Doanh nghiệp và người lao động cần làm gì để tự bảo vệ trước làn sóng lừa đảo “Quishing”?

Lừa đảo trực tuyến “Quishing” đang trở thành một “cơn sóng ngầm” nguy hiểm trong không gian mạng.

Mã QR (Quick response code - QR code) hiện là một trong những hình thức thanh toán phổ biến tại Việt Nam. Thay vì nhập tên ngân hàng, số tài khoản như trước, người dùng chỉ cần quét là thông tin được tự động điền. Việc liên kết giữa các đơn vị cũng giúp thanh toán QR trở nên đơn giản, khi ứng dụng của ngân hàng này có thể quét QR của bên khác.

Số liệu của Ngân hàng Nhà nước Việt Nam cho thấy, năm 2024, giao dịch qua QR Code tăng tới 104,65% về số lượng và 97,14% về giá trị. Đà tăng trưởng tiếp tục trong 2 tháng đầu năm 2025 với mức tăng 75,54% về số lượng và 196,62% về giá trị so với cùng kỳ.

Tuy nhiên, song hành với sự tiện lợi và phổ biến này là một mối đe dọa ngày càng nghiêm trọng: lừa đảo trực tuyến “Quishing”.

Công an Thành phố Hà Nội đã phát đi cảnh báo về sự bùng phát của hình thức này.

“Quishing”, sự kết hợp giữa “QR code” và “phishing” (lừa đảo), là thủ đoạn sử dụng mã QR độc hại để dẫn dụ nạn nhân truy cập các trang web giả mạo, cài đặt phần mềm độc hại hoặc thực hiện các giao dịch không mong muốn nhằm chiếm đoạt tài sản hoặc thông tin.

Thay vì các đường link đáng ngờ dễ nhận diện, tội phạm mạng khéo léo lợi dụng chính hình ảnh mã QR, một công cụ được đông đảo người dân tin tưởng sử dụng hàng ngày.

Thủ đoạn của tội phạm “Quishing” ngày càng tinh vi và biến hóa đa dạng

Theo Công an Thành phố Hà Nội, một chiêu trò phổ biến là giả mạo mã QR tại các địa điểm công cộng. Kẻ gian thường dán đè mã QR giả lên mã QR thanh toán thật tại các cửa hàng, nhà hàng, điểm đỗ xe, khiến người dùng khi quét sẽ chuyển tiền vào tài khoản của chúng thay vì người bán hàng.

Bên cạnh đó, tội phạm còn gửi mã QR lừa đảo qua thư điện tử hoặc tin nhắn. Chúng giả mạo các tổ chức uy tín như ngân hàng, cơ quan nhà nước, nhà cung cấp dịch vụ, gửi thông báo kèm mã QR yêu cầu người dùng quét để cập nhật thông tin, nhận thưởng, hay xác thực tài khoản, nhưng thực chất mã này lại dẫn đến các trang web lừa đảo nhằm đánh cắp thông tin đăng nhập hoặc trực tiếp yêu cầu chuyển tiền.

Một hình thức khác là in mã QR độc hại lên các sản phẩm hoặc tài liệu giả mạo, ví dụ như bao bì hàng giả, vé số trúng thưởng ảo, tài liệu tuyển dụng không có thật, để dụ dỗ người dùng truy cập các trang web nguy hiểm hoặc khai báo thông tin cá nhân.

Tinh vi hơn cả là thủ đoạn tấn công trung gian (Man-in-the-Middle), nơi kẻ gian can thiệp vào quá trình quét một mã QR hợp lệ, bí mật chuyển hướng người dùng qua một trang web trung gian để thu thập dữ liệu trước khi đưa họ đến trang web đích thực.

