Sự thật về lừa đảo mã QR: các trình tạo "miễn phí" moi tiền người dùng ra sao

Ở đâu đó giữa năm 2015 và hôm nay, mã QR đã đi từ một thứ lạ lẫm của Nhật Bản trở thành hạ tầng toàn cầu. Chúng được in trên bàn nhà hàng, tường bảo tàng, bao bì sản phẩm và biểu mẫu thuế. Hầu như mọi điện thoại trên Trái Đất đều đọc được chúng.

Và quanh đó, một ngành công nghiệp âm thầm mọc lên dựa trên một tiền đề không trung thực duy nhất: rằng mã QR phải có một bên trung gian.

Bài viết này giải thích cơ chế của trò bòn rút bằng mã QR: vì sao nó hoạt động, ai kiếm lời và làm thế nào để không trở thành một trong hàng triệu nạn nhân.

Khuôn mẫu điển hình

Bạn gõ "free QR code generator" vào Google. Kết quả đầu tiên có giao diện dễ mến. Bạn dán URL, tuỳ chỉnh màu, thấy mã QR đẹp hiện ra. Bạn bấm "tải về".

Bây giờ sẽ có một trong ba chuyện xảy ra:

1. Bạn bị yêu cầu lập tài khoản — "chỉ để tải về"
2. Bạn được thông báo bản miễn phí có độ phân giải thấp hoặc có chữ mờ, và tải bản "premium" phải trả tiền
3. Bạn nhận được bản tải về sạch sẽ — và không gì cảnh báo rằng mã QR bạn vừa lưu đi qua máy chủ của trình tạo

Trường hợp 3 là hiểm độc nhất. Người dùng rời trang tin rằng mình đã có mã QR hoạt động. Họ in nó lên danh thiếp, thực đơn nhà hàng, bảng chỉ dẫn sự kiện, nhãn sản phẩm. Hàng nghìn bản đi vào lưu hành. Và trong nhiều tuần, nhiều tháng, có khi nhiều năm, các mã vẫn hoạt động tốt.

Rồi một ngày, rất lặng lẽ, chúng ngừng hoạt động. Vì công ty đã quyết định đã đến lúc kiếm tiền.

Thực sự có gì bên trong một mã QR

Mã QR là một mẫu hình gồm các ô vuông đen trắng mã hoá dữ liệu nhị phân. Trình quét giải mã mẫu và đưa kết quả cho hệ điều hành; hệ điều hành diễn giải nó thành URL, chuỗi văn bản, thông tin Wi-Fi hay các định dạng khác.

Điểm then chốt: mã QR chính là dữ liệu. Không có máy chủ nào tham gia. Không có truy vấn nào. Một khi mã QR đã in, không ai có thể thay đổi thứ bên trong nó.

Một mã QR URL tĩnh cho https://example.com/menu chứa đúng byte ASCII của URL đó. Khi bất kỳ ai quét nó, ở bất cứ đâu trên thế giới, mãi mãi, họ sẽ được dẫn đúng tới URL đó. Không ai có thể tắt. Không ai có thể đổi. Không ai có thể truy dấu ai đã quét.

Đó là cách mã QR được thiết kế, và là lý do chúng trở thành hạ tầng phổ quát.

Vòng vèo

Mã QR động phá vỡ thiết kế này. Thay vì mã hoá chính URL, chúng mã hoá một URL chuyển hướng ngắn trên máy chủ của nhà cung cấp QR — kiểu https://short.qr-co/abc123.

Khi quét, trình quét yêu cầu short.qr-co/abc123. Máy chủ nhà cung cấp tra abc123 trong cơ sở dữ liệu, tìm đích thật và trả về một chuyển hướng HTTP. Trình quét đi theo chuyển hướng và đến trang thật.

Về phía người dùng, y hệt nhau. Về phía nhà cung cấp, đó là mỏ vàng:

• Mỗi lần quét tạo một mục log máy chủ: dấu thời gian, IP, user-agent, đôi khi là vị trí địa lý
• URL đích có thể đổi bất cứ lúc nào, không cần in lại
• Mã có thể bị tắt, xoá hoặc bị nhà cung cấp giữ làm con tin
• Dữ liệu quét có thể bán lại
• Quan trọng nhất: nhà cung cấp có thể thu tiền thuê

Chúng tôi mổ xẻ cơ chế kỹ hơn trong Cướp chuyển hướng mã QR.

