Là chuyên gia an ninh dữ liệu với 10 năm triển khai giải pháp bảo mật cho doanh nghiệp, tôi thường xuyên nhận được câu hỏi: “Mã QR có bị làm giả không?” và “Quét mã QR có an toàn không?”. Câu trả lời là có, và mức độ rủi ro cao hơn bạn tưởng. Báo cáo dưới đây tổng hợp các phân tích kỹ thuật, dữ liệu thực chứng, ví dụ thực tế và chiến lược phòng thủ cấp doanh nghiệp – được cập nhật đến tháng 11/2025.
Để hỗ trợ doanh nghiệp tạo mã QR an toàn, hạn chế tối đa nguy cơ bị làm giả, bạn có thể tham khảo công cụ tạo mã QR bảo mật của VN168 – một nền tảng tích hợp xác thực liên kết và kiểm soát quét, giúp hạn chế rủi ro quishing và mã QR bị sao chép. Công cụ chi tiết tại đây: Tạo mã QR bảo mật VN168
1. Mã QR có bị làm giả không?
Mã QR hoàn toàn có thể bị làm giả, đặc biệt khi doanh nghiệp sử dụng mã QR tĩnh không có lớp bảo mật bổ sung. Việc sao chép, in lại hoặc dán đè mã giả là điều cực kỳ dễ dàng.
Theo KeepNet Labs, 26% liên kết độc hại hiện nay được phát tán qua mã QR — vượt cả email lừa đảo truyền thống (2024–2025).
Đây là con số báo động cho thấy: Mã QR là mục tiêu tấn công hàng đầu hiện nay.
Ví dụ thực tế
Năm 2024, một chuỗi cửa hàng tiện lợi phía Nam yêu cầu tôi điều tra 18 vụ thất thoát do thanh toán QR. Kết quả: 100% điểm bị dán đè mã QR giả bằng sticker trong suốt. Người dùng quét → tiền chuyển nhầm. Rủi ro này tăng mạnh khi bước sang 2025.
2. Quét mã QR có an toàn không?
Không hoàn toàn an toàn, đặc biệt khi quét mã không rõ nguồn gốc.
Quét mã QR có thể dẫn đến:
- Tải malware
- Bị chuyển hướng URL độc hại
- Lộ thông tin đăng nhập ngân hàng
- Kết nối Wi-Fi giả mạo
- Tấn công Quishing (QR phishing)
Cisco Cybersecurity Report 2025 cho biết: Quishing tăng 295% chỉ trong 18 tháng gần đây.
3. Vì sao mã QR dễ bị làm giả?
3.1. Che giấu URL đích
Không giống liên kết văn bản hiển thị URL đầy đủ, mã QR che giấu hoàn toàn đích đến, khiến người dùng không có “lớp kiểm tra nhận thức”.
Đây là lý do mã QR nguy hiểm hơn email phishing.
“QR code không được thiết kế cho bảo mật. Chúng được thiết kế cho sự tiện lợi.” – Báo cáo An ninh QR, MIT CSAIL 2025
3.2. Mã QR tĩnh đặc biệt dễ làm giả
- Không kiểm soát được số lần quét
- Không cập nhật được URL nếu bị chiếm quyền
- Dễ sao chép hàng loạt
3.3. Mã QR động an toàn hơn nhưng vẫn có rủi ro
- Dùng URL rút gọn → dễ bị che giấu đích
- Nếu nền tảng kém bảo mật → nguy cơ chuyển hướng độc hại
4. Các kỹ thuật làm giả phổ biến năm 2025
4.1. Dán đè mã QR (Overlay Attack)
Phương thức đang gây thiệt hại nhiều nhất tại VN.
Ví dụ: máy trả phí giữ xe, cây xăng, quán cà phê…
4.2. Sao chép hàng loạt (Mass-duplication Attack)
Kẻ gian lấy mã QR thật rồi in lại lên hàng nghìn sản phẩm giả.
→ Doanh nghiệp mất kiểm soát toàn bộ chuỗi cung ứng.
4.3. Mã QR lừa đảo online (Quishing)
Quishing là cuộc tấn công sử dụng mã QR để dẫn người dùng vào trang web giả mạo.
Quy trình kỹ thuật gồm 5 bước: phát tán → “mồi” ưu đãi → quét → chuyển hướng → đánh cắp dữ liệu.
5. Giải pháp chống làm giả cấp doanh nghiệp (Anti-Counterfeiting Strategy)
5.1. Mã QR biến đổi (Variable QR)
- Mỗi sản phẩm có 1 mã duy nhất
- Quét quá số lần → cảnh báo giả
- Mã bị sao chép → hệ thống tự động nhận diện
Đây chính là công nghệ đang dùng trên truyxuat.gov.vn.
5.2. Tích hợp Blockchain/Crypto
Tạo “dấu vân tay số” không thể sửa đổi.
CEO Agrifarm (2025) xác nhận:
“Sao chép mã QR sẽ kích hoạt cảnh báo ngay lập tức trên hệ thống blockchain.”
6.Mối đe dọa Quishing nguy hiểm nhất 2025
6.1. Loại tấn công
- Phishing credential
- Malware
- Kết nối Wi-Fi giả
- Inject mã độc từ xa
6.2. Shortened URL
URL rút gọn gây ẩn danh hoàn toàn.
→ Người dùng không thể biết trang đích.
7. Checklist bảo mật khi quét mã QR
7 bước tôi khuyến nghị (áp dụng cho cả doanh nghiệp và người dùng)
| Bước | Cách thực hiện | Lợi ích bảo mật |
| 1 | Chỉ quét mã từ nguồn chính thức | Loại bỏ 80% rủi ro dán đè |
| 2 | Kiểm tra URL hiển thị | Ngăn chuyển hướng giả mạo |
| 3 | Tránh URL rút gọn | Giảm rủi ro bị che giấu |
| 4 | Dùng app bảo mật (Kaspersky QR Scanner) | Quét URL qua KSN trước khi mở |
| 5 | Tuyệt đối không nhập OTP qua web lạ | Ngăn đánh cắp tài khoản |
| 6 | Không quét mã trên tờ rơi, bưu phẩm lạ | Chặn quishing vật lý |
| 7 | Doanh nghiệp ưu tiên mã QR động | Kiểm soát URL từ xa |
Nếu doanh nghiệp của bạn cần giải pháp bảo mật sâu hơn, bạn có thể xem thêm hệ sinh thái giải pháp số hóa – bảo mật – xác thực dành cho doanh nghiệp tại trang chủ VN168, nơi tôi và đội ngũ xây dựng các công cụ phòng chống làm giả và an ninh dữ liệu thế hệ mới.
Kết luận
Từ kinh nghiệm của tôi trong bảo mật hệ thống suốt 10 năm, đến 11/2025, mã QR đã tiến xa hơn mục đích ban đầu, nhưng đi kèm là rủi ro ngày càng lớn.
Có — mã QR bị làm giả được.
Không — quét mã QR không hoàn toàn an toàn.
Bảo mật QR CODE chỉ hiệu quả khi doanh nghiệp & người dùng cùng tuân thủ các chiến lược bảo vệ chủ động.
