Mã QR - mồi câu "xịn" của giới tin tặc

Trước đây, người dùng có thể đã nhìn thấy mã QR trong một cuộc triển lãm bảo tàng và quét nó để tìm hiểu thêm về lịch sử.

Tuy nhiên, khi mã QR trở nên thông dụng trong cuộc sống hàng ngày, từ thẻ lên máy bay đến thanh toán phí đỗ xe, tin tặc đã lợi dụng sự phổ biến của chúng để thực hiện các hành vi phạm pháp.

Ông Dustin Brewer, Giám đốc cấp cao về dịch vụ an ninh mạng chủ động tại công ty an ninh mạng BlueVoyant, cho biết giống như nhiều tiến bộ công nghệ bắt đầu với ý định tốt đẹp, mã QR ngày càng trở thành mục tiêu cho các hành vi sử dụng độc hại.

Vì mã QR ở khắp mọi nơi, từ cây xăng, biển báo sân vườn đến quảng cáo trên truyền hình, nên chúng vừa hữu ích vừa nguy hiểm, Theo ông Brewer, những kẻ tấn công khai thác những biểu tượng tưởng chừng vô hại này để lừa mọi người truy cập các trang web độc hại hoặc vô tình chia sẻ thông tin cá nhân, một hình thức lừa đảo được gọi là "quishing".

Sự gia tăng của các vụ lừa đảo mã QR đã khiến Ủy ban Thương mại Liên bang Mỹ phải đưa ra cảnh báo vào đầu năm 2025 về các gói hàng không mong muốn hoặc bất ngờ xuất hiện mã QR mà khi quét "có thể dẫn người dùng đến một trang web lừa đảo đánh cắp thông tin cá nhân của họ, chẳng hạn như số thẻ tín dụng hoặc tên người dùng và mật khẩu. Mã QR cũng có thể tải phần mềm độc hại xuống điện thoại của người dùng và cho phép tin tặc truy cập vào thiết bị của họ.

Ông Gaurav Sharma, Giáo sư khoa kỹ thuật điện và máy tính tại Đại học Rochester, cho biết những kẻ lừa đảo có thể dán mã QR giả ở cửa hàng, bãi đỗ xe... và lợi dụng việc người dùng đang vội vã và cần thực hiện nhanh các hoạt động thanh toán...

Ông Sharma dự đoán các vụ lừa đảo mã QR sẽ gia tăng khi việc sử dụng mã QR ngày càng phổ biến. Một lý do khác khiến mã QR ngày càng phổ biến trong phương thức lừa đảo của các đối tượng xấu là ngày càng có nhiều biện pháp bảo vệ được áp dụng để ngăn chặn những chiến dịch lừa đảo qua thư điện tử (email) truyền thống. Một nghiên cứu năm 2025 của nền tảng an ninh mạng KeepNet Labs cho thấy 26% tổng số liên kết độc hại hiện được gửi qua mã QR. Công ty an ninh mạng NordVPN cho biết 73% người Mỹ quét mã QR mà không cần xác minh, và hơn 26 triệu người đã bị chuyển hướng đến các trang web độc hại.

Theo một nghiên cứu được công ty an ninh mạng Malwarebytes hoàn thành vào đầu năm 2025, lừa đảo mã QR có khả năng tấn công cả thiết bị của Apple và những sản phẩm sử dụng hệ điều hành Android, nhưng người dùng điện thoại thông minh iPhone có thể dễ trở thành nạn nhân hơn một chút. Người dùng iPhone thể hiện sự tin tưởng vào thiết bị của họ nhiều hơn so với người dùng Android và điều này có thể khiến họ mất cảnh giác. Ví dụ, 70% người dùng iPhone đã quét mã QR để bắt đầu hoặc hoàn tất giao dịch mua hàng, so với 63% người dùng Android đã làm điều tương tự.

Theo nhà nghiên cứu David Ruiz của Malwarebytes, niềm tin nói trên có thể dẫn tới những hậu quả đáng lo ngại khi người dùng iPhone không cảm thấy cần phải thay đổi hành vi khi mua hàng trực tuyến và họ ít quan tâm (hoặc đơn giản là không biết) đến việc sử dụng các biện pháp an ninh mạng bổ sung, chẳng hạn như phần mềm diệt virus. 55% người dùng iPhone tin tưởng vào mức độ bảo mật của thiết bị của họ, cao hơn so với con số 50% của người dùng Android.

Mã QR nguy hiểm hơn email lừa đảo truyền thống vì người dùng thường không thể đọc hoặc xác minh địa chỉ web được mã hóa. Mặc dù mã QR thường bao gồm văn bản có thể đọc được, nhưng kẻ tấn công có thể sửa đổi văn bản này để lừa người dùng tin tưởng vào liên kết và trang web mà nó dẫn đến. Cách phòng thủ tốt nhất là không quét các mã QR lạ và hãy tìm những mã hiển thị địa chỉ URL khi người dùng quét.

Ông Brewer cho biết tội phạm mạng cũng đã và đang lợi dụng mã QR để xâm nhập vào các mạng lưới quan trọng. Và một trong những khía cạnh nguy hiểm nhất của mã QR là việc chúng là một phần của cuộc sống hàng ngày, một mối đe dọa an ninh mạng tiềm ẩn ngay trước mắt.