Bạn có lo lắng rằng việc quét một mã QR đơn giản có thể làm lộ dữ liệu tài chính của bạn không? Khi các khoản thanh toán này trở thành tiêu chuẩn toàn cầu, những kẻ lừa đảo sử dụng mã bị giả mạo để chuyển hướng tiền và đánh cắp danh tính. Hướng dẫn này khám phá các mối đe dọa phổ biến và cung cấp các bước thực tế cho doanh nghiệp và người tiêu dùng để bảo mật mọi giao dịch.
Các Rủi ro Phổ biến và Chiến thuật Lừa đảo
Mặc dù mã QR về cơ bản là các liên kết trực quan, nhưng bản chất "mù" của chúng khiến chúng trở thành công cụ chính cho tội phạm mạng vì đích đến bị ẩn cho đến khi quá trình quét hoàn tất. Một trong những mối đe dọa phổ biến nhất là quishing, hay lừa đảo QR, nơi kẻ tấn công nhúng các URL độc hại vào mã được gửi qua email hoặc đăng ở nơi công cộng. Các liên kết này thường dẫn đến các trang web giả mạo được thiết kế để thu thập thông tin đăng nhập ngân hàng hoặc thông tin cá nhân của bạn.
Can thiệp vật lý là một rủi ro đáng kể khác, đặc biệt là trong môi trường bán lẻ có lưu lượng truy cập cao. Những kẻ lừa đảo có thể dán nhãn dán độc hại lên các mã QR hợp pháp trên đồng hồ đỗ xe, bàn nhà hàng hoặc máy bơm xăng để chuyển hướng thanh toán đến tài khoản của chúng. Ngoài ra, các trang thanh toán giả mạo có thể bắt chước các nhà cung cấp đáng tin cậy như PayPal hoặc Venmo để thu thập các khoản thanh toán “được ủy quyền” cho các dịch vụ không bao giờ được thực hiện. Trong những trường hợp nghiêm trọng hơn, một lần quét bị xâm phạm có thể kích hoạt việc tải xuống phần mềm độc hại một cách âm thầm, đánh cắp dữ liệu phiên và dẫn đến việc chiếm đoạt tài khoản hoàn toàn.
Tác động của các vụ lừa đảo QR tại Hoa Kỳ.
Quy mô của các mối đe dọa này đang tăng nhanh cùng với sự phổ biến của công nghệ không tiếp xúc. Nghiên cứu chỉ ra rằng gần 21% tổng số mã QR được quét là độc hại, và quishing chiếm 51% tổng số cuộc tấn công lừa đảo vào năm 2023. Với số lượt quét QR tăng 433% trong bốn năm qua, số lượng mục tiêu tiềm năng lớn hơn bao giờ hết. Mặc dù vậy, khoảng 34% người tiêu dùng vẫn không lo lắng về những rủi ro này, và 60% không nhận thức được những nguy hiểm liên quan đến việc quét các mã không xác định.
Hậu quả tài chính đối với các doanh nghiệp cũng không kém phần đáng kinh ngạc. Các vụ vi phạm dữ liệu có thể dẫn đến thiệt hại hàng triệu đô la, với các sự cố lừa đảo gây thiệt hại trung bình 1.500 đô la cho mỗi nhân viên. Các doanh nghiệp nhỏ và ngành dịch vụ thường bị ảnh hưởng nặng nề nhất, vì họ có thể thiếu cơ sở hạ tầng an ninh mạng mạnh mẽ như ở các tập đoàn lớn hơn. Điều này làm cho việc cả cá nhân và tổ chức hiểu cách xác minh các đích đến kỹ thuật số mà họ gặp phải là điều cần thiết.
Các Bước Bảo mật Thiết yếu cho Người tiêu dùng
Bảo vệ bản thân bắt đầu bằng tư duy “quét-thứ hai”. Ngay cả trước khi bạn mở camera, hãy kiểm tra vật lý mã. Tìm kiếm các dấu hiệu giả mạo, chẳng hạn như các cạnh bị nhô lên, nhãn dán bị bong tróc, hoặc mã QR trông mờ hoặc căn chỉnh kém so với văn bản nền. Bạn nên tránh quét các mã không được yêu cầu tìm thấy trên các gói hàng hoặc được gửi qua tin nhắn văn bản không mong muốn, vì đây là những phương pháp phân phối phổ biến cho các vụ lừa đảo gói hàng.
Trong quá trình quét, tốt nhất là sử dụng một máy quét mã QR an toàn cung cấp bản xem trước URL. Điều này cho phép bạn xác minh rằng đích đến sử dụng HTTPS và tên miền được viết đúng chính tả trước khi bạn truy cập trang web. Bạn nên từ chối ngay lập tức bất kỳ lời nhắc nào yêu cầu thanh toán khẩn cấp hoặc chi tiết đăng nhập nhạy cảm để “mở khóa” một dịch vụ. Sau một giao dịch, bạn nên theo dõi tài khoản của mình để tìm các khoản phí trái phép và đảm bảo rằng bảo mật ví di động các tính năng, chẳng hạn như xác thực đa yếu tố, đang hoạt động.
