How can I tell if a QR code is safe before scanning it?

You cannot determine a QR code's safety just by looking at it, which is why you should use a QR scanner app that previews the destination URL before opening it. Check that the URL matches the expected domain exactly, looking for misspellings or suspicious extensions. For physical QR codes, inspect for signs of tampering like stickers over original codes or poor print quality.

What should I do if I accidentally scanned a malicious QR code?

Immediately close the browser window without entering any information or clicking links. If you already entered credentials, change your passwords immediately on all affected accounts using a different device. Monitor your bank and credit card statements for unauthorized transactions and consider placing fraud alerts with credit bureaus if you provided personal or financial information.

Are QR codes in emails always dangerous?

Not all QR codes in emails are malicious, but they should be treated with extreme caution because they're a common attack vector. Legitimate companies rarely send QR codes for sensitive actions like password resets or payments in unsolicited emails. Always verify the sender's authenticity through independent channels and prefer typing URLs directly rather than scanning codes for important accounts.

Can my phone get infected with malware just by scanning a QR code?

Simply scanning a QR code typically won't infect your device, but the destination website could prompt you to download malicious apps or exploit browser vulnerabilities. Modern smartphones usually require explicit permission before downloading files, but sophisticated attacks can exploit zero-day vulnerabilities. Using updated mobile security software and keeping your operating system current provides important protection.

Why don't email security systems catch QR code phishing attacks?

Traditional email security filters scan text, URLs, and attachments for known malicious patterns, but QR codes appear as harmless images in email analysis. The malicious URL is encoded within the image itself, making it invisible to standard scanning tools. This is why quishing attacks have become so prevalent—they exploit a blind spot in conventional email security infrastructure.

Rủi ro cao Thiệt hại trung bình: $1,500 Thời gian thường thấy: 1-3 days

Quishing (Lừa đảo mã QR): Hướng Dẫn Bảo Vệ Toàn Diện

Quishing, hay còn gọi là lừa đảo mã QR, là một phương thức tấn công mạng đang phát triển nhanh chóng, trong đó tội phạm thay thế mã QR hợp pháp bằng mã độc hại hoặc tạo mã giả chuyển hướng nạn nhân đến các trang web gian lận. Theo Trung tâm Khiếu nại Tội phạm Internet của FBI, các vụ lừa đảo liên quan đến mã QR đã tăng 587% từ năm 2022 đến 2023, với thiệt hại trung bình lên đến 35 triệu đồng mỗi vụ. Các cuộc tấn công này lợi dụng thực tế rằng mã QR không thể đọc được bằng mắt thường, khiến người dùng không thể xác minh điểm đến trước khi quét. Chiêu thức lừa đảo thường là dán mã QR giả lên các thiết bị như đồng hồ đỗ xe, bàn nhà hàng, bao bì sản phẩm hoặc trong các tệp đính kèm email có vẻ đến từ các công ty uy tín. Khi quét, mã này sẽ chuyển hướng nạn nhân đến các trang web giả mạo tinh vi nhằm thu thập thông tin đăng nhập, thông tin ngân hàng hoặc chi tiết thẻ thanh toán. Trong môi trường doanh nghiệp, kẻ tấn công gửi mã QR qua email vượt qua các bộ lọc bảo mật truyền thống, dẫn nhân viên đến các trang đăng nhập Microsoft 365 hoặc cổng thanh toán giả mạo. Điều làm cho quishing đặc biệt nguy hiểm là khả năng vượt qua các biện pháp bảo mật thông thường. Hệ thống bảo mật email truyền thống quét URL và tệp đính kèm để phát hiện nội dung độc hại, nhưng mã QR chỉ xuất hiện dưới dạng hình ảnh vô hại. Thêm vào đó, nhiều điện thoại thông minh tự động mở liên kết từ mã QR mà không hiển thị URL đầy đủ trước, khiến nạn nhân không có cơ hội xác minh điểm đến. Ủy ban Thương mại Liên bang Mỹ báo cáo các doanh nghiệp đã mất hơn 1.1 nghìn tỷ đồng do các vụ lừa đảo mã QR trong năm 2023, với cả người tiêu dùng và nhân viên đều trở thành nạn nhân của các cuộc tấn công tinh vi này.

Thủ đoạn phổ biến Cách nhận biết Cách tự bảo vệ Ví dụ thực tế Nơi báo cáo

Thủ đoạn phổ biến

• Thay thế mã QR vật lý: Kẻ lừa đảo in nhãn dán chứa mã QR độc hại và dán lên mã QR hợp pháp trên đồng hồ đỗ xe, thiết bị thanh toán nhà hàng, trạm sạc xe điện và nhãn gói hàng giao nhận, chuyển hướng thanh toán về tài khoản của chúng.
• Chiến dịch quishing qua email: Kẻ tấn công gửi email chuyên nghiệp giả danh bộ phận IT, nhân sự hoặc tổ chức tài chính kèm mã QR yêu cầu đặt lại mật khẩu khẩn cấp, thiết lập xác thực đa yếu tố hoặc thanh toán hóa đơn dẫn đến các trang thu thập thông tin đăng nhập.
• Thông báo vi phạm đỗ xe giả: Tội phạm dán vé phạt đỗ xe giả trên kính xe với mã QR cung cấp tùy chọn thanh toán nhanh, thực chất đánh cắp thông tin thẻ tín dụng và dữ liệu cá nhân khi quét.
• Mồi đầu tư tiền điện tử: Kẻ lừa đảo phát tán mã QR qua mạng xã hội và ứng dụng nhắn tin, hứa hẹn cơ hội đầu tư tiền điện tử độc quyền, nhưng thực tế rút cạn ví kỹ thuật số của nạn nhân khi quét mã.
• Lừa đảo giao hàng: Kẻ gian gửi tin nhắn hoặc email kèm mã QR yêu cầu thay đổi lịch giao hàng hoặc thanh toán phí hải quan, dẫn đến các trang dịch vụ bưu chính giả mạo thu thập thông tin thẻ thanh toán.
• Lừa đảo thực đơn và thanh toán nhà hàng: Kẻ tấn công tạo mã QR giả cho thực đơn kỹ thuật số hoặc thanh toán tại bàn trong nhà hàng, chuyển hướng khách hàng đến các trang web giả mạo nhằm đánh cắp thông tin thẻ tín dụng khi khách cố gắng thanh toán.

Cách nhận biết

Không khớp xem trước URL: Trước khi mở liên kết, kiểm tra xem điện thoại có hiển thị URL xem trước không khớp với điểm đến dự kiến (ví dụ, mã QR đồng hồ đỗ xe hiển thị URL trang cá nhân thay vì tên miền chính thức của thành phố).
Dấu hiệu can thiệp vật lý: Tìm nhãn dán chồng lên mã QR gốc, in lệch, giấy khác chất lượng hoặc mã QR có vẻ được thêm vào sau thay vì in chuyên nghiệp trong vật liệu gốc.
Yêu cầu hành động khẩn cấp: Nghi ngờ các mã QR kèm ngôn ngữ đe dọa như 'tài khoản sẽ bị khóa trong 24 giờ,' 'cập nhật bảo mật khẩn cấp,' hoặc 'thanh toán trong 2 giờ để tránh phạt,' vì dịch vụ hợp pháp hiếm khi dùng chiêu thức gây áp lực như vậy.
Giao tiếp chung chung hoặc không cá nhân: Email hoặc tin nhắn chứa mã QR không dùng tên thật của bạn, đề cập vấn đề tài khoản mơ hồ hoặc thiếu chi tiết cụ thể về mối quan hệ với người gửi có khả năng là lừa đảo.
Yêu cầu xác thực bất ngờ: Nếu nhận mã QR không mong muốn yêu cầu thiết lập xác thực đa yếu tố, xác minh tài khoản hoặc xác nhận danh tính khi bạn không khởi xướng, đây là dấu hiệu cảnh báo lớn.
Không nhất quán điểm đến thanh toán: Khi mã QR dẫn đến trang thanh toán, kiểm tra tên người nhận, thông tin doanh nghiệp và nền tảng thanh toán có đúng như mong đợi không — kẻ lừa đảo thường dùng tài khoản cá nhân hoặc nền tảng thanh toán lạ thay vì dịch vụ thương mại uy tín.

