Lừa Đảo Mã QR (Quishing): Mối Đe Dọa Ẩn Nấp Ngay Trước Mắt

Lừa đảo mã QR, gọi là quishing, đang bùng phát vào năm 2026. Tìm hiểu cách mã QR giả mạo đánh cắp tiền và dữ liệu của bạn, kẻ lừa đảo đặt chúng ở đâu, và cách quét an toàn trước khi nhấn.

· Truvizy Research Team · 8 min read

TL;DR

Quishing là lừa đảo lừa đảo qua mã QR: kẻ lừa đảo thay thế mã QR hợp lệ trên thực đơn nhà hàng, đồng hồ đỗ xe, nhãn gói hàng và áp phích công cộng bằng các mã chuyển hướng đến các trang web đánh cắp thông tin đăng nhập. Vì camera điện thoại của bạn chỉ hiển thị một URL nhỏ trước khi bạn mở, hầu hết mọi người không bao giờ nhận ra sự thay đổi. Luôn kiểm tra URL đích trước khi mở bất kỳ liên kết mã QR nào, sử dụng máy quét QR có kiểm tra an toàn tích hợp, và khi nghi ngờ hãy gõ địa chỉ web chính thức theo cách thủ công.

Bạn đỗ xe vào bãi đỗ, quét mã QR trên quầy thanh toán và nhập thẻ tín dụng để trả tiền chỗ đỗ. Giao dịch có vẻ thành công. Tối hôm đó, ngân hàng gọi cho bạn về ba khoản phí gian lận từ nước ngoài. Bạn không bao giờ trao thẻ cho ai. Bạn không bao giờ nhấp vào email đáng ngờ. Tất cả những gì bạn làm là quét một mã QR, và thế là đủ. Chào mừng đến với quishing: trò lừa đảo phát triển nhanh nhất mà hầu hết mọi người chưa bao giờ nghe đến.

Mã QR được thiết kế để tiện lợi, quét và đi. Nhưng chính trải nghiệm không ma sát đó, vốn hấp dẫn các doanh nghiệp, cũng khiến chúng nguy hiểm trong tay kẻ lừa đảo. Khác với một liên kết email đáng ngờ mà bạn có thể di chuột để xem trước, một mã QR không tiết lộ gì cho đến sau khi bạn đã hướng camera vào nó. Khi bạn thấy URL đích, nhiều nạn nhân đã nhấn "mở" rồi. Khoảng cách phần giây đó chính xác là điều mà quishing khai thác.

Quishing Là Gì?

Quishing, kết hợp của "QR" và "phishing", là thực hành nhúng URL độc hại vào mã QR để chuyển hướng nạn nhân đến các trang web gian lận. Trò lừa đảo có thể có nhiều hình thức: thay thế vật lý mã hợp lệ bằng nhãn dán giả ở không gian công cộng, gửi mã QR qua email hoặc tin nhắn để vượt qua bộ lọc thư rác truyền thống, hoặc tạo tài liệu giả (hóa đơn, thông báo đỗ xe, thông báo gói hàng) nổi bật với các mã gian lận.

Trung tâm Khiếu nại Tội phạm Internet của FBI đã đánh dấu quishing là mối đe dọa ưu tiên mới nổi vào năm 2024, và các con số chỉ tệ hơn kể từ đó. Các công ty an ninh mạng ghi lại mức tăng 587% trong các cuộc tấn công lừa đảo dựa trên mã QR giữa năm 2024 và 2025. Kỹ thuật này đã trở nên phổ biến với các tổ chức gian lận có tổ chức vì nó rẻ để thực hiện, khó phát hiện ở quy mô lớn và được thiết kế đặc biệt để vượt qua các công cụ bảo mật email không thể đọc URL nhúng trong hình ảnh.

Quishing là một phần của sự chuyển dịch rộng hơn trong chiến thuật lừa đảo hướng đến các cuộc tấn công ưu tiên di động. Như chúng tôi đã ghi lại trong phân tích của mình về cách AI đang tăng tốc độ tinh vi của lừa đảo, những kẻ gian lận đang nhắm mục tiêu cụ thể vào các công cụ và thói quen mà mọi người đã áp dụng trong kỷ nguyên điện thoại thông minh, và mã QR là một trong những thói quen di động được áp dụng rộng rãi nhất trong năm năm qua.

