Quét mã QR có bị hack không? Phân tích chuyên sâu 2025

Posted on by Nhân sự Vn168
0
(0)

Với hơn 10 năm kinh nghiệm trong lĩnh vực an toàn thông tin, tôi khẳng định: quét mã QR có thể khiến bạn bị hack hoặc lộ thông tin, nhưng không phải vì mã QR chứa virus. Nguy hiểm nằm ở đường link và hành vi thao tác sau khi quét.

Mã QR là mã vạch hai chiều dùng để mã hóa thông tin như URL, thanh toán và dữ liệu liên hệ

1. Quét mã QR có bị hack không?

Có.
Bạn có thể bị hack nếu quét phải mã QR độc hại dẫn tới:

  • Trang web giả mạo (quishing)
  • Tải xuống tệp độc hại (APK, mã độc)
  • Chuyển tiền đến kẻ gian qua mã QR dán đè
  • Bị đánh cắp tài khoản Zalo, Facebook, M365
  • Bị chiếm quyền điều khiển thiết bị

Dữ liệu nghiên cứu:
Thanh toán qua QR tại Việt Nam tăng 151,14% về số lượng giao dịch30,41% về giá trị trong 5 tháng đầu 2023, cho thấy tội phạm mạng tập trung mạnh vào hình thức này.

2. Vì sao mã QR nguy hiểm?

Mã QR không chứa virus. Nhưng nó có thể dẫn bạn đến liên kết độc hại hoặc hành động nguy hiểm mà bạn không kiểm tra trước được.
Rủi ro nằm ở URL bị che giấu và hành vi của người quét.

Từ kinh nghiệm xử lý hàng trăm ca lừa đảo, tôi nhận thấy 70–80% nạn nhân không hề nhìn URL mà bấm mở ngay.

3. 3 hình thức tấn công mã QR phổ biến nhất năm 2025

3.1. Quishing – Lừa đảo mã QR (nguy hiểm nhất)

Quishing là tấn công phishing bằng mã QR dẫn đến trang giả mạo để đánh cắp thông tin.

Cách hoạt động:

  • Dẫn đến trang đăng nhập ngân hàng, Zalo, PayPal, M365… giả mạo
  • Lấy username, password, OTP
  • Dẫn đến nhiễm malware

Quishing – Lừa đảo mã QR (nguy hiểm nhất)

Ví dụ thực tế 2025:
Tại Việt Nam, hàng trăm nạn nhân bị mất tài khoản Zalo thông qua tin nhắn “quét mã QR bình chọn – nhận voucher”. Chỉ 10 giây quét, tài khoản bị chiếm và dùng để vay mượn người thân.

“Quishing đang là vector tấn công tăng trưởng nhanh nhất vì lợi dụng điểm mù của con người trong vài giây đầu thao tác.”
John Hammond, Cybersecurity Researcher – Malwarebytes Labs (2024)

3.2. Tấn công dán đè (Overlay Attack) – Mất tiền ngay lập tức

Tấn công dán đè là việc kẻ gian dán mã QR giả lên mã thật để đánh cắp tiền.

Tình huống phổ biến:
Tại quán cà phê, cửa hàng, cây xăng, kẻ gian dán mã QR thanh toán giả → bạn chuyển thẳng tiền cho kẻ gian.

Tấn công dán đè (Overlay Attack) – Mất tiền ngay lập tức

Tôi từng hỗ trợ một doanh nghiệp mất 42 triệu đồng chỉ vì thu ngân quét nhầm mã QR dán đè lên quầy thu ngân.

3.3. Malware Delivery – Tải mã độc qua mã QR

Malware Delivery là việc mã QR dẫn bạn đến file độc hại để cài vào máy.

Các loại mã độc liên quan:

  • Herodotus: mô phỏng thao tác con người → vượt qua bảo mật
  • RedHook: đánh cắp tin nhắn, ảnh, OTP, ngân hàng
  • Trojan ngân hàng dạng MaaS (Malware-as-a-Service)

Malware Delivery – Tải mã độc qua mã QR

Ví dụ:
2024–2025, mã độc RedHook phát tán qua mã QR giả mạo “xác thực thẻ căn cước”, khiến hàng loạt người mất tiền.

