Theo các công ty an ninh mạng uy tín như HP, Darktrace, Malwarebytes và AusCERT, tin tặc gần đây đang tăng cường sử dụng mã QR để thực hiện các cuộc tấn công lừa đảo. Phương pháp này được gọi là “quishing” (từ “quishing” trong tiếng Anh - sự kết hợp của các từ “mã QR” và “lừa đảo”).

Một cuộc tấn công quishing thường bắt đầu bằng việc gửi email có mã QR, sau khi quét, hệ thống sẽ chuyển hướng người dùng đến một website lừa đảo. Ví dụ: nạn nhân có thể nhận được thông báo sau khi thanh toán mua hàng trực tuyến. Tin tặc thuyết phục nạn nhân rằng giao dịch không thành công và cần nhập lại thông tin thẻ ngân hàng. Khách hàng không nghi ngờ sẽ điền vào biểu mẫu và cung cấp thông tin bí mật cho tin tặc.

Các chuyên gia từ Darktrace giải thích những dấu hiệu cho thấy email có thể là giả mạo: Người gửi đang hối thúc, cho rằng tình huống rất khẩn cấp và mã QR cần được quét ngay lập tức; Nạn nhân được đề nghị thiết lập xác thực hai yếu tố hoặc kích hoạt bất kỳ chức năng nào khác của máy tính/trình duyệt.

Đôi khi email cũng có thể đến từ các tài khoản hợp pháp bị hack. Các email này hầu như không chứa văn bản, điều này khiến các bộ lọc nội bộ trong dịch vụ email rất khó nhận ra chúng là thư rác. Hơn nữa, mã QR độc hại vẫn được phát tán không chỉ qua email mà còn qua SMS, cũng như trên mạng xã hội.

Quishing chỉ là một cách lừa đảo phức tạp, nên các mẹo tiêu chuẩn để phát hiện lừa đảo vẫn được áp dụng. Vì vậy, để tự bảo vệ mình, người dùng có thể xem trước URL đằng sau mã QR và sử dụng các máy quét có tính năng bảo mật tích hợp để kiểm tra trước khi chấp nhận thực hiên theo yêu cầu.