Khóa chặt các kẽ hở gian lận QR đến ứng dụng giả mạo

Khi các dịch vụ thanh toán bằng mã QR được mở rộng, yêu cầu bảo đảm an ninh luôn trở thành ưu tiên hàng đầu. Các ngân hàng thời gian qua đã dành nguồn lực lớn để củng cố hạ tầng công nghệ, tăng cường các lớp bảo mật, và thanh toán qua QR cũng nằm trong chiến lược nâng cao an toàn đó.

Chia sẻ tại hội thảo “Thanh toán QR CODE: Minh bạch và trải nghiệm không giới hạn”, ngày 19/11/2025, do Tạp chí Kinh tế Việt Nam/VnEconomy phối hợp với Vụ Thanh toán, Công ty Cổ phần Thanh toán Quốc gia Việt Nam (NAPAS) tổ chức, ông Nguyễn Minh Đức, Chủ nhiệm Câu lạc bộ Dịch vụ An ninh mạng (Hiệp hội An ninh mạng Việt Nam – cho biết NCA lừa đảo trực tuyến hiện là một trong những vấn đề nhức nhối nhất trong hoạt động giao dịch số.

“Bản thân một mã QR không thể hiện nội dung nên người dùng rất khó nhận biết đâu là thật, đâu là giả. Trong khi đó, thói quen thanh toán nhanh bằng QR ngày càng phổ biến, khiến người dùng dễ bị dẫn dụ. Lợi dụng tính năng này, mã QR giờ đây không chỉ gắn với chức năng thanh toán mà còn có thể điều hướng tới trang web, tải xuống ứng dụng hay mở nội dung ẩn. Đây chính là những điểm mà kẻ gian khai thác để thực hiện hành vi lừa đảo”.

Theo ông Đức, người dùng thường xuyên bị tấn công bằng các cuộc gọi và tin nhắn giả mạo cơ quan công quyền như thuế, điện lực, công an… Thậm chí, xuất hiện thêm thủ đoạn phát tán mã QR giả mạo để dụ nạn nhân cài đặt các ứng dụng nhái VNeID hoặc phần mềm giả mạo của ngành điện lực.

Ngoài các rủi ro trực tiếp liên quan đến QR, việc rò rỉ dữ liệu cá nhân cũng khiến người dùng đối diện thêm một tầng rủi ro khác khi giao dịch trực tuyến.

Chủ nhiệm Câu lạc bộ Dịch vụ An ninh mạng nêu ví dụ, khi mua thuốc online, các thông tin nhạy cảm như tình trạng sức khỏe có thể bị thu thập trái phép, từ đó mang lại vô số cuộc gọi quảng cáo hay tin nhắn không mong muốn. Thậm chí, dựa trên những thông tin bị rò rỉ này, các kịch bản lừa đảo càng trở nên tinh vi bởi kẻ gian đã nhắm chính xác vào nhu cầu, sở thích, thói quen của người dùng. Đây là yếu tố quan trọng dẫn đến sự gia tăng của các vụ lừa đảo trực tuyến.

Để hạn chế rủi ro khi thanh toán, về phía người dùng, ông Nguyễn Minh Đức khuyến nghị cần kiểm tra kỹ ứng dụng quét QR, bảo đảm chỉ thao tác trên ứng dụng của ngân hàng hoặc ví điện tử chính thức. Đồng thời, trước khi chuyển tiền, nên xác nhận lại chủ tài khoản, đơn vị thụ hưởng và số tiền, ngay kể cả khi giao dịch tại các cửa hàng, quán cà phê hay điểm bán lẻ để tránh chuyển nhầm tiền cho kẻ gian.

Ở góc độ ngân hàng và các tổ chức trung gian thanh toán, theo ông Đức, nhiệm vụ trọng yếu là bảo vệ hệ thống trước các cuộc tấn công mạng bởi khi kết nối qua QR Payment thường liên quan đến nhiều bên, không chỉ giữa người gửi và người nhận nên nguy cơ rủi ro và lỗ hổng bảo mật càng lớn.

“Một khi hệ thống bị tấn công, giao dịch có thể ngưng trệ, gây thiệt hại lớn đến hoạt động tài chính, thậm chí mở đường cho kẻ gian trong việc đánh cắp dữ liệu hoặc can thiệp vào các kết nối đa bên”, ông Đức cảnh báo.

Do đó, ngân hàng và các trung gian thanh toán phải thường xuyên kiểm tra, đánh giá hệ thống để tuân thủ các yêu cầu bảo mật của Ngân hàng Nhà nước, đồng thời phát hiện sớm các giao dịch mạo danh, lừa đảo. Ông Đức cho rằng việc bảo đảm an toàn cho thanh toán QR là sự kết hợp giữa nền tảng công nghệ chuẩn hóa và thói quen cảnh giác của chính người sử dụng.

Cũng trong phiên thảo luận, ông Nguyễn Đăng Hùng, Chủ nhiệm Câu lạc bộ VietFintech (Hiệp hội Ngân hàng Việt Nam) nhắc lại rằng cách đây vài năm từng xảy ra một số trường hợp người đáng lẽ nhận tiền lại không nhận được, trong khi tiền lại chuyển sang người khác. Đây là biểu hiện rõ rệt của các lỗ hổng trong giai đoạn đầu phát triển QR.

Tuy nhiên, ông Hùng đánh giá, nhờ sự phối hợp ngày càng chặt chẽ giữa ngân hàng và các nhà cung cấp giải pháp, những rủi ro này đã giảm đáng kể. Nhiều đơn vị trang bị thêm hệ thống thông báo tự động qua ứng dụng, giúp người dùng kiểm soát tốt hơn dòng tiền và giảm thiểu những sai sót hay hành vi gian lận trong quá trình giao dịch bằng mã QR.