Mục lục bài viết

Sự phát triển mạnh mẽ của công nghệ số đã đưa mã QR trở thành một công cụ không thể thiếu trong đời sống hiện đại tại Việt Nam. Từ thanh toán không tiền mặt, truy cập thông tin sản phẩm, đến chia sẻ liên kết mạng xã hội, mã QR mang lại sự tiện lợi và tốc độ vượt trội. Tuy nhiên, sự phổ biến này cũng mở ra một "mặt tối" mới, khi các nhóm tội phạm mạng lợi dụng chính sự tiện lợi đó để thực hiện các hành vi lừa đảo tinh vi. Bài  này đi sâu vào phân tích các thủ đoạn lừa đảo, nhận diện các rủi ro tiềm tàng và cung cấp các phương pháp phòng chống toàn diện, giúp người dùng và doanh nghiệp chủ động bảo vệ tài sản và thông tin của mình.

1. Các thủ đoạn lừa đảo mã QR phổ biến

Trước khi bàn tới các thủ đoạn lừa đảo về mã QR, chúng ta cần hiểu thế nào là mã QR. Về mặt kỹ thuật, một mã QR là một loại mã vạch hai chiều, có khả năng mã hóa một lượng lớn dữ liệu, bao gồm các URL, thông tin liên hệ, hoặc văn bản. Khi một thiết bị thông minh quét mã, nó sẽ giải mã dữ liệu đó và thực hiện hành động tương ứng. Các đối tượng lừa đảo đã lợi dụng cơ chế này để tạo ra các mã QR chứa các liên kết đến các trang web lừa đảo. Mối nguy hiểm nằm ở chỗ, một mã QR được tạo bằng trình tạo mã QR động có thể che giấu URL đích đến. Mã này thường dẫn người dùng đến một URL rút gọn trung gian, và từ đó chuyển hướng đến một trang web lừa đảo. Điều này cho phép kẻ gian thay đổi trang đích bất cứ lúc nào, ngay cả sau khi mã QR đã được in và dán ở nhiều nơi. Đây là một kẽ hở nghiêm trọng so với mã QR tĩnh, vốn có dữ liệu cố định và không thể thay đổi sau khi tạo.   

Các thủ đoạn lừa đảo được phân loại thành hai nhóm chính: tấn công vật lý và tấn công kỹ thuật số. Cả hai nhóm đều được thiết kế để đánh lừa người dùng và khai thác lỗ hổng trong thói quen sử dụng công nghệ hàng ngày.

1.1. Các hình thức tấn công vật lý

Đây là các thủ đoạn tận dụng không gian vật lý để lừa đảo, thường xuất hiện ở các địa điểm công cộng hoặc được gửi qua đường bưu điện.

- Dán đè mã QR tại các điểm thanh toán công cộng:

Đây là một trong những thủ đoạn phổ biến nhất và được Công an tỉnh Bình Thuận, Báo Chính phủ, và các đơn vị khác cảnh báo rộng rãi. Kẻ gian in một mã QR giả và dán chồng lên mã QR thanh toán hợp pháp tại các nhà hàng, cửa hàng, hoặc siêu thị. Khi khách hàng quét mã này để chuyển khoản, số tiền thanh toán sẽ không đến tay chủ cửa hàng mà bị chuyển thẳng vào tài khoản của kẻ gian.  

 - Sử dụng mã QR giả trên các vật phẩm thực:

  • Bưu phẩm và vé số: Kẻ lừa đảo có thể in mã QR giả kèm theo bưu phẩm hoặc vé số giả mạo, thông báo trúng thưởng để người dùng quét mã. Mã này sẽ dẫn đến một trang web giả mạo, nơi người dùng sẽ bị yêu cầu nhập thông tin cá nhân hoặc tài khoản để nhận giải thưởng.  
  • Thẻ "lạ" trên phương tiện hoặc cửa nhà: Một thủ đoạn mới và tinh vi là việc treo các thẻ lạ chứa mã QR trên xe máy, ô tô hoặc cửa nhà. Nếu người dùng tò mò quét mã, điện thoại của họ có thể bị chiếm quyền điều khiển hoặc tự động cài đặt mã độc mà không hay biết.  

Sự kết hợp giữa thủ đoạn vật lý và mối đe dọa kỹ thuật số cho thấy sự thích ứng của tội phạm. Bằng cách sử dụng một vật thể thực tế, chúng có thể vượt qua các lớp bảo mật số như bộ lọc email, trực tiếp tạo ra một "cửa sau" để xâm nhập vào thiết bị của nạn nhân. Sau khi xâm nhập thành công, các mã độc này có thể "nằm vùng" như gián điệp, thu thập thông tin và thực hiện các hành vi lừa đảo phức tạp hơn. 

