Chỉ vì nhận cốc trà sữa miễn phí khi quét mã QR mà một người bị mất gần 400 triệu đồng

Chỉ cần làm một cuộc khảo sát trực tuyến là có thể nhận được một cốc trà sữa miễn phí – món quà quá hời cho bất kỳ ai ưa thích món đồ uống này. Thế nhưng ẩn phía sau chương trình khuyến mại này lại là một cái bẫy tinh vi được giăng ra để đánh lừa người dùng.

Một phụ nữ 60 tuổi đã quét mã QR gắn trên miếng dán của cửa hàng và tải xuống một ứng dụng bên thứ ba vào điện thoại Android của mình để hoàn tất "cuộc khảo sát" này. Nhưng hóa ra đây lại là cốc trà sữa đắt tiền nhất từ trước đến giờ khi nó khiến 20.000 SGD (Dollar Singapore) – khoảng hơn 350 triệu đồng – trong tài khoản ngân hàng của bà không cánh mà bay.

Đáng ngại hơn, người phụ nữ này không phải là nạn nhân duy nhất của trò lừa đảo này. Theo trong tháng 3 vừa qua, lực lượng cảnh sát và cơ quan An ninh mạng Singapore đã nhận thấy sự gia tăng đột biến của hình thức lừa đảo cài đặt ứng dụng chứa malware trên các điện thoại Android.

Các cơ quan này cho biết, họ nhận được báo cáo từ ít nhất 113 nạn nhân với tổng cộng số tiền bị thiệt hại lên đến 445.000 SGD. Tất cả đều là nạn nhân từ các vụ lừa đảo cài ứng dụng độc hại vào điện thoại và phần thưởng "trà sữa miễn phí" chỉ là một trong các chiêu trò của những kẻ lừa đảo.

Tại sao quét mã QR lại làm mất tiền trong tài khoản ngân hàng?

Theo ông Beaver Chua, người đứng đầu bộ phận chống gian lận tài chính của Ngân hàng OCBC cho biết, khi nạn nhân quét mã QR, người đó sẽ được nhắc chấp thuận tải xuống một ứng dụng chứa malware và cho phép nó truy cập vào micro và camera trên điện thoại.

Ngoài ra nạn nhân còn được yêu cầu bật Android Accessibility Service – một tính năng hỗ trợ người khuyết tật trên thiết bị Android – nhưng tính năng này cũng cho phép kẻ lừa đảo xem và điều khiển được màn hình của thiết bị nạn nhân.

Sau khi đợi đến lúc thích hợp, kẻ lừa đảo sẽ thực hiện kế hoạch của mình. Bằng cách sử dụng ứng dụng độc hại, hắn có thể chiếm quyền điều khiển điện thoại của nạn nhân. Điều này có nghĩa là hắn có thể truy cập vào các thông tin đăng nhập và mật khẩu mà nạn nhân đã lưu trên điện thoại. Tuy nhiên, để tránh bị phát hiện, kẻ lừa đảo sẽ vô hiệu hóa tính năng đăng nhập bằng nhận diện khuôn mặt hoặc vân tay. Điều này đòi hỏi nạn nhân phải nhập mật khẩu bằng tay, cho phép kẻ lừa đảo có thể ghi lại các thông tin đăng nhập và mật khẩu của nạn nhân.
Ngoài ra, kẻ lừa đảo còn có thể sử dụng ứng dụng độc hại để truy cập vào camera của điện thoại của nạn nhân và giám sát hoạt động của họ. Kẻ lừa đảo sẽ chờ đợi thời điểm thích hợp, thường là buổi đêm khi nạn nhân đang ngủ, để thực hiện thao tác thông qua malware mà không bị phát hiện. Nhờ vào việc sử dụng ứng dụng độc hại này, kẻ lừa đảo có thể chiếm quyền điều khiển điện thoại của nạn nhân và thực hiện các hành động trái phép một cách dễ dàng.
Khi đó, kẻ lừa đảo có thể đăng nhập vào ứng dụng ngân hàng trên điện thoại và chuyển tiền ra khỏi tài khoản ngân hàng mà nạn nhân không hay biết.

Trên thực tế, cách thức này tương tự như việc những kẻ lừa đảo gửi tin nhắn SMS với các đường link chứa mã độc để đánh lừa người dùng click vào tải xuống các ứng dụng độc hại. Tuy nhiên khi việc gửi các đường link độc hại này qua tin nhắn đã trở nên phổ biến và dễ dàng bị phát hiện, việc chúng được giấu đằng sau các mã QR đang khiến chúng trở nên nguy hiểm hơn bao giờ hết.

