Tại sao chỉ vì quét mã QR nhận cốc trà sữa miễn phí mà một người bị mất gần 400 triệu đồng?

Hoàng Hải

Kỹ Thuật Viên
Đúng là miếng pho mát miễn phí chỉ có trong bẫy chuột.

Chỉ cần làm một cuộc khảo sát trực tuyến là có thể nhận được một cốc trà sữa miễn phí – món quà quá hời cho bất kỳ ai ưa thích món đồ uống này. Thế nhưng ẩn phía sau chương trình khuyến mại này lại là một cái bẫy tinh vi được giăng ra để đánh lừa người dùng.

Một phụ nữ 60 tuổi đã quét mã QR gắn trên miếng dán của cửa hàng và tải xuống một ứng dụng bên thứ ba vào điện thoại Android của mình để hoàn tất "cuộc khảo sát" này. Nhưng hóa ra đây lại là cốc trà sữa đắt tiền nhất từ trước đến giờ khi nó khiến 20.000 SGD (Dollar Singapore) – khoảng hơn 350 triệu đồng – trong tài khoản ngân hàng của bà không cánh mà bay.

Đáng ngại hơn, người phụ nữ này không phải là nạn nhân duy nhất của trò lừa đảo này. Theo trong tháng 3 vừa qua, lực lượng cảnh sát và cơ quan An ninh mạng Singapore đã nhận thấy sự gia tăng đột biến của hình thức lừa đảo cài đặt ứng dụng chứa malware trên các điện thoại Android.

Tại sao chỉ vì quét mã QR nhận cốc trà sữa miễn phí mà một người bị mất gần 400 triệu đồng? - Ảnh 1.
Tưởng miễn phí, hóa ra cốc trà sữa này lại đắt giá hơn nhiều so với thông thường.
Các cơ quan này cho biết, họ nhận được báo cáo từ ít nhất 113 nạn nhân với tổng cộng số tiền bị thiệt hại lên đến 445.000 SGD. Tất cả đều là nạn nhân từ các vụ lừa đảo cài ứng dụng độc hại vào điện thoại và phần thưởng "trà sữa miễn phí" chỉ là một trong các chiêu trò của những kẻ lừa đảo.

Tại sao quét mã QR lại làm mất tiền trong tài khoản ngân hàng?

Theo ông Beaver Chua, người đứng đầu bộ phận chống gian lận tài chính của Ngân hàng OCBC cho biết, khi nạn nhân quét mã QR, người đó sẽ được nhắc chấp thuận tải xuống một ứng dụng chứa malware và cho phép nó truy cập vào micro và camera trên điện thoại.

Ngoài ra nạn nhân còn được yêu cầu bật Android Accessibility Service – một tính năng hỗ trợ người khuyết tật trên thiết bị Android – nhưng tính năng này cũng cho phép kẻ lừa đảo xem và điều khiển được màn hình của thiết bị nạn nhân.

Tại sao chỉ vì quét mã QR nhận cốc trà sữa miễn phí mà một người bị mất gần 400 triệu đồng? - Ảnh 2.
Quét mã QR để được nhận phần thưởng, hóa ra người dùng đang mở đường cho mã độc len lỏi vào thiết bị của mình.

Sau đó, kẻ lừa đảo sẽ chờ đến khi nạn nhân sử dụng ứng dụng ngân hàng trên điện thoại của mình và ghi lại thông tin đăng nhập cũng như mật khẩu. Bên cạnh đó, kẻ lừa đảo có thể vô hiệu hóa tính năng đăng nhập bằng nhận diện gương mặt hoặc vân tay, để buộc nạn nhân phải gõ mật khẩu khi đăng nhập, cho phép ứng dụng độc hại nói trên ghi lại được thông tin mật khẩu khi đăng nhập.

Thông qua ứng dụng độc hại, kẻ lừa đảo cũng có thể truy cập camera để giám sát hoạt động của nạn nhân và chờ đợi đến thời điểm thích hợp để ra tay. Thông thường sẽ là vào buổi đêm, khi nạn nhân đang ngủ do vậy kẻ lừa đảo có thể chiếm quyền điều khiển điện thoại và thực hiện thao tác thông qua malware mà không bị phát hiện.