1.2. Các hình thức tấn công kỹ thuật số

- Lừa đảo qua email và tin nhắn mạo danh:

Kẻ gian gửi mã QR qua email hoặc tin nhắn SMS, mạo danh các tổ chức uy tín như ngân hàng, dịch vụ chuyển phát nhanh hoặc cơ quan thuế. Một sự thay đổi chiến thuật đáng chú ý gần đây là việc chuyển từ nhúng mã QR trực tiếp vào nội dung email sang đính kèm chúng trong các tệp PDF. Điều này khiến các công cụ bảo mật email truyền thống gặp khó khăn hơn trong việc phát hiện và chặn các cuộc tấn công.  

- Lừa đảo chiếm đoạt thông tin cá nhân và tài khoản:

Đây là hình thức lừa đảo tinh vi nhất, không nhằm mục đích chiếm đoạt tiền trực tiếp mà là thu thập thông tin để thực hiện các cuộc tấn công sau đó. Khi người dùng quét mã QR, họ sẽ bị chuyển hướng đến một trang web giả mạo có giao diện giống hệt ngân hàng hoặc một dịch vụ hợp pháp. Tại đây, nạn nhân sẽ được yêu cầu nhập các thông tin nhạy cảm như tên đăng nhập, mật khẩu, số Căn cước công dân, và đặc biệt là mã OTP/Smart OTP. Bằng cách thao túng tâm lý và tạo cảm giác cấp bách, kẻ gian khiến người dùng tự nguyện cung cấp các thông tin này, từ đó chiếm đoạt tài khoản.  

Một điểm quan trọng cần làm rõ là thông tin "quét mã QR tự nhiên tài khoản bay hết tiền" là không chính xác. Kẻ gian không thể tự động rút tiền chỉ bằng một lần quét mã. Toàn bộ quy trình lừa đảo dựa trên việc người dùng bị lừa và tự mình thực hiện các hành động nguy hiểm sau đó, như chuyển khoản hoặc cung cấp mã OTP. Mã QR chỉ là phương tiện để dẫn dắt nạn nhân vào một "màn kịch" lừa đảo đã được chuẩn bị sẵn, nơi mối nguy hiểm lớn nhất nằm ở chính sự chủ quan của nạn nhân.

 

2. Truy cứu tội danh gì khi lừa đảo quét mã QR code để nhận tiền?

Hành vi gửi mã QR code cho người khác với mục đích chiêu dụ họ nhận quà thưởng hoặc tiền mặt, nhưng thực chất lại lợi dụng mã QR code này để xâm nhập vào tài khoản ngân hàng và chiếm đoạt tiền, có thể được xem là một hình thức phạm tội.

Hành vi lừa đảo bằng mã QR code thường có các đặc điểm phù hợp với tội lừa đảo chiếm đoạt tài sản.

  • "Có tổ chức": Nhiều vụ lừa đảo trực tuyến, bao gồm cả lừa đảo qua mã QR code, được thực hiện bởi các đường dây tội phạm có tổ chức. "Phạm tội có tổ chức" là hình thức đồng phạm có sự câu kết chặt chẽ, phân công vai trò tương đối rõ ràng giữa những người cùng thực hiện tội phạm. Các nhóm này thường có cấp trên và cấp dưới, hoạt động có tính chất lâu dài và bền vững. Trong các vụ án lừa đảo trực tuyến, có thể có người chuyên tạo ra mã giả, người chuyên làm giao diện ngân hàng giả mạo và người chuyên nhận tiền lừa đảo. Đây là một tình tiết định khung tăng nặng quan trọng được quy định tại cả Điều 174 và Điều 290 BLHS.  
  • "Dùng thủ đoạn xảo quyệt": Tình tiết này được quy định tại điểm e, khoản 2 Điều 174 BLHS. Theo định nghĩa pháp lý, "thủ đoạn xảo quyệt" là những mánh khóe, cách thức gian dối, thâm hiểm làm cho người bị hại hoặc những người khác khó lường thấy trước được để đề phòng. Hành vi lừa đảo bằng cách dán đè mã QR code giả lên mã thật hoặc sử dụng ảnh chụp màn hình chuyển khoản giả mạo để lừa tiền mặt là ví dụ điển hình cho tính "xảo quyệt" của thủ đoạn này. Sự tinh vi này không chỉ là thủ đoạn gian dối thông thường mà còn thể hiện sự thâm hiểm, đánh lừa cả người cảnh giác. Việc áp dụng tình tiết này có thể nâng mức hình phạt lên Khung 2 của Điều 174, bất kể giá trị tài sản chiếm đoạt có đạt mức định khung hay không. Điều này cho thấy pháp luật đã có cơ chế để xử lý nghiêm minh những hành vi lừa đảo tinh vi, sử dụng công nghệ để gây án.

