HKCERT:用QR code要留神
今時今日隨街可見QR code (二維碼) ,一經掃瞄便可即時存取網站、聯絡資料等資訊。無論是防疫措施還是電子付款,甚至乎酒樓餐廳自助落單都能見到QR Code的蹤影。儘管QR Code技術本身是安全的,但隨著大家對它愈加依賴,網絡犯罪分子會千方百計想利用它犯案。
認識QR code潛在攻擊及對應手法非常重要。香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)作為網絡保安專家,以四種常見的QR Code應用:流動支付、網站瀏覽、賬戶驗證及訊息儲存,概述有關風險和保安建議作參考:
應用 | 風險 | 保安建議 |
流動支付 | · 商戶遭不法分子掉換其靜態QR code,用戶若不慎掃瞄,支付金額就會轉到不法分子的帳戶,商戶及用戶皆會面對金錢損失 | · 以QR code進行流動支付前,需小心核實應用程式提供的交易資料。完成支付交易後,要立即核實銀行或流動支付服務供應商所發出的交易記錄 |
網站瀏覽 | · 由於用QR code儲存網址非常普遍,不法分子會設立釣魚網站,然後以QR code暗藏該釣魚網站的網址,然後透過電子郵件或其他方式散播,誘騙受害人登入有關網站,輸入銀行賬戶密碼或個人資料等 | · 掃瞄QR code前要提高警覺,不要掃瞄一些來歷不明的QR code· 餐廳若是使用QR code點餐平台,用戶切勿將點餐QR code上載到社交平台 |
賬戶驗證 | · 不法分子會複製通訊軟件的登錄QR code,然後發送至用戶。如果掃瞄了那些QR code,黑客便能取得受害人帳戶 | · 只掃瞄官方網站內的賬戶驗證QR code· 如發現不尋常的登入記錄,應立即向服務供應商查詢 |
訊息儲存 | · QR code可以用來儲存文字訊息。由於登機證及演唱會門票上的QR code或載有個人資料,若資料沒有加密,便會有資料外洩的潛在風險。 | · 商戶應該避免將敏感訊息儲存在QR code內;如要儲存敏感訊息,需先把資料加密,再儲存在QR code內,以防止資料被非法讀取 |