Khi đó, kẻ lừa đảo có thể đăng nhập vào ứng dụng ngân hàng trên điện thoại và chuyển tiền ra khỏi tài khoản ngân hàng mà nạn nhân không hay biết.

Tại sao chỉ vì quét mã QR nhận cốc trà sữa miễn phí mà một người bị mất gần 400 triệu đồng? - Ảnh 3.
Chiếm quyền điều khiển thiết bị, những kẻ lừa đảo có thể rút hết tiền trong tài khoản nạn nhân mà không ai hay biết.
Trên thực tế, cách thức này tương tự như việc những kẻ lừa đảo gửi tin nhắn SMS với các đường link chứa mã độc để đánh lừa người dùng click vào tải xuống các ứng dụng độc hại. Tuy nhiên khi việc gửi các đường link độc hại này qua tin nhắn đã trở nên phổ biến và dễ dàng bị phát hiện, việc chúng được giấu đằng sau các mã QR đang khiến chúng trở nên nguy hiểm hơn bao giờ hết.

Ông Chua cho biết: "Trò lừa đảo này vô cùng quỷ quyệt bởi vì những kẻ lừa đảo đã âm thầm chiếm quyền điều khiển điện thoại của nạn nhân. Và bởi vì nạn nhân đã bị mất quyền kiểm soát đối với tài khoản ngân hàng trên internet, thậm chí họ còn không biết khi nào tài khoản tiết kiệm của mình sẽ bị vét sạch."

Để dễ dàng lừa các nạn nhân hơn, kẻ lừa đảo thường gắn mã QR độc hại của chúng ở gần các biển hiệu thanh toán chính chủ. Không chỉ các tiệm trà sữa, ông Chua cho biết những kẻ lừa đảo còn dán hình ảnh mã QR độc hại của chúng lên cột đèn gần đèn giao thông và chờ cá cắn câu.

Thậm chí những kẻ lừa đảo còn có thể lẻn vào trong các tòa nhà văn phòng và âm thầm dán những mã QR chứa mã độc của chúng lên tường tòa nhà, nhằm đánh lừa khách hàng đến làm việc hoặc chính những nhân viên ở đây mà không hay biết. Chính vì vậy, ông Yeo Siang Tiong, tổng giám đốc khu vực Đông Nam Á của công ty an ninh mạng Kaspersky đề nghị các doanh nghiệp nên cảnh giác với những mã QR đáng ngờ được gắn trong cơ sở của họ.

Trong năm 2022 Singapore ghi nhận 31.728 vụ lừa đảo, tăng hơn 30% so với 23.933 vụ được ghi nhận trong năm 2021. Tổng số tiền thiệt hại của các nạn nhân tại Singapore là 660,7 triệu SGD, tăng so với con số 632 triệu SGD trong năm 2021. Như vậy chỉ tính riêng trong 2 năm gần đây, các nạn nhân đã bị thiệt hại hơn 1,3 tỷ SGD.

Tại sao chỉ vì quét mã QR nhận cốc trà sữa miễn phí mà một người bị mất gần 400 triệu đồng? - Ảnh 4.
Ông Beaver Chua, người đứng đầu bộ phận chống gian lận tài chính của Ngân hàng OCBC.
Nguy cơ có thể đến với bất kỳ loại thiết bị nào

Bên cạnh đó, ông Yeo cũng cho biết thêm, do đặc điểm của hệ điều hành Android, các ứng dụng độc hại có thể tìm được cách lừa người dùng cài đặt chúng vào thiết bị để theo dõi hoạt động của người dùng, hoặc tìm kiếm và khai thác lỗ hổng bảo mật trong thiết bị. Trong khi đó điều này trở nên khó khăn hơn trên iPhone do hệ điều hành iOS chỉ cho phép cài đặt các ứng dụng từ cửa hàng Apple App Store.

Nhưng không vì thế mà người dùng iPhone nên mất cảnh giác. Đầu năm 2022, FBI từng phát đi cảnh báo về hành vi lừa đảo khi quét mã QR để thanh toán tiền phí đỗ xe. Thay vì giúp truy cập các ứng dụng hoặc website chính chủ, những người đi mô tô khi quét mã QR sẽ được đưa tới website giả mạo để ghi lại thông tin thẻ tín dụng.
 
Bên trên