3. Tác hại của hành vi lừa đảo quét mã QR code để nhận tiền

Hành vi lừa đảo thông qua mã QR code để nhận tiền gây ra nhiều tác hại nghiêm trọng cho cả cá nhân và cộng đồng. Các tác hại cụ thể như sau:

  • Gây thiệt hại về tài sản cho người bị hại: Khi người dùng bị lừa đảo, tiền trong tài khoản ngân hàng của họ có thể bị chiếm đoạt trái phép, dẫn đến mất mát tài chính đáng kể. Mã độc có thể âm thầm theo dõi và thu thập các thông tin cá nhân nhạy cảm của nạn nhân, bao gồm tài khoản ngân hàng, mật khẩu, và mã OTP.   
  • Gây ảnh hưởng đến tâm lý, tinh thần của người bị hại: Những người bị lừa đảo không chỉ mất tiền mà còn trải qua cảm giác lo lắng, bất an và mất niềm tin vào các giao dịch điện tử. Điều này ảnh hưởng xấu đến tinh thần và sức khỏe tâm lý của họ.
  • Làm mất niềm tin của người dân vào các dịch vụ thanh toán điện tử: Các vụ lừa đảo này khiến người dân trở nên e ngại và ít tin tưởng vào các dịch vụ thanh toán qua mạng, ảnh hưởng đến sự phát triển của các dịch vụ này trong tương lai.
  • Gây rối trật tự an ninh mạng: Các hành vi lừa đảo qua mã QR code làm gia tăng tình trạng mất an ninh mạng, khiến các cơ quan chức năng phải đối mặt với nhiều thách thức trong việc bảo vệ người dùng và duy trì trật tự an ninh mạng.

4. Giải pháp phòng ngừa lừa đảo quét mã QR code để nhận tiền

Để bảo vệ bản thân trước mối đe dọa, người dùng cần áp dụng các nguyên tắc phòng ngừa chủ động và có kế hoạch ứng phó khẩn cấp. Các cơ quan chức năng và chuyên gia bảo mật đều khuyến cáo người dân tuân thủ một số nguyên tắc cơ bản để tăng cường cảnh giác.

Nguyên tắc "3 luôn" (Phòng ngừa chủ động):

  • Luôn kiểm tra kỹ nguồn gốc: Trước khi quét mã QR, hãy dành thời gian kiểm tra nguồn gốc của nó. Tại các điểm thanh toán, hãy quan sát kỹ xem mã QR có dấu hiệu bị dán đè, bong tróc, hoặc có màu sắc bất thường hay không. Luôn nghi ngờ các mã QR dán tạm bợ hoặc xuất hiện ở những nơi không phù hợp với bối cảnh.  
  • Luôn xem trước URL trước khi nhấp: Hầu hết các ứng dụng quét mã QR và camera điện thoại thông minh đều hiển thị URL mà mã đó sẽ dẫn đến trước khi bạn nhấn mở. Hãy dành thời gian kiểm tra kỹ lưỡng đường dẫn này. Các trang web an toàn thường bắt đầu bằng "https://" và có biểu tượng khóa trên thanh địa chỉ. Hãy cảnh giác với các lỗi chính tả, tên miền lạ, hoặc các ký tự đáng ngờ. 
  • Luôn cảnh giác với ưu đãi bất thường: Các mã QR hứa hẹn phần thưởng, khuyến mãi hoặc dịch vụ "miễn phí" quá hấp dẫn thường là dấu hiệu của một vụ lừa đảo. Hãy đặt câu hỏi về động cơ của người gửi và mức độ hợp lý của lời đề nghị.  

Nguyên tắc "3 không" (Hành vi an toàn):

  • Không quét mã từ nguồn không rõ ràng: Tránh quét các mã QR được chia sẻ qua mạng xã hội, email, hoặc dán ở các địa điểm công cộng không đáng tin cậy.  
  • Không nhập thông tin cá nhân tùy tiện: Tuyệt đối không nhập các thông tin nhạy cảm như số Căn cước công dân, tài khoản, hoặc mật khẩu vào các trang web từ mã QR nếu bạn không chắc chắn về tính xác thực của chúng.  
  • Không cung cấp mã OTP/Smart OTP cho bất kỳ ai: Mã OTP là lớp bảo mật cuối cùng cho giao dịch. Ngân hàng và các tổ chức uy tín không bao giờ yêu cầu người dùng nhập mã OTP qua đường link lạ hoặc cung cấp cho nhân viên.   

5. Kết luận

Sự tiện lợi của công nghệ vô hình trung đã tạo ra một "điểm yếu" về tâm lý. Tội phạm mạng đã khai thác triệt để điểm yếu này, khiến người dùng trở thành mắt xích yếu nhất trong chuỗi bảo mật. Thay vì tấn công vào các hệ thống kỹ thuật phức tạp, chúng tập trung vào việc thao túng hành vi của con người, biến người dùng thành công cụ để tự mình thực hiện các hành vi sai trái, dẫn đến mất tài sản và thông tin cá nhân.