HKCERT:用QR code要留神

  •  
  •  
  •  

今時今日隨街可見QR code (二維碼) ,一經掃瞄便可即時存取網站、聯絡資料等資訊。無論是防疫措施還是電子付款,甚至乎酒樓餐廳自助落單都能見到QR Code的蹤影。儘管QR Code技術本身是安全的,但隨著大家對它愈加依賴,網絡犯罪分子會千方百計想利用它犯案。

認識QR code潛在攻擊及對應手法非常重要。香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)作為網絡保安專家,以四種常見的QR Code應用:流動支付、網站瀏覽、賬戶驗證及訊息儲存,概述有關風險和保安建議作參考:

應用風險保安建議
流動支付·         商戶遭不法分子掉換其靜態QR code,用戶若不慎掃瞄,支付金額就會轉到不法分子的帳戶,商戶及用戶皆會面對金錢損失·         以QR code進行流動支付前,需小心核實應用程式提供的交易資料。完成支付交易後,要立即核實銀行或流動支付服務供應商所發出的交易記錄
網站瀏覽·         由於用QR code儲存網址非常普遍,不法分子會設立釣魚網站,然後以QR code暗藏該釣魚網站的網址,然後透過電子郵件或其他方式散播,誘騙受害人登入有關網站,輸入銀行賬戶密碼或個人資料等·         掃瞄QR code前要提高警覺,不要掃瞄一些來歷不明的QR code·         餐廳若是使用QR code點餐平台,用戶切勿將點餐QR code上載到社交平台
賬戶驗證·         不法分子會複製通訊軟件的登錄QR code,然後發送至用戶。如果掃瞄了那些QR code,黑客便能取得受害人帳戶·         只掃瞄官方網站內的賬戶驗證QR code·         如發現不尋常的登入記錄,應立即向服務供應商查詢
訊息儲存·         QR code可以用來儲存文字訊息。由於登機證及演唱會門票上的QR code或載有個人資料,若資料沒有加密,便會有資料外洩的潛在風險。·         商戶應該避免將敏感訊息儲存在QR code內;如要儲存敏感訊息,需先把資料加密,再儲存在QR code內,以防止資料被非法讀取

  •  
  •  
  •  

benny

Benny Yeung ~ 企業IT傳媒人,經常四周穿梭科技巨企及論壇,熱愛探討新商機。性格貪玩,但喜歡閱讀沉悶的企業賺蝕數字,最重視辦事效率。