Người phụ nữ 60 tuổi sống tại Singapore nhìn thấy một nhãn dán trên cửa kính của quán trà sữa kêu gọi khách hàng quét mã QR và điền vào bản khảo sát để được “một cốc trà sữa miễn phí”.
Đối với một người bình thường và thậm chí là một người khá hiểu biết về mặt kỹ thuật, họ sẽ không nghi ngờ gì nhiều về các chương trình phần thưởng và lòng mong muốn chào mời những ưu đãi như vậy và các cửa hàng thường sử dụng mã QR để làm như vậy.
Bị lôi kéo bởi một món hời, người phụ nữ 60 tuổi đã quét mã QR trên nhãn dán và tải ứng dụng của bên thứ ba xuống điện thoại Android của mình để hoàn thành khảo sát. Khi cô đang đi ngủ vào buổi tối, điện thoại của cô đột nhiên sáng lên. Lúc này có mới phát hiện ra rằng, cuộc khảo sát không có thật, ứng dụng mà cô ấy đã tải xuống đã rút 20.000 USD (khoảng 500 triệu đồng) từ tài khoản tiết kiệm của cô.
Ông Beaver Chua, người đứng đầu bộ phận chống gian lận tại Ngân hàng OCBC cho biết, vụ lừa đảo này là đặc biệt “xảo quyệt”. “Trò lừa đảo này rất xảo quyệt vì những kẻ lừa đảo chiếm lấy điện thoại của nạn nhân. Và vì nạn nhân mất quyền kiểm soát tài khoản ngân hàng của mình, họ thậm chí sẽ không biết khi nào số tiền tiết kiệm của mình đã bị xóa sạch hoàn toàn” ông Chua nói.
Điều đáng chú ý là ứng dụng phần mềm độc hại cụ thể mà nạn nhân tải xuống yêu cầu người dùng cấp quyền truy cập vào micrô và máy ảnh của điện thoại, ngoài khả năng truy cập vào dịch vụ, một chức năng của Android nhằm hỗ trợ người dùng có nhu cầu đặc biệt, đồng thời cho phép ứng dụng điều khiển màn hình điện thoại.
Sau đó, kẻ lừa đảo sẽ giám sát một cách thụ động việc sử dụng ứng dụng ngân hàng di động của nạn nhân và ghi lại mọi thông tin đăng nhập mà người dùng đã nhập trong ngày.
Khi có được tất cả các quyền nêu trên, những kẻ lừa đảo sẽ dễ dàng theo dõi nạn nhân và chờ đợi thời điểm thích hợp. Chẳng hạn như vào giờ đi ngủ, khi chúng có thể thực hiện các hoạt động độc hại mà không bị phát hiện.
“Mặc dù lừa đảo bằng phần mềm độc hại không phải là vấn đề đặc biệt mới nhưng những kẻ lừa đảo ngày càng sáng tạo hơn” ông Chua nói. Bên cạnh các quảng cáo trên trang web là phổ biến nhất, việc dán mã QR giả bên ngoài các cơ sở F&B là một cách xảo quyệt khác để thu hút nạn nhân vì người tiêu dùng có thể không phân biệt được giữa mã QR hợp pháp và mã độc hại.
Hiện nay, lực lượng công an Singapore đã cảnh báo công dân về kẻ lừa đảo lạm dụng hệ thống nhận dạng kỹ thuật số Singpass sử dụng mã QR. Những kẻ lừa đảo sẽ yêu cầu nạn nhân hoàn thành các cuộc khảo sát không có thật rồi quét mã QR thông qua ứng dụng chính thức, như một phần của quy trình xác minh trước khi nạn nhân có thể đổi phần thưởng bằng tiền.
Tuy nhiên, mã QR do những kẻ lừa đảo cung cấp là ảnh chụp màn hình được lấy từ một trang web hợp pháp, bằng cách quét mã QR và cho phép giao dịch mà không cần kiểm tra thêm, nạn nhân đã vô tình cấp cho thủ phạm quyền truy cập vào một số dịch vụ trực tuyến nhất định.
Qua trường hợp này, công an khuyến cáo người dân cần thận trọng khi quét mã QR code, đặc biệt cảnh giác với các mã QR được dán hoặc chia sẻ ở những nơi công cộng, hoặc gửi qua mạng xã hội, email; xác định và kiểm tra kỹ càng thông tin tài khoản người trao đổi mã QR; xem xét kỹ nội dung trang web mà mã QR đưa tới.
Đồng thời, cần kiểm tra đường link xem có bắt đầu với https và có phải tên miền quen thuộc không. Tuyệt đối không cung cấp các thông tin cá nhân như tài khoản đăng nhập ngân hàng, tài khoản mạng xã hội… Cần sử dụng trình quản lý mật khẩu, xác thực 2 yếu tố và các phương thức bảo vệ khác cho tài khoản.
Bên cạnh đó, đối với các về đơn vị, tổ chức cung cấp mã QR trong các hoạt động, cũng cần chú ý: Cần cảnh báo tuyên truyền đến với người dùng, như các ngân hàng thời gian vừa qua cảnh báo đến khách hàng; đưa ra giải pháp xác minh giao dịch có dấu hiệu bất thường; thường xuyên kiểm tra thường xuyên các mã QR được dán tại địa điểm cung cấp.