Rủi ro bị chiếm tài khoản khi quét mã QR

Tại buổi họp báo thường kỳ của Bộ TT&TT diễn ra chiều 6/9, các phóng viên có đề cập đến tình trạng lừa đảo bằng mã QR ghi nhận có chiều gia tăng trong thời gian gần đây.

Trả lời câu hỏi về chủ đề này, ông Nguyễn Duy Khiêm, đại diện Cục ATTT (Bộ TT&TT) cho biết, mã QR đã và đang ngày càng phổ biến khắp mọi nơi, không chỉ ở Việt Nam mà ở nhiều nước trên thế giới, nhất là sau đại dịch COVID-19 khiến nhu cầu sử dụng mã QR tăng lên nhanh chóng.

Theo thống kê Vụ Thanh toán, Ngân hàng Nhà nước, mã QR có tốc độ tăng trưởng mạnh mẽ cả về số lượng và giá trị. Cụ thể, trong năm 2022, thanh toán qua mã QR tăng tới hơn 225% về số lượng và trên 243% về giá trị so với năm 2021. Điều này cho thấy phương thức này ngày càng quen thuộc với người tiêu dùng.

Tình trạng lừa đảo bằng mã QR được ghi nhận tăng mạnh trên thế giới, thậm chí xuất hiện cả ở Việt Nam trong thời gian qua. Tại Việt Nam, trong tháng 8/2023, một số ngân hàng đã phát cảnh báo tình trạng lừa đảo thẻ tín dụng thông qua mã QR. Cảnh báo cho biết kẻ gian sau khi kết bạn qua mạng xã hội để trao đổi với nạn nhân sẽ gửi mã QR để người dùng quét. Mã này dẫn tới các website giả mạo ngân hàng, trong đó yêu cầu người dùng nhập thông tin như họ tên, số căn cước (CCCD), tài khoản, thậm chí cả mã bí mật hoặc OTP. Từ đó, người dùng bị chiếm tài khoản.

So với đường link độc hại truyền thống thì mã QR có lợi thế là có thể chèn trực tiếp vào email, tin nhắn mà không bị các bộ lọc chặn lại nên dễ dàng tiếp cận người dùng.

“Trên thực tế, bản chất QR code không phải mã độc tấn công trực tiếp mà chỉ là trung gian để truyền tải nội dung. Người dùng có bị tấn công hay không phụ thuộc vào cách xử lý nội dung sau khi quét mã QR code”, đại diện Cục ATTT nhận định.

Qua đó, Cục ATTT đã đưa ra một số khuyến nghị người dùng cảnh giác lừa đảo qua mã QR. Đầu tiên, cần thận trọng trước khi quét mã QR, đặc biệt cảnh giác với các mã QR được dán hoặc chia sẻ ở những nơi công cộng hoặc gửi qua mạng xã hội, email.

Tiếp theo, cần xác định và kiểm tra kỹ càng thông tin tài khoản người trao đổi mã QR.

Thứ ba, người dùng cần xem xét kỹ nội dung trang web mà mã QR đưa tới và kiểm tra đường link xem có bắt đầu với https hay có phải tên miền quen thuộc không.

Ngoài ra, theo Cục ATTT, người dùng cũng nên: Tuyệt đối không cung cấp các thông tin cá nhân như tài khoản đăng nhập ngân hàng, tài khoản mạng xã hội; Sử dụng trình quản lý mật khẩu, xác thực hai yếu tố và các phương thức bảo vệ khác cho tài khoản.

Bên cạnh đó, đối với các về đơn vị, tổ chức cung cấp mã QR trong các hoạt động, cũng cần chú ý: Cần cảnh báo tuyên truyền đến với người dùng, như các ngân hàng thời gian vừa qua cảnh báo đến khách hàng; Đưa ra giải pháp xác minh giao dịch có dấu hiệu bất thường; Thường xuyên kiểm tra thường xuyên các mã QR được dán tại địa điểm cung cấp.

Biện pháp quản lý, cấp phép các thiết bị, phần mềm CNTT

Đại diện Cục ATTT cũng thông tin, thiết bị kích "view", kích "like" như phone farm, box phone farm, về bản chất là hệ thống phần cứng có thể bao gồm nhiều thiết bị điện thoại, máy tính bảng đơn lẻ được kết hợp với nhau dựa trên phần cứng và phần mềm điều khiển để thực hiện một số hoạt động nhất định.

Thiết bị này thường được sử dụng để giả lập các hành vi của người sử dụng, nhằm thực hiện các hành vi nhất định như tăng lượt truy cập, lượt like, chia sẻ trên các nền tảng mạng xã hội (MXH).

Tuy nhiên, theo thông tin Cục ATTT có được, các nền tảng MXH cũng đã bắt đầu tìm cách để hạn chế những lượt xem ảo, tương tác ảo từ những thiết bị này thông qua biện pháp kỹ thuật.

