Biến thể tinh vi của "brushing scam" mà FBI cảnh báo gần đây (tháng 8/2025) là một hình thức lừa đảo nâng cao, kết hợp giữa việc gửi gói hàng không mong muốn (unsolicited packages) và sử dụng mã QR độc hại để khai thác người dùng smartphone.

Trong “brushing scam” truyền thống, kẻ lừa đảo gửi hàng để tạo đánh giá giả trên các nền tảng thương mại điện tử như Amazon. Tuy nhiên, biến thể mới này nguy hiểm hơn vì tập trung vào việc đánh cắp dữ liệu qua QR code, dẫn đến rủi ro tài chính và bảo mật cao.

FBI đã phát hành cảnh báo qua văn phòng Pittsburgh và IC3 (Internet Crime Complaint Center), nhấn mạnh rằng đây là mối đe dọa đang gia tăng đối với tất cả người dùng iPhone và Android.

Nguy cơ bị 'vét sạch' tiền trong tài khoản ngân hàng

Biến thể này khai thác sự tò mò của người dùng khi nhận gói hàng không rõ nguồn gốc, dẫn đến việc quét QR code bằng smartphone – một hành động phổ biến nhưng dễ bị lợi dụng.

“Trong biến thể này, tội phạm gửi các gói hàng không được yêu cầu, bên trong có mã QR khiến nạn nhân cung cấp thông tin cá nhân, tài chính hoặc vô tình tải phần mềm độc hại đánh cắp dữ liệu từ điện thoại”, FBI cảnh báo.

Khi quét QR code, nạn nhân có thể bị dẫn đến trang web giả mạo yêu cầu nhập thông tin ngân hàng, mật khẩu hoặc dữ liệu cá nhân. FBI lưu ý rằng kẻ lừa đảo sử dụng thông tin này để truy cập tài khoản ngân hàng, chứng khoán hoặc thẻ tín dụng, có thể dẫn đến mất mát tài chính lớn, thậm chí xóa sạch tài khoản. Ví dụ, QR code có thể tự động tải phần mềm độc hại (malware) thu thập dữ liệu nhạy cảm mà nạn nhân không nhận ra.

Không những thế, QR code có thể khởi động tải xuống malware, cho phép kẻ tấn công kiểm soát thiết bị từ xa. Điều này dẫn đến rủi ro như theo dõi hoạt động, đánh cắp danh bạ, tin nhắn hoặc dữ liệu ứng dụng (như ví điện tử). Đối với người dùng Android và iOS, malware có thể vượt qua các lớp bảo mật cơ bản nếu nạn nhân cấp quyền truy cập mà không kiểm tra, dẫn đến mất quyền riêng tư lâu dài và rủi ro danh tính bị đánh cắp.

Từ đây, kẻ lừa đảo có thể sử dụng thông tin nạn nhân để tạo đánh giá giả, làm tăng uy tín sản phẩm lừa đảo trên nền tảng như Amazon, dẫn đến nhiều nạn nhân hơn. Ngoài ra, gói hàng thường thiếu thông tin người gửi, tăng tính tò mò và dễ quét mã QR. Chính hành động này mở đường cho tin tặc chiếm quyền truy cập dữ liệu nhạy cảm. FBI cảnh báo rằng chiêu lừa đảo này đang lan rộng, với hàng ngàn trường hợp báo cáo qua IC3, và có thể kết hợp với các hình thức khác như smishing (lừa đảo qua SMS) để tăng hiệu quả.

Ngoài ra, người dùng smartphone dễ bị ảnh hưởng vì tính tiện lợi của QR code (dùng để thanh toán, truy cập web nhanh). Scam này khai thác tâm lý "tò mò" và "tin tưởng gói hàng", đặc biệt ở khu vực đô thị nơi giao hàng trực tuyến phổ biến. Nếu không phát hiện sớm, nạn nhân có thể gặp vấn đề tín dụng lâu dài hoặc trở thành mục tiêu của các chiêu trò lừa đảo tiếp theo.

Khuyến nghị của FBI và các chuyên gia bảo mật

Để bảo vệ bản thân, người dùng smartphone cần áp dụng các biện pháp chủ động, dựa trên khuyến nghị của FBI và các chuyên gia bảo mật, theo các bước cụ thể dưới đây:

Kiểm tra và xử lý gói hàng không mong muốn: Không mở hoặc quét QR code từ bất kỳ gói hàng nào không có thông tin người gửi rõ ràng. Nếu nhận gói hàng lạ, liên hệ với dịch vụ giao hàng để xác minh nguồn gốc trước khi xử lý. Tránh tò mò quét mã để "kiểm tra" – đây là bẫy phổ biến.

Bảo vệ smartphone và dữ liệu: Không quét QR code từ nguồn không đáng tin cậy; sử dụng ứng dụng quét QR an toàn với tính năng kiểm tra URL trước khi truy cập. Bật xác thực hai yếu tố (2FA) cho tất cả tài khoản, cập nhật phần mềm smartphone thường xuyên để vá lỗ hổng bảo mật. Nếu nghi ngờ, kiểm tra quyền truy cập ứng dụng và xóa các app lạ.

Giám sát và phản ứng nhanh: Thường xuyên kiểm tra báo cáo tín dụng miễn phí từ các cơ quan tài chính, ngân hàng để phát hiện hoạt động gian lận. Nếu đã quét QR code, thay đổi ngay mật khẩu tất cả tài khoản.

Báo cáo và nâng cao nhận thức: Báo cáo lừa đảo cho cơ quan công an, cung cấp chi tiết như địa chỉ gửi hàng, QR code (nếu có ảnh) và thông tin liên quan. Chia sẻ cảnh báo với gia đình và bạn bè để tăng cường nhận thức cộng đồng. Theo dõi cập nhật từ FBI hoặc các nguồn bảo mật từ cơ quan chức năng để nắm bắt biến thể mới.

Dù xuất phát từ Mỹ, chiêu thức này có thể lan rộng toàn cầu, đặc biệt trong bối cảnh giao dịch trực tuyến và thương mại điện tử ngày càng phổ biến. Người dùng smartphone chỉ cần một cú quét mã vô tình đều có thể trở thành “cửa ngõ” cho hacker.

FBI nhấn mạnh rằng nhận thức và báo cáo kịp thời là chìa khóa để chống lại chiêu lừa đảo này, giúp bảo vệ không chỉ cá nhân mà còn cộng đồng rộng lớn hơn. Nếu nghi ngờ, hành động ngay lập tức để tránh hậu quả lâu dài.