【QR code陷阱】掃描二維碼前要「三思」 避免跌入網絡罪犯陷阱

科技 18:46 2021/04/15

分享:

數碼時代,二維碼(QR code)使用愈來愈廣泛,無論是防疫措施、車廂廣告還是電子付款甚至銀行提款都能使用,但該科技技術背後,當中亦存在不少風險。

數碼時代,二維碼(QR code)使用愈來愈廣泛,無論是防疫措施、車廂廣告還是電子付款甚至銀行提款都能使用,但該科技技術背後,當中亦存在不少風險。

網絡安全防護解決方案供應商Palo Alto Networks香港及澳門總經理馮志剛表示,QR code技術本身是安全的,但隨著人們對它愈益依賴,網絡犯罪分子則在想方設法利用它犯案。新冠肺炎期間,該公司的威脅情報團隊Unit 42,就在地下網上論壇觀察網絡犯罪分子討論如何利用QR code和針對消費者的方法,並找到如何使用QR code發動攻擊的開放源代碼工具和影片教學。

>>>【網絡騙案】Instagram騙案層出不窮 4大招數保你全家幸福

>>>【Clubhouse】不再是iOS獨有 傳Android版Clubhouse最快5月登場

網絡罪犯如何利用QR code犯案

網絡罪犯其中一招是入侵企業網站,並換上自己的QR code,由於看起來非常相似,即使被換亦很難察覺。當消費者掃描此時將被定向到釣魚網站,不法分子可乘機在釣魚網站上要求用戶提供認證資訊,登入並操控用戶的電子郵件或社交媒體帳戶。該方法亦可以引用戶進入非正規應用程式商店,下載各種含病毒、間諜軟件、木馬或其他類型的惡意軟件,或導致資料被盜、私隱外洩 (GPS 或通訊錄被盜、郵件被攔截等)、遭勒索軟件勒索或加密挖礦。

大眾一直都知道,對可疑的鏈結或電子郵件要「點擊前三思」,掃描QR code亦一樣,大眾在掃描QR code前要提高警覺。(法新社圖片)

其次,黑客會建立不安全的Wi-Fi網絡,為掃描其QR code 的人士提供免費網絡。連接裝置後,黑客可竊聽或攔截用戶的數據,並竊取可作識別身份用途的個人資料、機密商業資訊、網上銀行認證資料和信用卡資料等。大眾必須提高警覺,只允許裝置登錄到安全的Wi-Fi網絡。

掃描前要三思

馮志剛認為,企業負責人和資訊科技人員,需定期為其網站和應用程式執行信用檢測,確保代碼和鏈結均是他們所設。亦可通過定期掃描QR code檢查鏈結是否正確。同時,他們亦要檢查桌面版及流動版網頁,網絡犯罪分子特別喜歡入侵後者,以減少被檢測到的風險。

網絡安全防護解決方案供應商Palo Alto Networks香港及澳門總經理馮志剛表示,QR code技術本身是安全的,但隨著人們對它愈益依賴,網絡犯罪分子則在想方設法利用它犯案。(受訪者提供圖片)

僱主應向員工提供網絡安全培訓,使他們認識組織及自身所面臨的風險。措施包括於個人和公司帳戶使用獨特有效的密碼、設置多重身份認證、識別釣魚電子郵件以及不安全的虛擬環境。大眾一直都知道,對可疑的鏈結或電子郵件要「點擊前三思」,掃描QR code亦一樣。不少QR code安全掃描應用程式可讓用戶可以在到訪網站前預覽。許多瀏覽器還允許用戶禁用自動重新導向至網站,以允許前往前事先檢查的域名,再決定網站是否值得信任進入。

香港資訊科技商會榮譽會長方保僑表示,用戶或在掃描QR code及付款時,應將支付項目明細交給店舖負責人看是否正確,再繼續付款,慎防跌入不法之徒陷阱。(資料圖片)

香港資訊科技商會榮譽會長方保僑表示,曾聽聞內地有不法之徒利用QR code亂收帳款。「他們會將一般小店的QR code,更換成自己生成的QR code,當店舖客人付款,不法之徒將接收到所有款項,該方法的確難防範。」他指出,用戶活在掃描QR code及付款時,應將支付項目明細交給店舖負責人看是否正確,再繼續付款。

方補充,利用動態二維碼方式付款就比較安全,因為是用戶自己生成二維碼,再給店舖掃描。「但亦要小心在購物付款時,留意是否遭偷影,導致用戶的QR code被盜,雖然較難察覺,但用戶應盡量留意。」

>>>【網上交友】進軍交友平台市場 Facebook推快速約會應用程式「Sparked」

責任編輯:李彥煒

緊貼財經時事新聞分析,讚好hket Facebook 專版