Cách Lừa Đảo Mã QR Hoạt Động

Cơ chế của một cuộc tấn công quishing đơn giản đến mức đánh lừa. Kẻ tấn công tạo một mã QR mã hóa URL độc hại, thường là phiên bản nhân bản của trang đăng nhập ngân hàng, cổng thanh toán hoặc dịch vụ chính phủ. Trang giả được thiết kế trông giống hệt trang hợp lệ, thu thập bất kỳ thông tin đăng nhập hoặc thông tin thanh toán nào nạn nhân nhập.

Trong các cuộc tấn công vật lý, kẻ lừa đảo in mã gian lận lên nhãn dán và đặt lên mã hợp lệ trên đồng hồ đỗ xe, bàn nhà hàng hoặc bảng thông báo công cộng. Việc đổi chỗ mất vài giây. Kẻ tấn công sau đó có thể rời khu vực và thu thập dữ liệu đánh cắp từ xa. Một nhãn dán được đặt tốt trên đồng hồ đỗ xe bận rộn có thể thu thập hàng chục nạn nhân mỗi ngày.

Sơ đồ cho thấy cách kẻ lừa đảo thay thế nhãn dán mã QR hợp lệ bằng nhãn giả trên đồng hồ đỗ xe
Sơ đồ cho thấy cách kẻ lừa đảo thay thế nhãn dán mã QR hợp lệ bằng nhãn giả trên đồng hồ đỗ xe

Quishing qua email theo kịch bản khác. Kẻ tấn công gửi tin nhắn giả mạo ngân hàng, phòng nhân sự hoặc công ty vận chuyển, tuyên bố người nhận cần xác minh tài khoản hoặc theo dõi giao hàng, và bao gồm mã QR để "quét bằng điện thoại để tăng bảo mật". Hướng dẫn này là có chủ đích: chuyển tương tác sang thiết bị di động đưa nạn nhân ra khỏi máy tính công ty với các công cụ bảo mật và sang điện thoại cá nhân với ít biện pháp bảo vệ hơn.

Khi đến trang giả, nạn nhân đối mặt với biểu mẫu thu thập thông tin đăng nhập được đánh bóng. Các cuộc tấn công tiên tiến hơn sử dụng kỹ thuật chuyển tiếp thời gian thực: khi nạn nhân nhập tên người dùng và mật khẩu, kẻ tấn công nhập các thông tin đó vào trang web thực cùng lúc, sau đó chuyển tiếp lời nhắc xác thực hai yếu tố trở lại nạn nhân, hoàn toàn bỏ qua các biện pháp bảo vệ 2FA.

Không chắc về liên kết từ mã QR? Dán URL vào Truvizy để kiểm tra các dấu hiệu lừa đảo trước khi bạn nhập bất kỳ thông tin nào.

Mã QR Giả Xuất Hiện Ở Đâu

Đồng hồ đỗ xe và quầy thanh toán là một trong những vị trí bị nhắm mục tiêu nhiều nhất tại Mỹ. Sở Giao thông Texas ghi lại hàng chục nhãn dán mã QR giả trên đồng hồ đỗ xe khắp các thành phố lớn vào năm 2024. Nạn nhân nhập đầy đủ thông tin thẻ tín dụng với hy vọng trả tiền đỗ xe và thay vào đó đã trao dữ liệu tài chính trực tiếp cho kẻ lừa đảo. Trò lừa đảo hoạt động đặc biệt tốt vì thanh toán đỗ xe gây căng thẳng, người lái xe thường vội vàng và không kiểm tra kỹ giao diện thanh toán.

Bảng thực đơn và thực đơn nhà hàng trở thành vectơ lớn khi ăn uống không tiếp xúc lan rộng sau đại dịch. Nhãn dán với mã QR gian lận được đặt lên hoặc bên cạnh mã hợp lệ có thể chuyển hướng thực khách đến thực đơn giả hoặc trang thanh toán. Trong một số trường hợp, trang giả thậm chí hiển thị thực đơn thuyết phục trước khi chuyển hướng đến biểu mẫu thu thập thông tin đăng nhập tuyên bố nhà hàng đã chuyển sang đặt hàng trực tuyến.

Nhãn trả hàng gói hàng đại diện cho danh mục tấn công đang phát triển nhanh chóng. Nạn nhân nhận gói hàng, đôi khi không được yêu cầu, đôi khi như một phần của chiến dịch giải thưởng giả, chứa nhãn trả hàng với mã QR. Quét mã được cho là để bắt đầu trả hàng nhưng thay vào đó dẫn đến cổng nhà bán lẻ giả yêu cầu thông tin thẻ tín dụng cho "xử lý hoàn tiền".

Giao thông công cộng và trạm xe buýt có rủi ro đáng kể vì biển hiệu được quản lý bởi các cơ quan thành phố với năng lực giám sát hạn chế. Mã gian lận trên bản đồ tuyến đường giao thông, quầy bán vé hoặc màn hình thanh toán vé có thể không bị phát hiện trong nhiều ngày trước khi bị gỡ bỏ. Tại Anh, Transport for London đã gỡ bỏ hàng trăm mã QR gian lận khỏi các ga vào năm 2025.

Các cuộc tấn công qua email và tài liệu nhắm mục tiêu vào doanh nghiệp nhiều như người tiêu dùng. Hóa đơn giả chứa mã QR cho "thanh toán an toàn", thông báo HR gian lận yêu cầu nhân viên quét mã để cập nhật thông tin bảng lương, và thông báo giao hàng gói hàng giả đều là các vectơ tấn công doanh nghiệp phổ biến. Như đã thảo luận trong hướng dẫn của chúng tôi về phát hiện email lừa đảo, các cuộc tấn công qua email đang ngày càng tinh vi hơn trong việc sử dụng các yếu tố trực quan để tránh bộ lọc tự động.

Tờ rơi từ thiện và gây quỹ giả khai thác lòng hào phóng. Sau thiên tai hoặc sự kiện tin tức lớn, các tờ rơi gian lận với mã QR quyên góp xuất hiện trên bảng thông báo cộng đồng, trong siêu thị và trên mạng xã hội. Các mã liên kết đến các trang thanh toán từ thiện giả thuyết phục thu thập quyên góp và thông tin thẻ mà không bao giờ thực hiện quyên góp thực sự.

Tại Sao Lừa Đảo QR Lại Hiệu Quả Đến Vậy

Hiệu quả của quishing xuất phát từ sự không phù hợp niềm tin cơ bản. Mã QR gắn liền với sự tiện lợi và hiện đại, chúng được các doanh nghiệp hợp lệ đặt trên tài liệu chính thức. Mọi người đã được đào tạo qua nhiều năm sử dụng để tin tưởng bối cảnh vật lý của mã QR hơn là tin vào một liên kết email ngẫu nhiên. Một mã trên bàn nhà hàng hoặc đồng hồ đỗ xe mang sự chứng thực ngầm từ chính địa điểm đó.

Ứng dụng camera cung cấp ít ma sát. Hầu hết điện thoại thông minh tự động nhận ra mã QR và hiển thị bản xem trước URL nhỏ mà người dùng theo bản năng bỏ qua mà không đọc. Cửa sổ xem trước nhỏ, URL thường dài hoặc rút ngắn, và xu hướng tự nhiên của não bộ để nhận dạng mẫu có nghĩa là người dùng thường xuyên thấy những gì họ mong đợi hơn là những gì thực sự ở đó. Một URL như "secure-payment-parkingzone.com" đọc là "parking" với người dùng bị phân tâm mặc dù nó báo hiệu nguy hiểm với người cẩn thận.

Bạn đến đồng hồ đỗ xe và quét mã QR. Camera điện thoại của bạn hiển thị URL xem trước: 'parking-pay-secure-city.com/pay'. Đồng hồ ở một thành phố lớn của Mỹ. Bạn nên làm gì?

  1. Mở liên kết ngay lập tức, nó đề cập đến thành phố nên chắc chắn hợp lệ
  2. Kiểm tra URL cẩn thận: nó có khớp với miền chính thức của thành phố bạn không?
  3. Tìm khe cắm thẻ vật lý hoặc ứng dụng thanh toán chính thức thay thế
  4. Báo cáo mã QR cho cơ quan quản lý đỗ xe trước khi tiến hành

Answer: Các tên miền nghe có vẻ chung chung như 'parking-pay-secure-city.com' là dấu hiệu đỏ lớn. Hệ thống đỗ xe chính thức của thành phố bạn sẽ có tên miền cụ thể, nổi tiếng (ví dụ: paybyphone.com hoặc trang web.gov chính thức của thành phố). Luôn xác minh URL đích khớp với tên miền chính thức dự kiến trước khi nhập bất kỳ thông tin thanh toán nào, hoặc sử dụng khe cắm thẻ vật lý nếu có.