4. Quét mã QR có bị lộ thông tin không?

Có. Và mức độ lộ thông tin phụ thuộc vào loại tấn công:

Loại tấn công Lộ thông tin Mức độ nguy hiểm
Quishing Mật khẩu, OTP, mã PIN, thông tin ngân hàng ⭐⭐⭐⭐⭐
Malware Ảnh, danh bạ, tin nhắn, mã OTP, điều khiển thiết bị ⭐⭐⭐⭐⭐
Dán đè Thông tin giao dịch, số tiền, tài khoản người nhận ⭐⭐⭐⭐
QR dẫn đến form thu thập thông tin CCCD, số điện thoại, email ⭐⭐⭐

5. Vì sao hệ thống bảo mật hiện nay không chặn được QR độc hại?

5.1. Điểm mù Sandbox Email

Các email gateway không phân tích được QR trong hình ảnh → lọt qua 90%.

5.2. Kỹ thuật open redirect

Kẻ gian dùng URL hợp pháp để redirect → khó phát hiện.

5.3. Người dùng chuyển sang điện thoại

Điện thoại có mức bảo vệ thấp hơn máy tính → tội phạm dễ khai thác.

6. Ví dụ thực tế hacker tấn công doanh nghiệp bằng QR

6.1. Black Basta – Tấn công doanh nghiệp bằng QR trong Microsoft Teams

Tội phạm gửi cảnh báo IT giả → yêu cầu nhân viên quét QR xác minh M365 → đánh cắp credential → triển khai ransomware.

Black Basta – Tấn công doanh nghiệp bằng QR trong Microsoft Teams

Nhận định cá nhân:
Tôi đánh giá đây là xu hướng nguy hiểm nhất 2025 vì nó chuyển tấn công QR từ “tiêu dùng” sang doanh nghiệp.

6.2. Lừa đảo Zalo + Dán đè + Mã độc RedHook

Các chiến dịch bản địa hóa bao gồm:

  • dán đè QR thanh toán
  • QR cài “ứng dụng hành chính công” nhưng thực chất là APK RedHook
  • QR bình chọn làm chiếm tài khoản Zalo

Lừa đảo Zalo + Dán đè + Mã độc RedHook

Tỷ lệ nạn nhân tăng mạnh trong các tháng đầu 2025, theo thống kê nội bộ mà tôi tiếp cận qua các sự kiện an ninh mạng.

7. 8 nguyên tắc “vàng” để không bị hack qua QR

  1. Luôn xem trước URL
  2. Không quét QR từ ảnh gửi bởi người lạ
  3. Không tải app từ QR
  4. Không nhập OTP sau khi quét QR
  5. Chỉ quét tại nguồn tin cậy
  6. Dùng camera mặc định, không dùng app scanner lạ
  7. Cập nhật OS và ứng dụng ngân hàng
  8. Không dùng Wi-Fi công cộng khi giao dịch

Quét mã QR hoàn toàn có thể khiến bạn bị hack hoặc lộ thông tin, nhưng chỉ khi bạn vô tình truy cập vào liên kết độc hại, tải file nhiễm mã độc hoặc quét phải mã bị dán đè. Mối nguy không nằm ở bản thân mã QR mà ở thao tác thiếu kiểm tra của người dùng. Trong bối cảnh tội phạm mạng liên tục nâng cấp quishing, mã độc và lừa đảo thanh toán, việc tuân thủ các nguyên tắc an toàn như kiểm tra URL, không nhập OTP, không tải app từ QR và chỉ quét tại nguồn tin cậy chính là lớp bảo vệ quan trọng nhất. Hiểu rủi ro – hành động đúng – bạn sẽ luôn an toàn khi sử dụng mã QR.

Nội dung này hữu ích không?

Kết quả xếp hạng 0 / 5. Kết quả 0

Chưa có xếp hạng!

Tác giả

  • vn168

    Đội ngũ nhân sự của Công ty Cổ phần Công nghệ VN168 gồm các chuyên viên công nghệ, thiết kế và phân tích dữ liệu, làm việc trong môi trường sáng tạo và nhanh nhạy. Họ tư duy linh hoạt, hướng đến giải pháp số hoá và chuyển đổi số cho doanh nghiệp – từ phát triển ứng dụng, xử lý dữ liệu đến tích hợp các công nghệ mới. Nhân viên công ty luôn đặt mục tiêu rõ ràng: đơn giản, nhanh, thuận tiện, đồng thời chú trọng trải nghiệm người dùng để mang lại giá trị thực.

    View all posts
Xem thêm:

Bài viết cùng chủ đề:

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *