MỚI

Tính thuế TNCN 2026

#Pháp luật

24HMONEY đã kiểm duyệt

Vì sao quét mã QR tiền 'không cánh mà bay'?

Trong những ngày qua, một số tài sản trên mạng xã hội lan truyền thông tin "quét mã QR tự nhiên tài khoản bay hết tiền" gây hoang mang dư luận. Vậy thực hư ra sao?

Theo Báo Thanh Niên, điều này không thực sự chính xác. Bởi để bị mất tiền từ tài khoản ngân hàng thì phải là một quá trình với nhiều thao tác sau đó gồm đăng nhập vào ứng dụng ngân hàng điện tử, xác nhận mã OTP hay sinh trắc học, thực hiện lệnh chuyển tiền...

Dù vậy, hiện tượng bị lừa đảo thông qua chuyển khoản, thanh toán bằng mã QR (QR code) đã được cảnh báo nhiều lần. Mới nhất, vào cuối tuần qua, Ngân hàng TMCP Lộc Phát (LPBank) đã đưa ra cảnh báo về việc lừa đảo khi giao dịch chuyển tiền qua mã QR.

Theo đó, do hình thức thanh toán qua mã QR đã trở thành phương thức thanh toán quen thuộc và tiện lợi trong cuộc sống hàng ngày nên các đối tượng lừa đảo cũng thay đổi hình thức lừa đảo từ gửi đường link độc hại truyền thống sang gửi mã QR tới khách hàng. Mã QR có thể chèn trực tiếp vào email, tin nhắn mà không bị các bộ lọc chặn lại như đường link.

LPBank liệt kê một số hình thức lừa đảo như dùng mã QR giả mạo. Cụ thể, với việc bị giả mạo thì tại nhiều cửa hàng, mã QR thường được in và đóng khung đặt trên quầy thanh toán hoặc dán bản sao tại khu vực xung quanh. Kẻ gian lợi dụng sơ hở để dán đè hoặc đặt biển có mã QR của tài khoản giả mạo để lừa đảo khách hàng và chiếm đoạt tiền chuyển khoản.

Bên cạnh đó, kẻ gian tạo mã QR giả mạo lên hóa đơn, tờ rơi giả mạo nhà hàng, quán ăn, shop online uy tín, quen thuộc,… nhằm dụ dỗ người dùng thực hiện thanh toán. Cũng xuất hiện đối tượng lừa đảo mạo danh cán bộ ngân hàng hay cán bộ cơ quan chức năng liên hệ và yêu cầu khách hàng quét mã QR để cung cấp thông tin bảo mật, thông tin cá nhân, hình ảnh căn cước công dân, tài khoản và mật khẩu ngân hàng thông qua các hình thức như sinh trắc học, nhập mã OTP, Smart OTP,… dẫn đến việc bị đánh cắp tài khoản.

Song song đó, có tình trạng mã QR gửi kèm hóa đơn từ tin nhắn SMS, email, mạng xã hội,… thông báo khách hàng trúng thưởng, nhận được quà tặng khuyến mại. Khi thực hiện quét mã QR, khách hàng sẽ bị chuyển khoản đến website lừa đảo để đánh cắp thông tin hoặc thiết bị sẽ bị cài đặt các phần mềm độc hại lên thiết bị.

Ngoài ra, kẻ gian cũng tạo lập các cửa hàng mua sắm thanh toán trực tuyến trên mạng xã hội, sàn thương mại điện tử,… mua các lượt chia sẻ, tương tác để tạo dựng hình ảnh cửa hàng uy tín hoặc đặt tên cửa hàng gần giống các thương hiệu uy tín dễ gây nhầm lẫn. Khi gặp người có nhu cầu mua hàng, đối tượng lừa đảo sẽ gửi mã QR để khách hàng thanh toán. Tuy nhiên, tài khoản nhận tiền khi khách hàng quét mã QR và thông tin tài khoản in trên QR không đồng nhất dẫn tới việc khách hàng bị điều hướng chuyển khoản vào tài khoản lừa đảo...

Trong năm 2024, Công an TPHCM cũng phát đi cảnh báo về chiêu thức lừa đảo quét mã QR . Chẳng hạn, người dùng bỗng dưng nhận được bưu phẩm quà tặng 0 đồng và phiếu cào dự thưởng. Khi người dân cào, tất nhiên trúng giải thưởng giá trị và quy trình đổi thưởng phải quét mã QR code. Khi quét mã QR code có đưa tới đường link lạ và từ đó điện thoại bị xâm nhập, bị chiếm quyền điều khiển và các đối tượng lừa đảo dễ dàng lấy tiền trong tài khoản ngân hàng...

