Việc quét mã QR xấu có thể khiến bạn mất tiền như thế nào?
Bạn có quét mã QR ở nơi công cộng không? Chúng rất thuận tiện cho việc mở liên kết và thực hiện thanh toán, nhưng chúng cũng có phần rủi ro khá lớn. Do gần đây, đã xuất hiện nhiều chiêu trò lừa đảo, tấn công để cướp tiền của bạn qua QR code.
“Quishing” là một thuật ngữ quốc tế có gốc từ ghép của "QR" và "lừa đảo".
Quishing là khi kẻ lừa đảo thực hiện hành vi lừa đảo thông qua mã QR, mã này sẽ kích hoạt khi bạn quét mã đó.
Quishing rất nguy hiểm vì hầu hết không coi trọng việc quét mã QR. Do đó, nhiều khả năng chúng ta sẽ làm theo hướng dẫn của mã QR, hướng tới bất kỳ URL hoặc dịch vụ nào mà mã QR liên kết tới. Cảm giác an toàn giảm sút cho phép những kẻ lừa đảo tấn công các khu vực nơi mọi người sử dụng mã QR để thanh toán. Kẻ lừa đảo nghiên cứu trang web mà mã QR liên kết đến, tạo bản sao và sau đó thay thế mã QR hợp pháp để trỏ đến trang web nhân bản của chúng.
Khi nạn nhân quét mã QR giả, họ sẽ được đưa đến trang web giả mạo và tin rằng họ đang truy cập một trang web hợp pháp. Trang web giả mạo yêu cầu thông tin cá nhân, bao gồm cả thông tin thanh toán. Sau khi những kẻ lừa đảo nắm giữ những thứ đó, chúng có thể thực hiện một cuộc mua sắm bằng tài khoản ngân hàng của nạn nhân.
3 ví dụ về tấn công Quishing
Trên thế giới, Việc bị đánh cắp hàng ngàn đô la từ việc quét mã QR xấu nghe có vẻ như viễn tưởng nhưng lại rất thực tế. Dưới đây là một số vectơ tấn công phổ biến hơn mà kẻ lừa đảo sử dụng.
1. Tấn công đồng hồ đỗ xe và điểm sạc
Một số đồng hồ đỗ xe ô tô và điểm sạc sử dụng mã QR như một phần của quy trình thanh toán. Để thanh toán phí, bạn quét mã hướng bạn đến trang web thanh toán hoặc ứng dụng để tải xuống.
Những kẻ lừa đảo chiếm đoạt các mã QR này bằng cách dán phiên bản độc hại của chúng lên trên phiên bản gốc. Khi ai đó đến trả tiền đậu xe hoặc tiền điện, họ sẽ quét ứng dụng, nhập chi tiết thanh toán của họ vào trang web hoặc ứng dụng giả mạo và vô tình gửi cho những kẻ lừa đảo.
Có vẻ phi thực tế khi mọi người có thể mất hàng nghìn đô la vì những trò lừa đảo này, nhưng điều đó đã từng xảy ra trước đây. Theo báo cáo của ITV, một người đã mất 13.000 bảng Anh (16.500 USD) sau khi quét mã QR sai trên máy đỗ xe.
2. Tấn công mã QR qua email
Đôi khi, những kẻ lừa đảo sẽ gửi email có đính kèm mã QR. Kẻ lừa đảo sẽ thuyết phục bạn quét nó; ví dụ: họ có thể nói rằng đó là để tải xuống một ứng dụng quan trọng hoặc tuyên bố là cơ quan thực thi pháp luật yêu cầu thanh toán. Khi nạn nhân quét mã QR, họ sẽ được dẫn đến một trang web hoặc ứng dụng giả mạo yêu cầu thông tin thẻ tín dụng của họ.
HP Threat Research báo cáo rằng phương thức tấn công này đã tăng đột biến ở Trung Quốc vào năm 2022 với một email tuyên bố người nhận được hưởng trợ cấp của chính phủ. Quá trình này yêu cầu người dùng cung cấp thông tin thẻ tín dụng đầy đủ của họ, bao gồm chi tiết về số dư hiện tại của họ.
3. Trình tạo mã QR giả
Trong một số trường hợp, kẻ lừa đảo thiết lập trình tạo mã QR giả để lừa mọi người. Điều này thường xảy ra khi mọi người có thể sử dụng mã QR để yêu cầu thanh toán vì những kẻ lừa đảo có thể lẻn vào tài khoản của họ thay vì những người tạo ban đầu.
Một hãng bảo mật đã báo cáo một ví dụ trong đó một số trang web thiết lập trình tạo mã QR giả cho ví Bitcoin. Trang web đã yêu cầu người dùng cung cấp ID ví và hứa sẽ tạo mã QR mà người thanh toán có thể dễ dàng quét và sử dụng khi trên thực tế, mã này trỏ đến ví Bitcoin của chính kẻ lừa đảo.
Mời bạn xem tiếp phần sau của bài viết “Cách kiểm tra mã QR code có an toàn không?” tại đây.
Hương
TIN CÙNG CHUYÊN MỤC
7 lưu ý nhỏ nhưng cải thiện cuộc sống hi...
Có nên dùng ChatGPT tóm tắt văn bản, tài...
Khi nào thì cần mua laptop mới? Dấu hiệu...
Lý do trời càng nóng tiền điện càng tăng...
Hãy quét và xóa thư khi thấy 6 cụm từ ng...
Lưu ý cho người dùng điện thoại mùa nắng...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Hoạt động tội phạm mạng trên nền tảng Telegram tăn...
- Kaspersky: Cứ 5 người Việt Nam thì có 1 người từng...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Liệu công cụ kiểm tra nội dung AI có đáng tin khôn...
- Công cụ AI tạo sinh được bổ sung thêm trên Microso...
- Máy tính liên tục khởi động lại vì bản cập nhật Wi...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Phát hiện lỗi lạ gây ra hiệu suất thiếu ổn định tr...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...