Dù vậy, hiện nay cũng chưa có các quy định cho những thiết bị này nhưng nếu cần thiết thì sẽ phải xây dựng một quy chuẩn của Việt Nam để có những biện pháp quản lý, cấp phép các thiết bị, phần mềm CNTT.

Doanh nghiệp Việt hưởng lợi khi Việt Nam tham gia Liên minh FIDO

Về sự kiện Việt Nam tham gia Liên minh Xác thực trực tuyến thế giới (FIDO Alliance), ông Khiêm cho biết, việc này mang nhiều ý nghĩa quan trọng trong việc tiếp cận với kinh nghiệm quản lý, năng lực phát triển công nghệ xác thực không mật khẩu.

Liên minh FIDO có 3 hoạt động chính: Phát triển các đặc tả kỹ thuật; Vận hành chu trình thí nghiệm; Xây dựng đặc tả để chính thức công bố. Do đó, khi Việt Nam tham gia Liên minh FIDO thì sẽ được những lợi ích gồm: Hỗ trợ trực tiếp cho Cục ATTT trong việc nâng cao công tác tham mưu quản lý nhà nước trong lĩnh vực này thông qua học tập kinh nghiệm quốc tế trong việc xác thực không dùng mật khẩu; Tiếp cận xu hướng, sản phẩm, dịch vụ mới nhất; Mở rộng mạng lưới hợp tác với các cơ quan chính phủ để hỗ trợ doanh nghiệp Việt Nam chuyển giao, xuất khẩu.

Còn về trách nhiệm của Việt Nam, Cục ATTT sẽ thực hiện đầy đủ các thoả thuận của Liên minh với các thành viên, Chính phủ và không phát sinh, làm thay đổi, ảnh hưởng quyền, nghĩa vụ của Nhà nước với các quy định quốc tế đã ban hành.

Ứng dụng chính sửa ảnh thông qua AI tiềm ẩn rất nhiều rủi ro về ATTT

Cũng theo đại diện Cục ATTT, việc bổ sung quy định về định danh và xác thực tài khoản khi tham gia MXH là cần thiết và kịp thời để nâng cao ý thức, trách nhiệm khi tham gia cung cấp, sử dụng. Đồng thời cũng ngăn chặn và hạn chế những tội phạm lừa đảo trên không gian mạng có xu hướng ngày càng tăng.

Bên cạnh đó, người dùng cũng sẽ tạo điều kiện cho các cơ quan giám sát phát hiện và xử lý các hành vi vi phạm. Việc bổ sung các quy định về xác thực bằng số điện thoại di động cũng phù hợp với các quy định hiện hành hiện nay.

“Khi các quy định về định danh trên mạng xã hội được chấp thuận và triển khai, Bộ TT&TT sẽ tiếp tục phối hợp với Bộ Công an và các đơn vị liên quan để xiết chặt việc tuân thủ các quy định về bảo đảm ATTT, dữ liệu cá nhân để người dùng an tâm khi sử dụng MXH”, ông Khiêm bày tỏ.

Đối với sử dụng các ứng dụng chính sửa ảnh, việc cung cấp hình ảnh cá nhân tiềm ẩn rất nhiều rủi ro về ATTT. Chưa kể, việc đồng ý cho ứng dụng truy cập vào kho ảnh, camera điện thoại và một số quyền, thông tin khác (email, số điện thoại). Khi đó, nhà cung cấp sẽ thu thập thông tin và xử lý dữ liệu của người sử dụng với mục đích khác nhau.

Hiện nay, việc sử dụng công cụ thanh toán xác thực bằng khuôn mặt đang phổ biến nên kẻ xấu hoàn toàn có thể lợi dụng để đánh cắp tài khoản cá nhân. Chính vì mối nguy hại này nên Cục ATTT đã đưa ra thông điệp, ứng dụng chỉnh sửa ảnh này gây ra nguy cơ mất ATTT. Bởi vì, một trong số những hình thức lừa đảo hiện nay là sử dụng cuộc gọi, video deepfake thông qua AI.

Vì vậy, đại diện Cục ATTT đã đưa ra lời khuyên với người dùng: Hạn chế chia sẻ hình ảnh, thông tin cá nhân trên các nền tảng mạng xã hội; Chọn lọc và sử dụng các ứng dụng uy tín, được nhiều người sử dụng, được cơ quan có thẩm quyền đánh giá; Đọc kĩ các điều khoản của nhà cung cấp trước khi sử dụng; Không cung cấp hình ảnh nhạy cảm, riêng tư lên các ứng dụng.

“Trước khi cài đặt bất kì ứng dụng nào cần xem xét đầy đủ các quyền muốn truy cập trên smartphone”, ông Khiêm kết luận./.

NK