Những công ty an ninh mạng uy tín như Darktrace, HP, Malwarebytes và AusCERT cho biết tin tặc gần đây đang tăng cường sử dụng mã QR để thực hiện những cuộc tấn công lừa đảo. Phương pháp này được gọi là “quishing” (từ “quishing” trong tiếng Anh là sự kết hợp của các từ “mã QR” và “lừa đảo”).
Một cuộc tấn công quishing thường được bắt đầu bằng việc gửi email có mã QR, sau khi quét, hệ thống sẽ chuyển hướng người dùng đến website lừa đảo. Ví dụ: nạn nhân có thể nhận được một thông báo sau khi thanh toán mua hàng trực tuyến. Tin tặc thuyết phục nạn nhân rằng giao dịch không thành công cũng như cần nhập lại thông tin thẻ ngân hàng. Khách hàng không nghi ngờ sẽ điền vào biểu mẫu và cung cấp các thông tin bí mật cho tin tặc.
Những chuyên gia từ Darktrace giải thích các dấu hiệu cho thấy email có thể là giả mạo: Người gửi đang hối thúc, cho rằng tình huống là rất khẩn cấp và mã QR cần phải quét ngay lập tức; nạn nhân được đề nghị thiết lập xác thực hai yếu tố hay kích hoạt bất kỳ chức năng nào khác của máy tính/trình duyệt.
Đôi khi email cũng có thể đến từ những tài khoản hợp pháp bị hack. Những email này hầu như không chứa văn bản, điều này khiến những bộ lọc nội bộ trong dịch vụ email rất khó nhận ra chúng là thư rác. Hơn nữa, mã QR độc hại vẫn có thể phát tán không chỉ qua email mà còn qua SMS, cũng như trên mạng xã hội.
Quishing là một cách thức lừa đảo phức tạp, nên những mẹo tiêu chuẩn để phát hiện lừa đảo vẫn được áp dụng. Vì nên, để tự bảo vệ mình, người dùng có thể xem trước URL đằng sau của mã QR và sử dụng các máy quét có tính năng bảo mật tích hợp để kiểm tra trước khi chấp nhận thực hiện theo các yêu cầu.