Mã QR (QR Code - Quick Response Code) là một dạng mã vạch hai chiều, được tạo thành từ các ô vuông đen - trắng sắp xếp theo một cấu trúc nhất định. Khác với mã vạch truyền thống chỉ đọc được theo một chiều và chứa ít thông tin, mã QR có thể lưu trữ lượng dữ liệu lớn hơn và được quét nhanh bằng camera trên điện thoại thông minh.

Về bản chất, mã QR là cách “đóng gói” thông tin dưới dạng hình ảnh. Khi người dùng quét mã, thiết bị sẽ giải mã và hiển thị nội dung bên trong, có thể là một đường link website, thông tin văn bản, số điện thoại, địa chỉ email, thông tin tài khoản thanh toán hoặc lệnh thực hiện một hành động nào đó.

“Mã QR không được thiết kế với mục đích bảo mật, mà để khiến cuộc sống dễ dàng hơn. Chính điều đó biến chúng thành ‘món quà’ hoàn hảo cho kẻ lừa đảo”, ông Rob Lee - Trưởng bộ phận nghiên cứu về AI và các mối đe dọa mới nổi của Viện SANS (Mỹ) - cảnh báo trong trao đổi với CNBC.

Ban đầu, QR code được sử dụng chủ yếu để cung cấp thông tin nhanh tại các không gian công cộng, như bảo tàng hay triển lãm. Tuy nhiên, cùng với sự bùng nổ của smartphone, loại mã này nhanh chóng len sâu vào các hoạt động thiết yếu như thanh toán tại cửa hàng, nhà hàng, bãi đỗ xe, hóa đơn dịch vụ… Sự phổ biến ấy cũng mở ra “đất diễn” cho tội phạm mạng.

Theo ông Dustin Brewer - Giám đốc an ninh mạng của BlueVoyant, nhiều công nghệ ra đời với mục đích tích cực nhưng dần bị lợi dụng cho hành vi xấu. “Mã QR xuất hiện ở khắp mọi nơi - từ trạm xăng, biển quảng cáo đến quán ăn - vừa tiện lợi, vừa tiềm ẩn rủi ro”, ông nói.

Hình thức lừa đảo này được gọi là Quishing (QR phishing). Kẻ gian dán mã QR giả lên máy thanh toán bãi đỗ xe, thông báo tiền điện nước hoặc biển hướng dẫn công cộng, lợi dụng sự vội vàng của người dùng để dẫn họ tới website độc hại, đánh cắp dữ liệu cá nhân hoặc thông tin tài chính.

Sự gia tăng các vụ Quishing trong thời gian gần đây đã khiến nhiều cơ quan tại Mỹ phải phát đi cảnh báo. Sở Giao thông Vận tải New York, Công ty Điện lực Hawaii và Ủy ban Thương mại Liên bang Mỹ (FTC) đều khuyến cáo người dân không quét những mã QR xuất hiện bất ngờ, không rõ nguồn gốc. Theo FTC, chỉ một thao tác quét thiếu cẩn trọng cũng có thể khiến người dùng bị đánh cắp thông tin thẻ tín dụng, tài khoản thanh toán hoặc bị cài phần mềm độc hại.

Tại Việt Nam, thanh toán bằng QR đã trở nên quen thuộc nhờ tính nhanh gọn và khả năng liên thông giữa các ngân hàng. Tuy nhiên, kẻ gian cũng lợi dụng điều này bằng cách dán đè mã QR của chúng lên mã thật, khiến người dùng chuyển tiền nhầm sang tài khoản lừa đảo.

Giới chuyên gia dự báo nguy cơ này sẽ còn gia tăng. Giáo sư Gaurav Sharma tại Đại học Rochester nhận định, khi các hình thức lừa đảo truyền thống qua email hay tin nhắn ngày càng khó hiệu quả do người dùng cảnh giác hơn, QR code trở thành “mặt trận mới” khó phòng vệ vì người dùng không thể đọc trực tiếp nội dung liên kết được mã hóa.

Một số thống kê cho thấy xu hướng đáng lo ngại: nghiên cứu của KeepNet Labs cho biết 26% liên kết độc hại hiện được phát tán qua mã QR; NordVPN ước tính hơn 73% người Mỹ quét QR mà không kiểm tra, khiến hàng chục triệu người bị chuyển hướng đến website nguy hiểm.

Theo Malwarebytes, cả iPhone và Android đều là mục tiêu của Quishing, trong đó người dùng iPhone dễ mất cảnh giác hơn do mức độ tin tưởng cao vào thiết bị. Về độ tuổi, nghiên cứu của IBM cho thấy người lớn tuổi dễ trở thành nạn nhân, song các thế hệ trẻ am hiểu công nghệ cũng đối mặt rủi ro vì thói quen “quét nhanh, nghĩ sau”.

Các chuyên gia khuyến cáo, người dùng cần kiểm tra kỹ nguồn gốc mã QR trước khi quét, chú ý dấu hiệu bị dán đè hoặc in ấn bất thường. Khi quét, nên xem kỹ đường link hiển thị và chỉ tiếp tục nếu liên kết đáng tin cậy.

Song song đó, nhiều giải pháp công nghệ mới đang được phát triển nhằm tăng tính xác thực cho QR code. Một số tổ chức đã áp dụng mã QR có logo, màu sắc riêng và mô tả rõ nội dung sau khi quét; trong khi các nhà nghiên cứu đang thử nghiệm QR tích hợp chữ ký số để giúp người dùng phân biệt mã “chính chủ” và mã giả mạo.

Trong kỷ nguyên số, một thao tác tưởng chừng vô hại như quét mã QR có thể trở thành “cánh cửa” cho rủi ro nếu người dùng thiếu cảnh giác.