Mã QR độc hại: Làm thế nào để tránh chúng

Bạn có thể tìm thấy mã QR trên mọi thứ ngày nay, từ menu nhà hàng đến quảng cáo trạm xe buýt, nhưng quá nhiều của một điều tốt cũng đi kèm với những rủi ro, trong trường hợp này, đó là mã QR độc hại.

Với tất cả những đặc tính kỳ diệu của công nghệ mã QR, chúng không tránh khỏi việc bị can thiệp. Và giống như mã QR không phải là điều gì mới, thì tội phạm mạng cũng không phải là điều mới.

Mã QR trong tay của những người không đúng có thể trở thành cổng vào các hình thức lừa đảo quishing, tải xuống phần mềm độc hại và thậm chí là trộm cắp tài chính. Những hình vuông dường như vô hại này có thể chứa một thế giới thông tin — hoặc một cơn ác mộng về an ninh mạng.

Trong bài viết này, chúng tôi sẽ giúp bạn khám phá bí mật của các mã QR gian lận và trang bị cho bạn công cụ tạo mã QR tốt nhất để bạn có thể sử dụng mã QR mà không cần lo lắng về việc bảo vệ dữ liệu của mình.

Cái gì? mã QR độc hại ?

Mã QR có thể là cổng thông tin tiện lợi, nhưng các đối tượng xấu có thể lợi dụng chúng và dẫn bạn vào một hành trình kỹ thuật số sai lầm. Giống như bất kỳ công nghệ nào khác, mã QR cũng có thể bị lạm dụng vì những lý do không đúng đắn.

Cái đó thế nào? Ví dụ, bạn có thể quét một mã giảm giá mã QR phiếu giảm giá Chỉ để dẫn bạn đến một trang web giả mạo được thiết kế để đánh cắp thông tin thẻ tín dụng của bạn. Hoặc một trò chơi mã QR dường như vô tội có thể tải xuống phần mềm độc hại để gián điệp mọi hành động của bạn.

Những rủi ro của mã QR là gì?

Mặc dù mã QR không nguy hiểm theo bản chất, nguy cơ gây hại nằm ở ý định của những kẻ xấu và nơi họ dự định dẫn bạn đến.

Dưới đây là những nguy hiểm chính cần chú ý:

Sự lan truyền của phần mềm độc hại

Một 2024 Thống kê việc sử dụng mã QR Báo cáo của QR TIGER cho biết có 26,95 triệu lượt quét trên toàn thế giới, với mã QR URL là giải pháp mã QR được sử dụng rộng rãi nhất với tỷ lệ 47,68%.

Một mã QR chứa địa chỉ URL có vẻ chính thống có thể chứa một liên kết mã hóa mà tự động tải phần mềm độc hại - bất kỳ chương trình nào được thiết kế để gây hại một cách cố ý - vào thiết bị của bạn mà không cần bạn nhận ra.

Đôi khi liên kết dẫn bạn đến các trang web bắt chước các trang đăng nhập thực sự (ví dụ, "eBay" trở thành "eBuy") và đánh cắp thông tin đăng nhập của bạn sau khi bạn nhập chúng.

Mã QR lừa đảo tấn công

Khác với email truyền thống, mã QR mở ra cơ hội vàng cho những kẻ lừa đảo tận dụng; vì đích đến được nhúng trong mã không thể nhìn thấy bằng máy quét, nguy cơ tiềm ẩn được che giấu ngay từ cái nhìn đầu tiên.

Mã QR lừa đảo hoặc quishing đặc biệt nhắm vào người dùng di động, giả mạo thành một chiến dịch tiếp thị di động chẳng hạn. Những người không biết trước có thể bị lừa để nhập thông tin nhạy cảm như mật khẩu.

Sử dụng bảo vệ chống trộm danh tính Công cụ có thể giúp bảo vệ thông tin cá nhân của bạn nếu nó rơi vào tay sai

Các vụ lừa đảo liên quan đến tiền điện tử

Một cách khác mà những kẻ lừa đảo có thể lợi dụng mã QR là bằng cách xâm nhập vào lĩnh vực tiền điện tử.

Kẻ lừa đảo có thể hiển thị một mã QR đưa bạn đến một trang web được thiết kế để trông giống như một trang web thật sự tiền điện tử trang web giả mạo hoặc ví. Một khi bạn truy cập vào các trang web giả mạo, bạn có thể bị yêu cầu nhập thông tin đăng nhập hoặc khóa riêng tư, cho phép kẻ lừa đảo truy cập vào số dư tiền điện tử thực sự của bạn.

Cách dễ nhận biết các dấu hiệu đỏ của mã QR nguy hiểm

Chất lượng bị méo

Khi bạn nhận thấy các mã QR thiết kế kém chất lượng, chuông báo động nên vang lên trong đầu bạn. Hãy nghĩ đến các yếu tố mờ, pixel hoặc bị méo mó khiến việc quét trở nên khó khăn, vì điều này có thể là dấu hiệu của sự can thiệp.

Nhìn chung, các công ty và tổ chức đáng tin cậy dành thời gian và tiền bạc để tạo ra mã QR chất lượng cao, vì vậy hãy đánh giá mã bằng bề ngoài của nó để tránh quét các mã không đáng tin cậy.

Tinh thần cấp bách

Kẻ lừa đảo thường áp đặt bạn phải hành động nhanh chóng bằng cách tạo ra cảm giác khẩn cấp giả tạo. Tốt nhất là cẩn thận khi gặp mã QR liên quan đến các cụm từ như "ưu đãi có hạn" hoặc "hành động ngay!" khuyến khích bạn quét mà không suy nghĩ.

Đường dẫn đáng ngờ

Hãy nhớ rằng các trang web đáng tin cậy và an toàn thường bắt đầu bằng 'https://' tiếp theo là tên miền và biểu tượng khóa trong thanh địa chỉ.

Hãy cẩn thận hơn với các tên miền bị viết sai chính tả để giống với tên thương hiệu hoặc URL hợp pháp hiện có, vì đây là một chiêu lừa phổ biến mà các kẻ lừa đảo sử dụng để che giấu URL giả mạo.

Một số ví dụ về các miền cấp cao (TLD) thường đáng tin cậy bao gồm: ".com" (tức là "thương mại"), ".org" (tức là "tổ chức"), ".gov" (tức là "chính phủ"), và ".edu" (tức là "giáo dục").

Ngoài ngữ cảnh

Nhớ: bối cảnh và vị trí.

Nếu bạn tìm thấy một mã QR ở những nơi lạ và ngẫu nhiên, đặc biệt là ở nơi công cộng, như trên cột đèn hoặc dán trên tường nhà vệ sinh, điều này thường là một dấu hiệu đỏ sáng.

Những mã QR tiềm ẩn nguy hiểm này đòi hỏi một lượng hoài nghi khỏe mạnh và bạn phải tự hỏi, "Mã QR này có vẻ lạ không?" Điều này có thể giúp bảo vệ cả thiết bị và dữ liệu của bạn một cách hiệu quả.

Quá tốt để tin được

Nếu bạn truy cập vào một trang web cung cấp sản phẩm miễn phí hoặc tiền sau khi quét mã QR của nó, có khả năng đó là quá tốt để tin được.

Mã QR đáng ngờ thường hứa hẹn mang đến cho bạn những điều tuyệt vời như sao và mặt trăng nhưng không có gì đổi lại. Vì vậy, nếu một mã QR có vẻ hơi đáng ngờ, thì tốt nhất là nên cẩn thận hơn là nhấp vào một liên kết độc hại và đối mặt với những hậu quả không cần thiết.

Cách để bảo vệ an toàn cho bản thân mã QR độc hại

Cẩn thận

Hãy quét mã QR từ nguồn tin cậy càng nhiều càng tốt. Kiểm tra trên các trang web chính thức, bao bì sản phẩm hoặc quảng cáo từ các công ty uy tín.

Hãy cố gắng tránh những gì bạn tìm thấy trong không gian công cộng. Nếu sự tò mò chi phối bạn, bạn có thể tự nhập URL nhúng vào trình duyệt web của mình, để bạn có thể kiểm tra xem có bất kỳ không bình thường nào trong địa chỉ web.

Khi nghi ngờ

Hãy nghĩ về một mã QR như một tờ rơi cô đơn bay trong một con phố trống rỗng. Bạn không nên mù quáng theo đuổi nó với hy vọng tìm được tài sản bí mật, phải không? Điều tương tự cũng có thể nói với các mã QR đáng ngờ.

Huấn luyện mắt của bạn để tìm kiếm bất kỳ dấu hiệu đỏ nào - mã QR mờ hoặc in kém chất lượng, bị hỏng bất kỳ cách nào, hoặc với điểm đến không rõ ràng. Khi nghi ngờ, hãy vứt mã đó đi!

Sử dụng máy quét an toàn

Có nhiều ứng dụng quét mã QR an toàn có thể hiển thị thông tin giải mã trước khi mở nó (ví dụ, một URL trang web) và thường có thể phát hiện các URL đáng ngờ.

Tin tốt là bạn không cần một ứng dụng phức tạp, đắt tiền để quét một cách tự tin. Ví dụ, QR TIGER có một ứng dụng di động cho phép bạn tạo mã QR miễn phí và quét mã một cách an toàn.

Xem xét phần mềm diệt virus

Trong một thế giới ưa thích sự tiện lợi, Bảo mật mã QR đang trở thành ưu tiên ngay lập tức.

Đây là nơi mà phần mềm diệt virus bước vào, hoạt động như hiệp sĩ được giao nhiệm vụ canh gác thiết bị của bạn và bảo vệ nó cho đến hơi thở cuối cùng.

Nếu mã QR chuyển hướng bạn đến một trang web độc hại, anh hùng phần mềm diệt virus của bạn sẽ ngăn bạn trở thành nạn nhân của một cuộc tấn công lừa đảo có thể gây nguy hiểm cho hệ thống của bạn và tiết lộ dữ liệu của bạn.

Bình thường Quét virus trên Mac có thể giúp đảm bảo rằng thiết bị của bạn được bảo vệ khỏi những mối đe dọa tiến triển, bao gồm cả những mối đe dọa ẩn trong mã QR.

Học hỏi bản thân và người khác

Dòng phòng thủ đầu tiên là hiểu cách mà kẻ ác ảo hoạt động. Quan trọng là trang bị cho bản thân thông tin về những nguy cơ tiềm ẩn của mã QR và truyền cảm hứng cho những người xung quanh bạn.

Khuyến khích họ cẩn thận, luôn xác minh nguồn thông tin và xem trước URL trước khi quét để bảo vệ bản thân và mọi người khỏi Các trò lừa đảo QR code và lo lắng.

Các trường hợp lừa đảo dựa trên mã QR trong đời thực

Chiến dịch quishing nhắm vào chính phủ (2026)

Cục Điều tra Liên bang Mỹ (FBI) cảnh báo rằng các hacker được hậu thuẫn bởi chính phủ Triều Tiên đang sử dụng mã QR độc hại trong các chiến dịch spear-phishing.

Nhóm này, được theo dõi dưới tên Kimsuky (còn được gọi là APT43, Black Banshee, Emerald Sleet, Springtail, TA427 và Velvet Chollima), liên kết với Cục Tình báo Trinh sát Chung của Bắc Triều Tiên (RGB).

Nó nhắm vào các trung tâm nghĩ, các cơ sở giáo dục và các cơ quan chính phủ bằng cách nhúng mã QR vào các email gian lận. Những mã này đẩy nạn nhân từ hệ thống làm việc an toàn sang thiết bị di động cá nhân, nơi bảo vệ thường yếu hơn.

Các cuộc tấn công được báo cáo bao gồm mã QR:

• Được đặt dưới dạng bảng câu hỏi từ các cố vấn nước ngoài
• Được cho là liên kết đến "ổ đĩa an toàn" từ nhân viên đại sứ quán
• Chuyển hướng người dùng đến trang đăng ký hội nghị giả mạo được thiết kế để lấy thông tin đăng nhập tài khoản Google

Theo FBI, những cuộc tấn công này thường dẫn đến việc đánh cắp mã thông báo phiên, cho phép kẻ tấn công vượt qua xác thực đa yếu tố và có quyền truy cập liên tục vào các tài khoản bị xâm nhập.

Lừa đảo thẻ giao dịch giả mạo của Travis Kelce (2026)

Kẻ lừa đảo đã bắt đầu gửi thẻ thương mại thể thao không được yêu cầu mà có vẻ như đã được ký bởi Travis Kelce, cầu thủ chơi ở vị trí Tight End của đội Kansas City Chiefs, cùng với một mã QR tuyên bố xác minh chữ ký.

Gói hàng trông rất chính thống. Nó được gửi đến người nhận theo tên, gửi đến địa chỉ ở Kansas City, và được đặt thời gian vào dịp lễ. Bên trong, mã QR yêu cầu người nhận quét để xác nhận tính xác thực.