Bối cảnh di động cũng loại bỏ nhiều công cụ an toàn mà mọi người có trên máy tính để bàn. Bảo vệ điểm cuối doanh nghiệp, tiện ích mở rộng trình duyệt gắn cờ các trang lừa đảo và thói quen di chuột qua liên kết để xem trước không chuyển sang di động. Trên điện thoại, người dùng phần lớn phải tự lo liệu.

Cách Nhận Biết Mã QR Giả

Kiểm tra mã vật lý. Tìm nhãn dán được đặt lên tài liệu in. Nhãn dán giả thường có chất liệu giấy hơi khác, lệch nhẹ so với các yếu tố thiết kế xung quanh, hoặc các cạnh có thể nhìn thấy nơi nhãn dán chồng lên văn bản in. Chạy móng tay dọc theo bề mặt, nhãn dán nhiều lớp thường có cạnh nổi lên tinh tế.

Đọc toàn bộ URL trước khi nhấn. Sau khi camera của bạn quét mã, một thông báo hoặc biểu ngữ xem trước xuất hiện. Dừng lại trước khi nhấn và đọc toàn bộ URL. Tìm kiếm: tên doanh nghiệp dự kiến trong tên miền (không phải hậu tố hoặc tiền tố), tên miền cấp cao hợp lệ (.com,.gov,.org, không phải các phần mở rộng bất thường như.xyz hoặc.top), và sự vắng mặt của các từ thêm như "secure", "login", "verify" hoặc "payment" gắn vào những gì trông giống như tên thương hiệu.

Hãy nghi ngờ về sự khẩn cấp. Mã kết hợp với ngôn ngữ như "Quét ngay", "Ưu đãi có giới hạn thời gian" hoặc "Bắt buộc để truy cập" được thiết kế để bạn hành động trước khi suy nghĩ. Các doanh nghiệp hợp pháp thường không sử dụng ngôn ngữ khẩn cấp, áp lực cao xung quanh các mã thanh toán QR.

Tham chiếu chéo với các kênh chính thức. Trước khi quét mã QR từ email hoặc tài liệu tuyên bố là từ ngân hàng, phòng nhân sự hoặc công ty vận chuyển của bạn, hãy kiểm tra xem tổ chức đó có thực sự gửi thông tin liên lạc không bằng cách liên hệ trực tiếp qua trang web hoặc ứng dụng chính thức của họ. Đừng bao giờ sử dụng thông tin liên hệ được cung cấp trong cùng tin nhắn chứa mã QR. Để đánh giá các liên kết và nội dung đáng ngờ từ các nguồn không xác định, công cụ quét của Truvizy có thể giúp bạn đánh giá rủi ro trước khi thực hiện bất kỳ hành động nào.

Sử dụng phương án thay thế khi có sẵn. Nếu mã QR là phương thức thanh toán duy nhất tại đồng hồ đỗ xe hoặc quầy bán vé, hãy cân nhắc sử dụng khe cắm thẻ vật lý, thanh toán qua ứng dụng chính thức chuyên dụng mà bạn đã tải xuống từ cửa hàng ứng dụng đã xác minh, hoặc tìm phương pháp khác. Sự tiện lợi không bao giờ được ưu tiên hơn an ninh khi liên quan đến thông tin thanh toán hoặc cá nhân.

Danh sách kiểm tra để quét mã QR an toàn, xác minh URL, kiểm tra mã vật lý, sử dụng ứng dụng chính thức
Danh sách kiểm tra để quét mã QR an toàn, xác minh URL, kiểm tra mã vật lý, sử dụng ứng dụng chính thức

Phải Làm Gì Nếu Bạn Bị Lừa Đảo

Nếu bạn quét mã, mở liên kết và nhập thông tin, hãy hành động nhanh. Mỗi phút trì hoãn cho kẻ tấn công thêm thời gian để sử dụng dữ liệu của bạn.