Hậu quả nặng nề và nỗi lo thường trực

Hậu quả mà “Quishing” để lại cho nạn nhân là vô cùng nghiêm trọng. Theo cảnh báo từ cơ quan công an, người dùng có thể bị đánh cắp thông tin cá nhân (tên, địa chỉ, số điện thoại, email, tài khoản mạng xã hội, số Căn cước công dân), mất tiền trong tài khoản ngân hàng do bị chiếm đoạt thông tin thẻ tín dụng hoặc thông tin đăng nhập e-banking, thiết bị có thể bị cài mã độc gián điệp, virus hoặc mã độc tống tiền (ransomware). Nghiêm trọng hơn, thông tin cá nhân bị đánh cắp có thể bị sử dụng cho các mục đích lừa đảo khác.

Chị Thu Trang (nhân viên văn phòng tại Bắc Ninh) bày tỏ lo ngại: “Giờ thanh toán QR tiện lợi thật, đi chợ, mua sắm online đều dùng được. Nhưng nghe nói lừa đảo nhiều kiểu tinh vi quá cũng thấy bất an. Mỗi lần quét mã lạ, tôi đều phải kiểm tra rất kỹ tên người nhận, số tiền xem có đúng không rồi mới dám xác nhận. Mình phải tự bảo vệ mình trước thôi”.

Người dân cần kiểm tra kỹ lưỡng trước khi quyết định quét bất kỳ mã QR nào.

Không chỉ người dùng cá nhân, các doanh nghiệp, đặc biệt là các cửa hàng, siêu thị, đơn vị chấp nhận thanh toán QR cũng đối mặt với rủi ro không nhỏ. Việc mã QR tại điểm kinh doanh bị dán đè, thay thế không chỉ gây thiệt hại trực tiếp khi tiền thanh toán của khách hàng bị chuyển sai địa chỉ, mà còn ảnh hưởng nghiêm trọng đến uy tín thương hiệu, gây tâm lý hoang mang, mất lòng tin nơi khách hàng.

Anh Minh Tuấn (chủ một quán cà phê tại quận Cầu Giấy, Hà Nội) chia sẻ: “Từ khi nghe thông tin về chiêu trò dán đè mã QR tại những nơi công cộng để lừa đảo chiếm đoạt tài sản, tôi khá lo lắng. Tôi thường xuyên tự kiểm tra lại mã QR đặt ở quầy thu ngân, dặn dò nhân viên phải để ý xem có dấu hiệu bất thường không. Mất uy tín với khách hàng là điều chúng tôi sợ nhất”.

Chủ động phòng ngừa và ứng phó hiệu quả với “Quishing”

Các cơ quan chức năng và chuyên gia an ninh mạng khuyến cáo người dân và doanh nghiệp cần nâng cao cảnh giác trước thủ đoạn lừa đảo này và thực hiện các biện pháp bảo vệ thông tin nhạy cảm và tài sản.

Đối với người dùng cá nhân (người lao động, người tiêu dùng):

Người dùng cần kiểm tra kỹ lưỡng trước khi quyết định quét bất kỳ mã QR nào. Việc này bao gồm xác minh nguồn gốc, tính hợp lệ của mã, đồng thời phải hết sức cảnh giác với các mã lạ, mã có dấu hiệu bị dán chồng lên mã khác, hoặc mã đặt tại nơi công cộng không có sự giám sát.

Người dùng cũng nên quan sát cẩn thận môi trường xung quanh tại điểm thanh toán để phát hiện dấu hiệu bất thường; đặc biệt cảnh giác với những mã QR đi kèm các lời mời chào, chương trình khuyến mãi quá hấp dẫn hoặc thông tin không rõ ràng, bởi đây có thể là một cái bẫy.

Sau khi quét mã QR, người dùng phải xem xét kỹ lưỡng địa chỉ trang web (URL) mà nó dẫn tới. Hãy đảm bảo đường link bắt đầu bằng "https://" (chứng tỏ kết nối an toàn) và tên miền (domain) chính xác, quen thuộc với tổ chức hoặc doanh nghiệp được đề cập. Tuyệt đối không truy cập vào các địa chỉ website lạ.