Chuyên gia bảo mật Võ Đỗ Thắng cho hay ngoài việc giả mạo phổ biến là dán đè mã mới lên các QR code ở những điểm công cộng như bệnh viện hay tờ rơi, quảng cáo hoặc thậm chí nơi cửa hàng, kẻ gian có thể gắn đường link giả mạo ẩn dưới logo chính hãng, tên thương hiệu để qua mắt người dùng. Khi người dùng quét QR code sẽ xuất hiện một trang web giả mạo và sẽ có những hướng dẫn tiếp theo để điền thông tin, chuyển khoản. Khi đó có thể tất cả thông tin cá nhân kèm mật khẩu, mã OTP của ngân hàng sẽ bị lộ khiến tiền trong tài khoản bị đánh cắp. Đồng thời, các tài khoản Facebook, địa chỉ mail cũng có thể bị đánh cắp và sẽ phát sinh nhiều hệ lụy lâu dài.

Riêng đối với tình trạng đánh cắp tài khoản dưới chiêu trò giả vờ nhập sai mật khẩu để bị khóa ứng dụng ngân hàng điện tử thì ông Võ Đỗ Thắng cho rằng sẽ khó xảy ra hơn. Bởi sau khi thực hiện sinh trắc học thì quy trình để khách hàng có thể lấy lại mật khẩu ngân hàng điện tử sẽ gồm nhiều thủ tục hơn trước đây. Một số ngân hàng vẫn cho phép khách khách hàng liên hệ qua tổng đài và mật khẩu sẽ được gửi về địa chỉ mail cá nhân đã đăng ký trước đó. Nếu điện thoại khách hàng đã bị chiếm quyền điều khiển thì kẻ lừa đảo cũng có thể lấy được mật khẩu mới này. Còn các nhà băng vẫn yêu cầu khách hàng phải ra tận quầy giao dịch mà không cho phép thực hiện online thì sẽ an toàn hơn.

Vì vậy, vị chuyên gia này lưu ý khách hàng cẩn trọng trong mọi giao dịch thanh toán. Ví dụ khi quét mã QR cần xác minh kỹ thông tin giao dịch như số tài khoản, tên chủ tài khoản tương ứng với thông tin của chủ cửa hàng thì mới thực hiện các bước chuyển tiền trực tuyến. Khi quét mã QR code có đưa tới đường link lạ, cần phải kiểm tra kỹ mới quyết định thực hiện các thao tác tiếp theo.

Đặc biệt, trong tất cả trường hợp liên quan đến tài khoản ngân hàng thì nên đến quầy giao dịch trực tiếp, không nên tin vào bất kỳ cá nhân nào để cung cấp mật khẩu, OTP...

Mới đây, Anh Ngọc Minh (Hưng Yên, Hà Nội) làm nghề bán điện thoại cho biết: “Ngày 10/1 khi tôi chuyển khoản cho khách bằng mã QR của Ngân hàng BVBank. Tuy nhiên dù đã chuyển tiền thành công đúng 10 triệu đồng nhưng người bên kia không nhận được dù đúng tên, đúng số tài khoản vào thời điểm đó. Khi đã kiểm tra lại tôi mới biết tôi bị lừa vì bằng một cách nào đó đối tượng lừa đã làm quét mã QR ra đúng tên, đúng số tài khoản người nhận nhưng thực chất là tên người khác”.

Anh Minh cho biết, sau khi biết là bị lừa đã liên hệ với ngân hàng BVBank nhưng ngân hàng cho biết chỉ là đơn vị thu hộ. “Đến tối, tôi thử quét mã QR đó thì ra tên người khác. Các đối tượng đã làm cách nào đó hack mã QR quá tinh vi”, anh Minh nói.

Anh Nguyễn Nhật (Đống Đa, Hà Nội) cũng bị các đối tượng mạo danh nhân viên điện lực lừa: “Ngày 10/1 bị đối tượng dùng chiêu trò lừa tải app điện lực để đóng tiền điện và làm theo hướng dẫn. Sau khi làm theo hướng dẫn tinh vi, tôi như lạc vào ma trận với các link liên kết và mất ngay 27,5 triệu đồng trong tài khoản. Lúc này tôi mới tỉnh ngộ biết mình vừa bị lừa”.

Ít ngày trước, chị Nguyễn Hà ở khu đô thị Times City cũng bị lừa bằng hình thức bấm vào link lạ khi mua hàng.