Ông Chua cho biết: "Trò lừa đảo này vô cùng quỷ quyệt bởi vì những kẻ lừa đảo đã âm thầm chiếm quyền điều khiển điện thoại của nạn nhân. Và bởi vì nạn nhân đã bị mất quyền kiểm soát đối với tài khoản ngân hàng trên internet, thậm chí họ còn không biết khi nào tài khoản tiết kiệm của mình sẽ bị vét sạch."

Để dễ dàng lừa các nạn nhân hơn, kẻ lừa đảo thường gắn mã QR độc hại của chúng ở gần các biển hiệu thanh toán chính chủ. Không chỉ các tiệm trà sữa, ông Chua cho biết những kẻ lừa đảo còn dán hình ảnh mã QR độc hại của chúng lên cột đèn gần đèn giao thông và chờ cá cắn câu.

Thậm chí những kẻ lừa đảo còn có thể lẻn vào trong các tòa nhà văn phòng và âm thầm dán những mã QR chứa mã độc của chúng lên tường tòa nhà, nhằm đánh lừa khách hàng đến làm việc hoặc chính những nhân viên ở đây mà không hay biết. Chính vì vậy, ông Yeo Siang Tiong, tổng giám đốc khu vực Đông Nam Á của công ty an ninh mạng Kaspersky đề nghị các doanh nghiệp nên cảnh giác với những mã QR đáng ngờ được gắn trong cơ sở của họ.

Trong năm 2022 Singapore ghi nhận 31.728 vụ lừa đảo, tăng hơn 30% so với 23.933 vụ được ghi nhận trong năm 2021. Tổng số tiền thiệt hại của các nạn nhân tại Singapore là 660,7 triệu SGD, tăng so với con số 632 triệu SGD trong năm 2021. Như vậy chỉ tính riêng trong 2 năm gần đây, các nạn nhân đã bị thiệt hại hơn 1,3 tỷ SGD.

Nguy cơ có thể đến với bất kỳ loại thiết bị nào

Bên cạnh đó, ông Yeo cũng cho biết thêm, do đặc điểm của hệ điều hành Android, các ứng dụng độc hại có thể tìm được cách lừa người dùng cài đặt chúng vào thiết bị để theo dõi hoạt động của người dùng, hoặc tìm kiếm và khai thác lỗ hổng bảo mật trong thiết bị. Trong khi đó điều này trở nên khó khăn hơn trên iPhone do hệ điều hành iOS chỉ cho phép cài đặt các ứng dụng từ cửa hàng Apple App Store.

Nhưng không vì thế mà người dùng iPhone nên mất cảnh giác. Đầu năm 2022, FBI từng phát đi cảnh báo về hành vi lừa đảo khi quét mã QR để thanh toán tiền phí đỗ xe. Thay vì giúp truy cập các ứng dụng hoặc website chính chủ, những người đi mô tô khi quét mã QR sẽ được đưa tới website giả mạo để ghi lại thông tin thẻ tín dụng.
Hãy cẩn thận khi quét các mã QR lạ

Khi sử dụng các ứng dụng quét mã QR, chúng ta cần phải cẩn trọng hơn khi quét các mã QR lạ. Điều này giúp tránh được các mối nguy hiểm tiềm ẩn trong việc quét các mã QR không rõ nguồn gốc. Do đó, chúng ta cần nhớ rằng việc quét mã QR lạ không chỉ ảnh hưởng đến thông tin cá nhân của mình mà còn có thể gây ra những hậu quả nghiêm trọng đối với tài khoản ngân hàng hay các thông tin quan trọng khác. Vì vậy, hãy cẩn thận hơn khi quét các mã QR lạ. Hãy đảm bảo rằng mã QR bạn đang quét có nguồn gốc đáng tin cậy.

Nếu không biết chắc chắn, bạn có thể tham khảo với các chuyên gia hoặc nhờ đến sự giúp đỡ của người có kinh nghiệm. Hãy bảo vệ thông tin cá nhân của mình và đảm bảo an toàn cho tài khoản ngân hàng và các thông tin quan trọng khác bằng cách cẩn thận hơn khi quét các mã QR lạ.