Cách tự bảo vệ

Cài đặt ứng dụng quét mã QR có xem trước URL: Sử dụng ứng dụng đọc mã QR hiển thị đầy đủ URL điểm đến trước khi mở, và luôn xác minh tên miền trùng với tổ chức hợp pháp (kiểm tra lỗi chính tả tinh vi như 'micros0ft.com' dùng số 0 thay cho chữ o).
Gõ thủ công URL chính thức: Thay vì quét mã QR cho các hành động nhạy cảm như ngân hàng, đặt lại mật khẩu hoặc thanh toán, hãy truy cập trang web chính thức bằng cách gõ URL trực tiếp vào trình duyệt hoặc dùng dấu trang đã lưu.
Xác minh mã QR vật lý trước khi quét: Kiểm tra đồng hồ đỗ xe, thiết bị thanh toán và bao bì sản phẩm để phát hiện dấu hiệu can thiệp — mã QR hợp pháp nên được in trực tiếp trên vật liệu gốc, không phải dán thêm bằng nhãn dán hoặc tem riêng.
Bật xác thực hai yếu tố cho tất cả tài khoản: Ngay cả khi kẻ lừa đảo có được thông tin đăng nhập qua quishing, 2FA đúng cách sử dụng ứng dụng xác thực (không phải SMS) sẽ ngăn chúng truy cập tài khoản nếu không có mã xác minh phụ.
Liên hệ tổ chức qua kênh chính thức: Nếu nhận mã QR yêu cầu hành động khẩn cấp, hãy chủ động liên hệ tổ chức qua số điện thoại hoặc trang web chính thức, không dùng thông tin trong tin nhắn đáng ngờ.
Sử dụng phần mềm bảo mật trên điện thoại: Cài đặt ứng dụng bảo mật uy tín có thể phát hiện và chặn các trang web độc hại, ngay cả khi truy cập qua mã QR, cung cấp lớp bảo vệ bổ sung chống đánh cắp thông tin và phần mềm độc hại.

Ví dụ thực tế

Chủ một doanh nghiệp nhỏ nhận được email có vẻ từ nhà cung cấp phần mềm kế toán với mã QR cho 'xác minh bảo mật bắt buộc.' Khi quét, họ được dẫn đến trang đăng nhập giả mạo và nhập thông tin đăng nhập. Trong vòng 2 giờ, kẻ lừa đảo truy cập tài khoản, thay đổi thông tin khôi phục và thực hiện các chuyển khoản ACH gian lận tổng cộng 190 triệu đồng vào các tài khoản bên ngoài. Doanh nghiệp chỉ phát hiện sự cố khi các yêu cầu thanh toán hợp pháp bị từ chối do không đủ tiền.

Khách hàng tại một nhà hàng nổi tiếng ở trung tâm thành phố quét mã QR trên bàn để xem thực đơn, không biết rằng kẻ lừa đảo đã thay thế mã QR hợp pháp qua đêm. Mã giả dẫn đến trang web sao chép y hệt hệ thống đặt món của nhà hàng. Trong một cuối tuần, 47 khách hàng nhập thông tin thẻ tín dụng để thanh toán, và kẻ lừa đảo ngay lập tức sử dụng dữ liệu bị đánh cắp để mua sắm gian lận với trung bình 60 triệu đồng mỗi thẻ trước khi nhà hàng phát hiện sự thay đổi.

Nơi báo cáo — Việt Nam

Các kênh chính thức trong khu vực của bạn để báo cáo lừa đảo này.

Cục An toàn thông tin (Bộ TT&TT)

Tội phạm mạng

Cổng tiếp nhận phản ánh tin nhắn rác, cuộc gọi rác và lừa đảo trực tuyến.

Truy cập →

Bộ Công an - Cảnh báo lừa đảo

Báo cáo

Trang cảnh báo và tiếp nhận tố giác lừa đảo của Bộ Công an.

113 Truy cập →

Cục Cạnh tranh và Bảo vệ người tiêu dùng

Bảo vệ người tiêu dùng

Tổng đài bảo vệ người tiêu dùng — miễn phí cuộc gọi.

1800-6838 Truy cập →

Ngân hàng Nhà nước Việt Nam

Cơ quan tài chính

Báo cáo các trường hợp lừa đảo tài chính, ngân hàng, đầu tư bất hợp pháp.

Truy cập →

Nghi ngờ gặp phải lừa đảo này?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), quishing (lừa đảo mã qr): hướng dẫn bảo vệ toàn diện is described at https://scamlens.org/vi/encyclopedia/quishing-qr-code-phishing.

https://scamlens.org/vi/encyclopedia/quishing-qr-code-phishing

Bắt đầu từ đây

Kiểm Tra An Toàn

Tình Báo

Công Cụ & Báo Cáo

Dịch Vụ Cao Cấp

Tiện Ích & API