Việc bảo mật thông tin cá nhân và tài chính là tối quan trọng. Người dân tuyệt đối không bao giờ cung cấp các thông tin nhạy cảm như số Căn cước công dân, tên đăng nhập, mật khẩu ngân hàng điện tử, mã xác thực OTP/Smart OTP, số thẻ, mã bảo mật CVV/CVC cho bất kỳ ai, dưới bất kỳ hình thức nào (điện thoại, email, mạng xã hội), kể cả khi đối tượng tự xưng là nhân viên ngân hàng. Nên kích hoạt và sử dụng xác thực hai yếu tố cho các tài khoản quan trọng.

Bên cạnh đó, mỗi cá nhân cần cân nhắc kỹ khi cài đặt các ứng dụng không rõ nguồn gốc; đặc biệt cảnh giác với những ứng dụng yêu cầu cấp quá nhiều quyền truy cập vào dữ liệu trên thiết bị như vị trí, danh bạ, máy ảnh, bộ nhớ... Đồng thời, phải thường xuyên cập nhật phần mềm bảo mật và ứng dụng diệt virus trên thiết bị của mình.

Khi thực hiện thanh toán bằng mã QR, người dùng cần xác minh cẩn thận thông tin giao dịch; kiểm tra kỹ lưỡng tên chủ tài khoản và số tài khoản hiển thị trên ứng dụng ngân hàng có trùng khớp với thông tin của người bán hoặc cửa hàng hay không trước khi xác nhận chuyển tiền.

Nếu nghi ngờ mình là nạn nhân của lừa đảo hoặc phát hiện mã QR đáng ngờ, cần báo cáo ngay lập tức cho cơ quan chức năng, ngân hàng đang sử dụng hoặc đơn vị quản lý địa điểm nơi đặt mã QR. Đồng thời chủ động thực hiện các biện pháp khẩn cấp như khóa thẻ, khóa tài khoản thanh toán nếu cảm thấy có rủi ro.

Đối với doanh nghiệp, cửa hàng, đơn vị cung cấp mã QR:

Trước tiên, các doanh nghiệp, đơn vị cần nhận thức rõ trách nhiệm trong việc bảo vệ khách hàng và có những hành động cụ thể để bảo vệ khách hàng và uy tín của mình.

Các chủ cửa hàng, siêu thị cần thực hiện việc rà soát thường xuyên các mã QR thanh toán được đặt tại cơ sở kinh doanh của mình. Việc kiểm tra này nhằm kịp thời phát hiện và gỡ bỏ các mã QR giả mạo có thể đã bị kẻ gian lén lút dán đè lên mã thật.

Song song đó, các đơn vị cung cấp dịch vụ QR và các ngân hàng cần nghiên cứu, triển khai các giải pháp xác minh giao dịch hiệu quả hơn, có khả năng phát hiện và cảnh báo sớm những giao dịch mang dấu hiệu bất thường, đáng ngờ.

Đồng thời, việc tăng cường truyền thông, cảnh báo khách hàng về các thủ đoạn lừa đảo Quishing và hướng dẫn họ cách kiểm tra an toàn khi thực hiện giao dịch qua mã QR cũng là một biện pháp quan trọng.

Có thể thấy, “Quishing” là một mối đe dọa hiện hữu và ngày càng tinh vi trong kỷ nguyên số. Sự tiện lợi của mã QR không thể đánh đổi bằng sự mất cảnh giác. Người lao động, người tiêu dùng và doanh nghiệp cần trang bị kiến thức, tuân thủ các nguyên tắc an toàn cơ bản: luôn nghi ngờ, luôn kiểm tra và xác minh trước khi thực hiện bất kỳ thao tác nào liên quan đến mã QR. Sự cẩn trọng của mỗi cá nhân và sự chủ động của doanh nghiệp chính là lá chắn vững chắc nhất để bảo vệ tài sản và thông tin trong thế giới số đầy cạm bẫy.