Cách Doanh nghiệp có thể Bảo mật Luồng Thanh toán
Đối với các nhà bán lẻ, lựa chọn giữa công nghệ tĩnh và động là tuyến phòng thủ đầu tiên. Mã tĩnh nhúng thông tin trực tiếp vào mẫu và không thể thay đổi sau khi in. Ngược lại, mã QR động sử dụng một liên kết chuyển hướng, cung cấp một lớp bảo mật và tốc độ bằng cách cho phép bạn cập nhật URL đích hoặc vô hiệu hóa hoàn toàn mã nếu bạn phát hiện hoạt động đáng ngờ.
Bảo vệ doanh nghiệp của bạn ngay hôm nay. Sử dụng một chuyên gia trình tạo mã QR để tạo các mã động có thể được theo dõi, chỉnh sửa hoặc vô hiệu hóa ngay lập tức nếu nghi ngờ gian lận.
Ngoài việc chọn đúng loại mã, các doanh nghiệp nên tập trung vào các biện pháp kiểm soát sau:
- Cá nhân hóa mã của bạn bằng cách kết hợp thương hiệu như logo và màu sắc, điều này khiến chúng khó bị kẻ lừa đảo làm giả hơn nhiều bằng các lớp phủ đen trắng chung chung.
- Bảo vệ dữ liệu nhạy cảm bằng cách đảm bảo tất cả thông tin được truyền đi được bảo mật thông qua mã hóa, mã hóa dữ liệu thành các định dạng không thể đọc được nếu không có khóa cụ thể.
- Thực hiện kiểm tra hàng ngày các biển báo vật lý để kiểm tra nhãn dán và đảm bảo tất cả các mã được đặt ở những khu vực được giám sát, đủ ánh sáng.
- Tuân thủ hướng dẫn tuân thủ PCI-DSS để bảo vệ dữ liệu chủ thẻ trong toàn bộ vòng đời giao dịch.
Ứng phó sự cố: Cần làm gì nếu bị xâm phạm
Nếu bạn nghi ngờ mình đã quét một mã độc hại hoặc mã của doanh nghiệp bạn đã bị giả mạo, tốc độ là yếu tố quan trọng nhất để hạn chế thiệt hại. Người tiêu dùng nên liên hệ ngay với các tổ chức tài chính của mình để đóng băng thẻ và thay đổi mật khẩu cho bất kỳ tài khoản nào được truy cập thông qua lần quét đáng ngờ. Việc chạy quét phần mềm độc hại trên thiết bị di động của bạn cũng hữu ích để đảm bảo không có cấu hình độc hại nào được cài đặt.
Các doanh nghiệp phải xác định mã cụ thể nào bị ảnh hưởng và thay thế chúng bằng mã an toàn, mã QR dựa trên liên kết. Khi mối đe dọa được vô hiệu hóa, điều quan trọng là phải thông báo cho bất kỳ khách hàng nào có khả năng bị ảnh hưởng để duy trì sự minh bạch và tin cậy. Báo cáo gian lận cho các cơ quan như Trung tâm Khiếu nại Tội phạm Internet (IC3) của FBI hoặc FTC giúp các nhà chức trách theo dõi các xu hướng này và bảo vệ những người dùng khác khỏi trở thành nạn nhân của các vụ lừa đảo tương tự.
Để đi trước các hành vi gian lận đòi hỏi phải kết hợp các biện pháp bảo vệ kỹ thuật hiện đại với sự cảnh giác của con người. Bằng cách chọn mã động, có thương hiệu và xác minh mọi URL trước khi tương tác với nó, bạn có thể tận hưởng sự tiện lợi của công nghệ không tiếp xúc mà không gặp rủi ro không cần thiết. Để bắt đầu xây dựng trải nghiệm thanh toán an toàn hơn, hãy khám phá bộ công cụ bảo mật của chúng tôi và kiểm soát các điểm tiếp xúc kỹ thuật số của bạn.
Câu hỏi thường gặp
Có, mã QR có thể chuyển hướng trình duyệt di động của bạn đến một trang web kích hoạt tải xuống tự động “drive-by”. Các trang web này cũng có thể nhắc bạn cài đặt các cấu hình độc hại cấp quyền truy cập cho kẻ tấn công vào dữ liệu phiên và tệp cá nhân của thiết bị của bạn.
Tìm các dấu hiệu “nhãn dán chồng nhãn dán”, nơi một mã gian lận đã được dán chồng lên một mã hợp pháp. Nếu mã có cảm giác nổi lên, trông hơi cong hoặc có các đường viền khác với phần còn lại của biển báo, đó có thể là một lớp phủ độc hại.
Mã QR động cho phép giám sát và phân tích theo thời gian thực. Nếu một doanh nghiệp nhận thấy các lượt quét đến từ các vị trí địa lý không mong muốn hoặc vào những thời điểm bất thường, họ có thể vô hiệu hóa hoặc cập nhật liên kết đích ngay lập tức mà không cần in lại tài liệu vật lý.