Nếu bạn nhập thông tin thẻ thanh toán: Gọi ngay đường dây gian lận của ngân hàng (sử dụng số điện thoại ở mặt sau thẻ, không phải số nào từ trang web đáng ngờ). Yêu cầu khóa thẻ hoặc thay thế. Yêu cầu ngân hàng gắn cờ bất kỳ khoản phí nào từ thời điểm bạn nhập thông tin.

Nếu bạn nhập thông tin đăng nhập: Thay đổi mật khẩu ngay lập tức từ một thiết bị riêng biệt, đáng tin cậy. Bật xác thực hai yếu tố nếu chưa được kích hoạt. Kiểm tra bất kỳ thiết bị hoặc phiên không quen thuộc nào đã đăng nhập vào tài khoản và xóa chúng. Nếu bạn sử dụng cùng mật khẩu ở nơi khác, hãy thay đổi những mật khẩu đó cũng.

Đặt cảnh báo gian lận trên hồ sơ tín dụng của bạn với một trong ba cục lớn (Equifax, Experian, TransUnion), điều này tự động thông báo cho hai cục còn lại. Nếu bạn tin rằng danh tính của mình đã bị xâm phạm, hãy cân nhắc đóng băng tín dụng, miễn phí và ngăn chặn các tài khoản mới được mở dưới tên bạn. Hướng dẫn toàn diện của chúng tôi về phòng ngừa trộm cắp danh tính bao gồm toàn bộ quá trình phục hồi chi tiết.

Bảo vệ bản thân khỏi lừa đảo mã QR và các mối đe dọa di động khác với phát hiện gian lận được hỗ trợ bởi AI.

Bảo Vệ Bản Thân Trong Tương Lai

Thói quen quan trọng nhất là dừng lại trước khi nhấn. Toàn bộ thiết kế của quishing dựa vào thực tế là quét QR cảm thấy tự động và tức thì. Phá vỡ phản ứng tự động đó, ngay cả hai giây để đọc URL, làm gián đoạn cuộc tấn công. Hãy đặt ra quy tắc: xem trước URL trước, mở sau.

Sử dụng ứng dụng quét QR chuyên dụng thực hiện kiểm tra an toàn thời gian thực trên URL đã giải mã trước khi hiển thị cho bạn. Các ứng dụng này, có sẵn miễn phí từ các nhà cung cấp bảo mật lớn, hoạt động như một bộ kiểm tra URL tích hợp vào quy trình quét của bạn. Chúng là tương đương di động của việc di chuột qua liên kết trước khi nhấp.

Giữ hệ điều hành và trình duyệt điện thoại được cập nhật. Các bản vá bảo mật thường xuyên đóng các lỗ hổng mà các cuộc tấn công tải xuống drive-by khai thác khi một trang web độc hại được truy cập. Điện thoại không được vá dễ bị tổn thương hơn đáng kể ở giai đoạn thứ hai của cuộc tấn công quishing, ngay cả khi thông tin đăng nhập của bạn vẫn an toàn.

Bật xác thực hai yếu tố bằng ứng dụng xác thực, không phải SMS. Như chúng tôi đã lưu ý trong hướng dẫn về smishing và lừa đảo qua tin nhắn, 2FA dựa trên SMS có thể bị chặn. Ứng dụng xác thực tạo mã cục bộ trên thiết bị của bạn, làm cho các cuộc tấn công chuyển tiếp thời gian thực khó hơn đáng kể.

Báo cáo các mã đáng ngờ bất cứ nơi nào bạn tìm thấy chúng. Nếu bạn phát hiện nhãn dán trông đáng ngờ trên mã QR công cộng, hãy chụp ảnh vị trí và báo cáo cho doanh nghiệp hoặc cơ quan chức năng địa phương. Gỡ bỏ nhãn dán độc hại trong vài giờ có thể bảo vệ hàng chục nạn nhân tiềm năng khác.