Tiền được rút bằng cách nào

Mô hình QR động mở ra bốn chiến lược rút tiền khác biệt:

Thuê bao

Mã QR hoạt động chừng nào bạn còn đóng phí tháng. Ngưng đóng, nhà cung cấp tắt chuyển hướng — mọi bản in biến thành đồ phế. Họ bán điều này công khai như một tính năng ("theo dõi lượt quét! sửa QR bất cứ lúc nào!"), nhưng thực chất kinh doanh là hiệu ứng khoá chân. Phân tích chi tiết trong Bẫy thuê bao QR.

Dùng thử rồi sập bẫy

Người dùng miễn phí nhận một QR động "dùng thử". Nó hoạt động 14 ngày, 30 ngày, đôi khi lâu hơn. Đến lúc hết hạn, nó đã lưu hành. Muốn giữ nó sống, giờ phải trả tiền. Âm thầm, một công cụ miễn phí biến thành khoản chi định kỳ.

Tải về sau bức tường phí

Tạo mã miễn phí. Trả tiền để tải bản độ phân giải cao. Trả thêm để xoá chữ mờ. Trả thêm cho SVG. Trả thêm cho hoa văn "premium". Không khoản nào phản ánh chi phí thật — QR là phép tính 100 byte — nhưng mỗi điểm ma sát biến một phần người dùng thành khách trả tiền.

Đăng ký bắt buộc

QR miễn phí và tĩnh, nhưng để tải bạn phải tạo tài khoản. Giờ họ có email của bạn, và sản phẩm chuyển trọng tâm sang email upsell, nuôi dưỡng khách hàng tiềm năng và dịch vụ kế cận.

Cả bốn chiến lược đều dựa trên cùng một mẹo: người dùng không biết rằng tạo QR gần như miễn phí. Phần lớn mặc định rằng nếu bị thu tiền thì hẳn phải có lý do. Không có.

Thiệt hại thật

Đây không phải giả định. Khuôn mẫu này có hậu quả nhìn thấy được:

• Nhà hàng có QR trên thực đơn in đột nhiên ngừng hoạt động sau khi nhà cung cấp đổi chính sách
• Ban tổ chức sự kiện ôm đống tài liệu quảng cáo trỏ đến chuyển hướng đã chết
• Doanh nghiệp nhỏ có danh thiếp mất hiệu lực giữa chừng chiến dịch
• Tổ chức phi lợi nhuận có QR quyên góp bị vỡ khi thuê bao hết hạn
• Nhà thờ, bảo tàng, trường học — bất cứ nơi nào không có đội IT — cầm trên tay đống in ấn vô dụng

Trong đa số trường hợp, nạn nhân không bao giờ hiểu chuyện gì đã xảy ra. Họ cho rằng QR vốn đã mong manh, hoặc chính mình làm sai. Mô hình kinh doanh của nhà cung cấp sống nhờ sự mập mờ này. Nếu mã của bạn ngừng hoạt động, hãy đọc Vì sao mã QR của bạn ngừng hoạt động.

Vì sao trò này còn chạy được

Vài yếu tố khiến việc bòn rút bằng QR hiệu quả bất thường:

Từ "QR" là hộp đen với hầu hết mọi người. Với người dùng trung bình, mã QR là một hộp đen trắng mở link như ảo thuật. Họ không biết có khác biệt giữa tĩnh và động — giao diện trình tạo không bao giờ nói. Chúng tôi viết so sánh đầy đủ để sửa điều đó.

Thiệt hại bị trễ. Khi QR động hỏng, nạn nhân thường đã quên dịch vụ nào tạo ra nó. Tải lại, in lại, khôi phục — đều khó.

Thiệt hại âm thầm. QR hỏng không kêu. Nó chỉ không hoạt động — trông như sự cố quét thông thường. Người dùng thường đổ lỗi cho điện thoại.

Kết quả tìm kiếm ưu ái kẻ săn mồi. Công ty có doanh thu chi cho SEO, quảng cáo và nông trại nội dung. Công cụ QR tĩnh trung thực hiếm khi xếp trên họ. Kết quả: tìm "free QR code generator" chủ yếu ra sản phẩm mặc định là động.

