QR Code 安全風險與防範:掃碼前先停一下
QR Code 帶來了前所未有的便利,但同時也成為網路犯罪者的新工具。Quishing(QR Code 釣魚攻擊)已成為近年來增長最快的網路威脅之一。在掃描任何 QR Code 之前,你需要了解這些潛在風險。
常見的 QR Code 攻擊手法
1. QR Code 覆蓋攻擊
攻擊者將惡意 QR Code 貼紙覆蓋在合法的 QR Code 上。常見於公共場所的停車計費器、餐廳桌面和公告欄。受害者以為自己在掃描合法的 QR Code,實際上被導向釣魚網站。
2. 釣魚網站
QR Code 連結到模仿銀行、電商或社群平台的假網站,誘使使用者輸入帳號密碼或信用卡資訊。由於手機瀏覽器通常不會完整顯示網址,使用者更難發現異常。
3. 惡意軟體下載
QR Code 連結到惡意 App 的下載頁面,偽裝成正常的應用程式。一旦安裝,可能竊取個人資料、監控通訊或加密勒索。
4. 社交工程詐騙
利用電子郵件、簡訊或社群媒體散發含有惡意 QR Code 的訊息,以「包裹通知」、「帳號異常」等理由誘使掃描。
重點摘要:FBI 在 2022 年發布警告,指出犯罪分子正在利用 QR Code 竊取財務資訊和個人資料。掃描前務必確認 QR Code 的來源是否可信。
如何辨識可疑的 QR Code
| 警示信號 | 說明 |
|---|---|
| 覆蓋痕跡 | QR Code 看起來像是貼紙覆蓋上去的 |
| 來源不明 | 隨機出現的傳單或電子郵件中的 QR Code |
| 過度承諾 | 「掃碼免費獲得 iPhone」等不合理的誘因 |
| 緊急催促 | 「立即掃碼否則帳號將被停用」等施壓手法 |
| 可疑網址 | 掃描後顯示的網址與預期不符 |
防範措施
個人使用者
- 檢查 URL — 掃描後先查看完整網址再點擊
- 使用安全掃描器 — 使用帶有安全檢查功能的 QR 掃描 App
- 避免掃描來路不明的 QR Code — 特別是公共場所的可疑 QR Code
- 不在 QR Code 導向的頁面輸入敏感資訊 — 改為手動輸入已知的官方網址
- 保持軟體更新 — 確保作業系統和瀏覽器為最新版本
企業使用者
- 使用品牌化 QR Code — 嵌入品牌 Logo 增加辨識度
- 使用 HTTPS — 確保目標連結使用加密協定
- 定期檢查 — 檢查實體 QR Code 是否被覆蓋或竄改
- 縮短網址透明化 — 在 QR Code 旁標示目標網址
- 員工培訓 — 教育員工辨識 QR Code 詐騙
安全使用 QR Code 的檢查清單
- QR Code 的來源是否可信?
- QR Code 是否有被覆蓋或竄改的痕跡?
- 掃描後的網址是否與預期相符?
- 網址是否使用 HTTPS 加密?
- 頁面是否要求輸入不必要的個人資訊?
- 是否被要求下載不明的應用程式?
結語
QR Code 本身是中性的工具,安全風險來自於它所連結的內容。養成「掃碼前三思」的習慣,檢查來源和目標網址,就能在享受便利的同時保護自己的數位安全。
參考文獻
- FBI. "Cybercriminals Tampering with QR Codes to Steal Victim Funds." FBI Internet Crime Complaint Center, 2022. https://www.ic3.gov/Media/Y2022/PSA220118
- OWASP. "Mobile Security Testing Guide." OWASP Foundation, 2024. https://owasp.org/www-project-mobile-security-testing-guide/
- CISA. "QR Code Cybersecurity." Cybersecurity and Infrastructure Security Agency, 2023. https://www.cisa.gov/news-events/news/think-you-scan-be-cautious-qr-codes
- Krombholz, K., et al. "QR Code Security: A Survey of Attacks and Challenges for Usable Security." International Conference on Human Aspects of Information Security, Privacy, and Trust, Springer, 2014.