HKCERT：用QR code要留神

今時今日隨街可見QR code (二維碼) ，一經掃瞄便可即時存取網站、聯絡資料等資訊。無論是防疫措施還是電子付款，甚至乎酒樓餐廳自助落單都能見到QR Code的蹤影。儘管QR Code技術本身是安全的，但隨著大家對它愈加依賴，網絡犯罪分子會千方百計想利用它犯案。

認識QR code潛在攻擊及對應手法非常重要。香港生產力促進局轄下的香港電腦保安事故協調中心（HKCERT）作為網絡保安專家，以四種常見的QR Code應用：流動支付、網站瀏覽、賬戶驗證及訊息儲存，概述有關風險和保安建議作參考：

應用	風險	保安建議
流動支付	·         商戶遭不法分子掉換其靜態QR code，用戶若不慎掃瞄，支付金額就會轉到不法分子的帳戶，商戶及用戶皆會面對金錢損失	·         以QR code進行流動支付前，需小心核實應用程式提供的交易資料。完成支付交易後，要立即核實銀行或流動支付服務供應商所發出的交易記錄
網站瀏覽	·         由於用QR code儲存網址非常普遍，不法分子會設立釣魚網站，然後以QR code暗藏該釣魚網站的網址，然後透過電子郵件或其他方式散播，誘騙受害人登入有關網站，輸入銀行賬戶密碼或個人資料等	·         掃瞄QR code前要提高警覺，不要掃瞄一些來歷不明的QR code·         餐廳若是使用QR code點餐平台，用戶切勿將點餐QR code上載到社交平台
賬戶驗證	·         不法分子會複製通訊軟件的登錄QR code，然後發送至用戶。如果掃瞄了那些QR code，黑客便能取得受害人帳戶	·         只掃瞄官方網站內的賬戶驗證QR code·         如發現不尋常的登入記錄，應立即向服務供應商查詢
訊息儲存	·         QR code可以用來儲存文字訊息。由於登機證及演唱會門票上的QR code或載有個人資料，若資料沒有加密，便會有資料外洩的潛在風險。	·         商戶應該避免將敏感訊息儲存在QR code內；如要儲存敏感訊息，需先把資料加密，再儲存在QR code內，以防止資料被非法讀取