Key Takeaways

Mã QR sẽ không biến mất, và những kẻ lừa đảo khai thác chúng cũng vậy. Khi thanh toán không tiếp xúc, thực đơn kỹ thuật số và các dịch vụ ưu tiên di động ngày càng gắn kết hơn vào cuộc sống hàng ngày, quishing sẽ ngày càng tinh vi và lan rộng hơn. Thuốc giải là nhận thức: biết rằng bất kỳ mã QR vật lý nào cũng có thể bị thay thế, bất kỳ mã nào trong email có thể liên kết đến bất cứ đâu, và hai giây cần thiết để đọc URL trước khi nhấn có thể là hai giây tiết kiệm bạn khỏi một bài học rất đắt giá.

Các gói bảo vệ của Truvizy bao gồm các công cụ phân tích URL và liên kết đáng ngờ, dán URL được giải mã từ bất kỳ mã QR nào vào Truvizy trước khi mở và nhận đánh giá ngay lập tức được hỗ trợ bởi AI về tính hợp lệ của nó. Trong bối cảnh mối đe dọa nơi kẻ lừa đảo đang ẩn các liên kết độc hại bên trong hình ảnh, việc có một công cụ kiểm tra đích thực sự không còn là tùy chọn, nó là thiết yếu.

Smishing: Tại Sao Tin Nhắn Từ Ngân Hàng Của Bạn Có Thể Là Lừa Đảo — Lừa đảo qua tin nhắn văn bản chia sẻ cùng kịch bản tâm lý với quishing.

Phát Hiện Email Lừa Đảo — Cách nhận biết các cuộc tấn công qua email, bao gồm những cuộc tấn công sử dụng mã QR để vượt qua bộ lọc.

Các Cuộc Tấn Công Kỹ Nghệ Xã Hội — Các kỹ thuật thao túng tâm lý đằng sau quishing và tất cả các trò lừa đảo hiện đại.

FAQ

Quishing là gì?

Quishing là lừa đảo lừa đảo qua mã QR, một trò lừa đảo nơi kẻ tấn công thay thế hoặc tạo mã QR giả mạo chuyển hướng nạn nhân đến các trang web độc hại được thiết kế để đánh cắp thông tin đăng nhập, thông tin thanh toán hoặc cài đặt phần mềm độc hại trên thiết bị của họ.

Làm thế nào để nhận biết mã QR giả trước khi quét?

Kiểm tra mã QR về mặt vật lý: tìm nhãn dán được đặt lên mã gốc, hư hỏng của vật liệu xung quanh, hoặc các mã trông hơi khác so với các mã lân cận. Sau khi quét, luôn kiểm tra toàn bộ URL đích trong bản xem trước của ứng dụng camera trước khi nhấn "mở". Nếu URL không khớp chính xác với tên miền doanh nghiệp dự kiến, đừng tiếp tục.

Quét mã QR có thể cài đặt phần mềm độc hại trên điện thoại tôi không?

Chỉ quét mã QR bằng camera của bạn không cài đặt phần mềm độc hại, nhưng mở liên kết kết quả có thể. Các trang web độc hại có thể cố gắng tải xuống theo kiểu drive-by, lừa đảo thông tin đăng nhập, hoặc nhắc bạn cài đặt ứng dụng giả mạo. Hãy giữ hệ điều hành điện thoại được cập nhật, tránh cho phép cài đặt ứng dụng từ các nguồn không xác định, và sử dụng máy quét QR có kiểm tra an toàn URL tích hợp.

Những vị trí nào có nguy cơ cao nhất đối với mã QR giả?

Các vị trí có nguy cơ cao bao gồm đồng hồ đỗ xe, bàn nhà hàng và thực đơn, trạm giao thông công cộng, nhãn trả hàng gói hàng, sảnh khách sạn và tờ rơi đăng ở nơi công cộng. Bất kỳ không gian vật lý không được giám sát nào mà ai đó có thể thay thế mã qua đêm mà không bị phát hiện đều là mục tiêu tiềm năng.

Tôi phải làm gì nếu đã quét và nhập thông tin vào một trang web đáng ngờ?

Hành động ngay lập tức: thay đổi mật khẩu bạn đã nhập, liên hệ với ngân hàng nếu bạn đã cung cấp thông tin thanh toán, bật xác thực hai yếu tố trên các tài khoản bị ảnh hưởng và theo dõi báo cáo tín dụng của bạn. Báo cáo sự cố tới FTC tại reportfraud.ftc.gov và, nếu xảy ra trên tài sản kinh doanh, hãy thông báo cho doanh nghiệp để họ có thể thay thế mã bị xâm phạm.