận mã QR chuyển khoản qua mạng xã hội như Facebook hay zalo... rất dễ bị mất thông tin.

Theo đó, các hacker (tin tặc) đã lấy cắp thông tin từ mã QR đó khiến người chuyển tiền quét mã ra đúng số tài khoản, tên nhưng thực chất tiền đã vào tài khoản người khác.

Đại diện Vụ Thanh toán (NHNN) cho biết, để tránh bị đánh cắp thông tin, chiếm đoạt tài khoản, người dùng không cung cấp thông tin cá nhân, thông tin thẻ, mã OTP/Smart OTP, tên đăng nhập, mật khẩu đăng nhập ngân hàng điện tử cho bất cứ ai, kể cả nhân viên ngân hàng.

Không truy cập vào các ứng dụng, đường dẫn (link) lạ khi nhận được qua email, tin nhắn, mạng xã hội hoặc các cuộc gọi kèm theo việc yêu cầu cung cấp thông tin cá nhân và thông tin truy cập dịch vụ.

Trước khi thực hiện quét mã QR để chuyển tiền, cần thận trọng kiểm tra lại thông tin số tài khoản ngân hàng, tên chủ tài khoản tương ứng với thông tin của chủ của hàng. Cảnh giác với những mã QR được chia sẻ ở những nơi công cộng hoặc thông qua mạng xã hội, email…

Ngoài ra, nên chủ động thực hiện khóa thẻ, khóa tài khoản thanh toán khẩn cấp khi nghi ngờ hoặc phát hiện có dấu hiệu lừa đảo.

Các chuyên gia cũng lưu ý khách hàng cẩn trọng trong mọi giao dịch thanh toán. Đặc biệt, khi quét mã QR code có đưa tới đường link lạ, cần phải kiểm tra kỹ mới quyết định thực hiện các thao tác tiếp theo. Đặc biệt trong tất cả trường hợp liên quan đến tài khoản ngân hàng thì nên đến quầy giao dịch trực tiếp, không nên tin vào bất kỳ cá nhân nào để cung cấp mật khẩu, OTP...