QR Code存安全隱患 掃描前三思

疫情期間,Palo Alto Networks 威脅情報團隊 Unit 42 在地下網上論壇觀察網絡犯罪分子討論如何利用 QR code 和針對消費者的方法,並找到如何使用 QR code 進行攻擊的開放源代碼工具和影片教程。

Quick Response (QR) Code 與網址縮短服務類同,可即時存取網站、聯絡資料等資訊,亦可讓用戶在無需密碼的情況下連接至 Wi-Fi 網絡。無論是防疫措施、車廂廣告還是電子付款甚至銀行機提款,生活的衣食住行,QR Code 的應用都變得越來越普遍。香港政府日前更推出二維條碼樹木標籤計劃,在人流較多的地點替樹木掛上「樹牌」,市民掃描牌上的 QR Code,便可了解樹木品種、特徵、植物趣聞等資訊。

Palo Alto Networks 香港及澳門總經理馮志剛表示 : 「QR Code 可能為潛在的網絡攻擊提供入侵機會,因為它們無法提供背後網頁、應用程式等的可視度。」

Palo Alto Networks 香港及澳門總經理馮志剛表示 : 「QR Code 技術本身是安全的,但是隨著人們對它愈加依賴,網絡犯罪分子則在想方設法利用它犯案。QR Code 可能為潛在的網絡攻擊提供入侵機會,因為它們無法提供背後網頁、應用程式等的可視度。他們會自動將用戶重新定向到網站或應用程式商店去下載應用程式、進行付款等,因此為網絡犯罪分子提供了入侵的機會。」

早在 2018 年,Juniper Research 已預測由於許多流動裝置的相機都內置了 QR 掃描功能,QR Code 的使用將於 2022 年增長四倍,但新冠肺炎疫情可能使此技術的使用量進一步激增。 隨著QR Code 的應用更廣泛,我們更加必須對掃描的內容保持謹慎。

網絡罪犯犯案手法

網絡罪犯可以通過多種方式利用 QR Code 實現他們的不軌企圖。其一是入侵企業網站,並換上自己的 QR Code。由於 QR Code 看起來都非常相似,因此被換後的 QR Code 很難被察覺。無戒心的消費者掃描此等QR Code 將被重新定向到釣魚網站,網絡罪犯就可以乘機在釣魚網站上要求用戶提供認證資訊,然後操控諸如其電子郵件或社交媒體帳戶。它還可能引用戶進入不正規的應用程式商店,令他們在不知情的情況下下載包含病毒、間諜軟件、木馬或其他類型的惡意軟件,這可能導致資料被盜、私隱外洩 (GPS 或通訊錄被盜、郵件被攔截等)、遭勒索軟件勒索或加密挖礦。

另一種網絡犯罪技術則是糖衣陷阱。黑客會建立一個不安全的 Wi-Fi 網絡,向掃描其 QR Code 的人士提供免費網絡。連接到裝置後,黑客可以竊聽或攔截正在共享的數據,並竊取可作識別身份用途的個人資料、機密商業資訊、網上銀行認證資料和信用卡資料。隨著遙距工作可能仍會持續,我們必定要對這些手段提高警覺,並且只登錄到安全的 Wi-Fi 網絡。

網絡罪犯可以透過入侵企業網址及設置糖衣陷阱,以此盜取用戶重要資料。

掃描前要三思

用家可以如何保護自己?雖然我們不能用肉眼辨別網絡罪犯設下的 QR Code,但仍可採取預防措施來避免淪為受害者。馮志剛認為 :「企業負責人和資訊科技人員需要定期為其網站和應用程式進行信用檢測,以確保代碼和鏈結均是他們所設的。他們可以通過定期掃描 QR code 來檢查鏈結是否正確。同時,他們亦要檢查桌面版以及流動版網頁,網絡犯罪分子尤其會入侵後者,以減少被檢測到的風險。」

「僱主還應向員工提供網絡安全培訓,使他們認識組織及自身所面臨的風險。這些措施包括於個人和公司帳戶使用獨特有效的密碼、設置多重身份認證、識別釣魚電子郵件以及不安全的虛擬環境。隨著許多員工繼續在非辦公室環境中工作,網絡安全意識培訓將為遙距員工提供所需的知識和意識以作出明智決策,阻止網絡攻擊者存取任何個人和公司網絡、裝置和數據。」他補充

用家一直被教導對可疑鏈結或電子郵件時要「點擊前三思」,而現在掃描 QR Code 前亦應三思。

用家一直被教導對可疑鏈結或電子郵件時要「點擊前三思」,而現在掃描 QR Code 前亦應三思。如果不知道 QR Code 將會導引你到何處,請不要掃描它,並預覽網站和域名以確保其將導向到你所想要的地方。許多 QR Code 安全掃描應用程式使用戶可以在到訪網站之前進行預覽。許多瀏覽器還允許用戶禁用自動重新導向至網站,以允許前往前事先檢查域名,再決定網站是否值得信任進入。因此,用家應僅從可信任的來源例如 Apple App Store 或 Google Play Store 下載應用程式,並持續更新所有智能裝置的操作系統,以享受最新的安全保護。

重點建議

總括而言,Palo Alto Networks 的重點建議是:第一掃描前要三思,第二掃描後要看清,第三保持警覺,小心謹慎。在可見的未來,網絡犯罪分子會更頻繁利用 QR Code 和其他愈見普及的技術犯案,因此,我們務必要意識到相關風險以及採取正確的預防措施。

另一方面,電訊服務供應商亦應對相關網絡安全風險有所警愓及防範,例如電訊服務供應商可主動使用可防範網絡罪行的網絡安全系統,同時為用戶提供保護其私隱的資訊及選擇。