Mặc dù lừa đảo thẻ giao dịch không phải là điều mới, các cơ quan chức năng cho biết việc sử dụng mã QR để trích xuất thông tin cá nhân là một phương pháp mới hơn.

Văn phòng Sheriff Quận Clay lưu ý rằng đây là báo cáo đầu tiên mà họ thấy sử dụng phương pháp này. Các chuyên gia công nghệ cảnh báo rằng mã QR thường làm giảm cảnh giác của mọi người, khiến các ưu đãi "quá tốt để tin" đặc biệt nguy hiểm.

Trong trường hợp này, người nhận không quét mã QR, do đó tránh việc tiết lộ dữ liệu tiềm năng.

Kế hoạch lừa đảo thanh toán đỗ xe (2023)

Theo Cơ quan Vận tải Công cộng San FranciscoTheo Sở Giao thông Công cộng và Giao thông Đô thị San Francisco (SFMTA), những kẻ lừa đảo đã để lại mã QR độc hại trên các vé đỗ xe giả trên khắp San Francisco.

Vé được làm sao cho giống thật đến mức thuyết phục, hướng dẫn tài xế quét mã QR để thanh toán ngay lập tức. Khi người dùng quét mã, họ sẽ được chuyển đến một trang web gần như giống hệt trang chính thức của SFMTA.

Sự khác biệt rõ ràng nhất giữa hai trang nằm ở URL. Trang thật kết thúc bằng ‘.com’ trong khi trang giả kết thúc bằng ‘.app’. Người dùng nhập thông tin thanh toán của mình mà không biết đã trả tiền cho những kẻ lừa đảo thay vì cho thành phố.

Máy giặt gây hiểu lầm (2023)

Một giáo sư 30 tuổi đến từ Ấn Độ đã cố gắng bán chiếc máy giặt của mình trên một nền tảng trực tuyến và nhận được một tin nhắn từ một người mua tiềm năng. Lạ thay, "người mua" đã đồng ý mà không đàm phán giá hoặc yêu cầu hình ảnh.

Giáo sư được yêu cầu quét mã QR để thực hiện giao dịch nhanh; tuy nhiên, ngay sau khi quét, ₹63,000 đã bị đánh cắp từ tài khoản của ông ấy.

Bubble tea trickery (2021)

Tại Singapore, một phụ nữ 60 tuổi phát hiện một miếng dán mã QR dán trên cửa kính, hứa sẽ nhận được một ly trà sữa miễn phí sau khi trả lời một cuộc khảo sát trực tuyến. Bị hấp dẫn, bà quét mã, tải xuống ứng dụng bên thứ ba và điền vào "biểu mẫu".

Khi cô ấy đi ngủ vào đêm đó, những kẻ lừa đảo đã chiếm đoạt điện thoại của cô và chuyển $20,000 từ tài khoản ngân hàng của cô. Người phụ nữ này là một trong số nhiều người ở Singapore trở thành nạn nhân của các vụ lừa đảo mã QR, với hơn 30,000 trường hợp được báo cáo vào năm 2022.

Cách thức hoạt động của lừa đảo trà sữa là gì?

Khi quét mã QR, bạn sẽ được yêu cầu tải xuống một ứng dụng cho phép kẻ lừa đảo truy cập vào camera và microphone của thiết bị của bạn. Điều này cho phép họ theo dõi hoạt động của nạn nhân và ghi lại thông tin đăng nhập ngân hàng di động.

Các đặc điểm của một trình tạo mã QR an toàn mà bạn cần xem xét

• Tính năng bảo mật. Điều này nên là ưu tiên hàng đầu của bạn khi chọn làm việc với một trình tạo mã QR. Hãy chú ý đến tính năng mã hóa dữ liệu để đảm bảo thông tin của bạn không thể bị chặn giữ.

• Đánh giá. Việc nghiên cứu của bạn là rất quan trọng để tìm một máy phát điện an toàn và uy tín. Hãy truy cập các trang web đánh giá phần mềm đáng tin cậy như G2 và Trustpilot và kiểm tra những gì người dùng thực sự đang nói về máy phát điện mà bạn quan tâm.

• Chính sách lưu trữ dữ liệu. Tìm một máy phát điện có chính sách rõ ràng về quyền riêng tư dữ liệu để giảm thiểu nguy cơ xâm nhập dữ liệu.