Cách nhận diện dịch vụ QR hám lợi

Trước khi dùng bất kỳ trình tạo QR nào, hãy kiểm tra các tín hiệu sau:

1. Có đòi tài khoản không? Trình tạo tĩnh không cần — mã hoá URL vào mẫu hình là toán thuần phía client. Mọi yêu cầu đăng ký đều là cơ chế rút ruột.
2. Có "theo dõi" hay "phân tích" không? Tính năng đếm lượt quét chứng minh mã là động. QR tĩnh không theo dõi được gì cả.
3. Có "gói" hay "thuê bao" không? Mã hoá QR gần như không tốn gì. Giá thuê bao chỉ có lý nếu dịch vụ đang giữ mã của bạn làm con tin.
4. Trang giá có nhắc "hết hạn", "giới hạn quét" hay "QR có thể chỉnh sửa"? Tất cả đều ngụ ý mã động chạy trên máy chủ nhà cung cấp.
5. URL xem trước trông như `qrco.de/xyz`? Đó là URL chuyển hướng — bạn đang tạo mã động.
6. Trang có nhiều quảng cáo hay script theo dõi? Dịch vụ miễn phí kèm giám sát đang rút giá trị theo cách khác.

Danh sách đầy đủ trong 5 cờ đỏ cho biết trình tạo QR của bạn là cái bẫy.

QR tĩnh trung thực trông như thế nào

Trình tạo tĩnh nhận nội dung của bạn, mã hoá thẳng vào mẫu QR và giao cho bạn một tệp. Hết. Không chuyển hướng, không theo dõi, không tài khoản, không thuê bao, không hết hạn.

Trang này là một trong số đó. Mọi thứ xảy ra trong trình duyệt của bạn — máy chủ chúng tôi không bao giờ nhận thứ bạn mã hoá. Bạn có thể kiểm chứng ở tab Network của trình duyệt: khi tạo QR ở đây, không dữ liệu nào rời thiết bị của bạn.

Bạn cũng có thể xác nhận nội dung bên trong QR. Quét bất kỳ QR nào tạo ở đây bằng trình quét của chúng tôi và xác nhận nội dung giải mã đúng bằng thứ bạn đã nhập — không URL bao bọc, không link rút gọn, không chuyển hướng.

Vì sao chúng tôi dựng cái này

Chúng tôi mệt mỏi khi thấy những người có thiện chí — chủ doanh nghiệp nhỏ, tình nguyện viên, nghệ sĩ, giáo viên — mắc bẫy QR. Các công cụ tự xưng là trợ giúp họ đang âm thầm gặt dữ liệu, ngân sách in ấn và khoản thuê bao tương lai của họ.

Vậy nên chúng tôi dựng điều ngược lại.

Trình tạo này miễn phí vì tạo QR vốn miễn phí. Chúng tôi không thu tiền vì không có gì để thu. Chúng tôi không thu thập dữ liệu vì không có gì để thu thập — nội dung QR của bạn không rời trình duyệt. Chúng tôi không cung cấp theo dõi vì theo dõi nghĩa là biến QR của bạn thành tài sản của ai đó khác.

QR của chúng tôi là tĩnh. Chúng thuộc về bạn. Không bao giờ hết hạn. Không thể bị tắt. Nếu ngày mai trang chúng tôi tắt, mọi QR bạn từng tạo ở đây vẫn hoạt động.

Bạn có thể làm gì

1. Đừng bao giờ dùng QR động cho vật liệu in. Nếu in lại không rẻ, tĩnh là lựa chọn an toàn duy nhất.
2. Nếu đã in QR động, hãy xem chúng là ngắn hạn. Dự tính chúng sẽ hỏng. Giữ đích gốc trong tầm tay để sau này tái tạo bản tĩnh.
3. Nói cho người khác biết. Hầu hết người dùng không chuyên không hề biết vụ này. Một lời giải thích ngắn về tĩnh vs động giúp họ tiết kiệm nhiều năm thuê bao.
4. Mã QR tiếp theo hãy tạo tĩnh. Bắt đầu với các trình tạo của chúng tôi: URL, Wi-Fi, vCard, email, điện thoại hoặc văn bản.

Mã QR là hạ tầng cơ bản. Chúng nên hành xử như hạ tầng cơ bản — dễ đoán, bền vững và thuộc về người làm ra chúng.

Chúng tôi dựng trang này để ít nhất ở một góc internet chúng vẫn còn như vậy.