QR TIGER, ví dụ, được coi là một trong những công cụ an toàn nhất cho Quyền riêng tư của mã QR với chứng chỉ Secure Sockets Layer (SSL) và hoàn toàn tuân thủ quy định bảo vệ dữ liệu chung của EU (GDPR), Đạo luật Bảo vệ Quyền riêng tư Người tiêu dùng California (CCPA), và ISO 27001.

• Gói miễn phí và trả phí. Thử nghiệm với các trình tạo mã QR miễn phí có thể là một điểm khởi đầu tốt, tuy nhiên chúng tôi khuyên bạn nên chọn các gói trả phí nếu bạn dự định tạo mã QR cho mục đích thương mại hoặc chứa dữ liệu nhạy cảm.

Cách tạo mã QR bảo vệ sử dụng trình tạo mã QR tốt nhất

1. Đi tới QR TIGER Trang chủ và đăng nhập vào tài khoản của bạn.

2. Chọn một giải pháp mã QR và nhập thông tin cần thiết.

3. Nhấp Mã QR tĩnh hoặc Mã QR động , sau đó chọn Tạo mã QR .

4. Tùy chỉnh mã QR được tạo bằng cách thay đổi màu sắc, họa tiết, khung và nhiều yếu tố khác.

5. Test-scan mã QR của bạn. Nếu hoạt động tốt, nhấn Tải xuống để lưu

Mẹo chuyên nghiệp: Nếu bạn là chủ doanh nghiệp cần một mã QR cho quản lý hàng tồn kho an toàn, xác thực sản phẩm, hoặc quảng cáo, hãy xem xét việc tạo một Mã QR GS1 để đảm bảo an toàn và thúc đẩy tính minh bạch.

Đánh lừa quishers với QR TIGER - trình tạo mã QR an toàn nhất trực tuyến

Không ngạc nhiên khi việc sử dụng rộng rãi mã QR đi kèm với sự gia tăng của những kẻ lừa đảo tận dụng sự phổ biến ngày càng tăng của nó - từ việc tải xuống mã độc hại tự động thông qua mã QR đến các vụ lừa đảo quishing, việc quét mã ngẫu nhiên đơn giản không phải là một lựa chọn.

Và trong khi kiến thức nên là vũ khí đầu tiên của bạn, có các công cụ sẵn có để giúp bạn điều hướng an toàn trong thế giới của mã QR. QR TIGER, trình tạo mã QR tốt nhất, là một ví dụ điển hình cho điều này.

Họ cung cấp các tài nguyên bạn cần để tự bảo vệ mình khỏi quishers, tăng cường bảo mật của bạn với mã hóa dữ liệu và xem trước URL và tuân thủ các quy định về quyền riêng tư dữ liệu của chính họ.

Câu hỏi thường gặp

Cách sử dụng mã QR để lừa đảo là gì?

Một chiến thuật lừa đảo thông dụng bằng mã QR là che giấu mã QR như là hợp lệ, dẫn người dùng đến trang đăng nhập giả mạo được thiết kế để đánh cắp thông tin đăng nhập của bạn.

Mã QR giả mạo cũng có thể đưa bạn đến các trang web lừa đảo yêu cầu thông tin thẻ tín dụng của bạn để "xác minh danh tính" trước khi nhận ưu đãi giả mạo.

Làm thế nào người dùng có thể phân biệt giữa thông tin hợp pháp và mã QR độc hại?

Với nhiều ứng dụng quét mã QR, bạn có thể xem trước URL được mã hóa trước khi quét thực sự, giúp bạn có cái nhìn tốt về nơi mà nó có thể dẫn đến.

Một URL đáng ngờ có thể có tên website bị viết sai chính tả hoặc có phần mở rộng miền thông dụng (ví dụ, .info, .biz).

Bạn có thể bị nhiễm virus từ mã QR không?

Mã QR chính nó không thể truyền trực tiếp virus, nhưng dữ liệu mà nó chứa có thể chứa một URL độc hại dẫn đến một trang web có malware.

Một kẻ tấn công có thể sử dụng mã QR như thế nào?

Kẻ tấn công có thể lợi dụng mã QR theo nhiều cách khác nhau. Ví dụ, họ có thể đánh cắp thông tin của bạn, lây nhiễm thiết bị bằng phần mềm độc hại, hoặc tiến hành các cuộc tấn công lừa đảo.
Mã QR độc hại cũng có thể được sử dụng để kết nối người dùng với các mạng Wi-Fi giả mạo, tiềm ẩn nguy cơ chặn lưu lượng internet của bạn hoặc đánh cắp thông tin nhạy cảm.