二維碼(QR Code)全名是「Quick Response」Code的縮寫,是一個可以包含任何字母數字的二維條碼。由于智能手機和其他移動設備越來越普及,大家可以輕易地制造出二維碼和讀取其內藏的訊息,令二維碼可以廣泛應用于廣告、促銷活動、移動支付,甚至是票務系統中。
但是,你有沒有想過你掃描的二維碼是由黑客準備的呢?如果內藏的代碼引導你進入惡意網站,后果會怎樣呢?
黑客可以在制造二維碼時載入一個惡意連接,只要你掃描該二維碼,它便把你帶到惡意網站。如果你的手機同時存在著安全漏洞,網站上的惡意軟件更可以安裝在你的手機上,黑客便可以藉此遠程控制你的手機,以竊取敏感資料。
現時利用二維碼詐騙的手法主要有兩大類型:(一)竄改或偽造二維碼來欺詐用戶,及(二)將惡意軟件網站的連接載入二維碼,誘使用戶安裝惡意手機程式,藉此竊取個人資料或金錢。以下是過去曾經發生的詐騙事件:
1、黑客更換了商家支付二維碼,誤導消費者付款至詐騙帳戶。
此事件發生于中國,黑客趁商家忙碌之際,將含詐騙帳戶訊息之偽造二維碼,貼到商家收款二維碼上,導致消費者掃描付款之款項全數落入詐騙帳戶內。
2、黑客將植入病毒碼的偽造二維碼標簽貼于共享單車上,或是在同一臺車貼上數個不同的二維碼以混淆消費者。
當消費者欲使用二維碼租借共享單車,掃描二維碼后卻發現車子不但沒有解鎖,帳戶的錢卻被扣了。黑客甚至將消費者引導至自動下載惡意程式的網站,入侵用戶的流動裝置。
安全使用二維碼可以給我們帶來方便和效率,但如果你低估了當中的風險,就很容易跌入陷阱。
以下是一些使用二維碼時要注意安全的建議:
溫馨建議
請勿透過第三者網站、流動應用程式、電郵、短訊或社交網絡平臺上掃描二維條碼以登入網上服務。請在瀏覽器網址欄內直接鍵入網址或于官方應用商店下載流動應用程式。
使用二維碼進行付款前,請小心核對付款詳情包括收款人名稱。如有任何懷疑,請先向收款人確認。
在流動設備的二維碼掃描應用程式中停用「自動打開網站」或類似的設置 (設置的確實名稱可能因應個別的應用程式而有所不同),在提供個人資料或付款之前,請仔細檢查網站的網址。
注意二維碼上的縮短網址。縮短網址可以令冗長的網址轉換成簡潔的網址。當二維碼內包含的連接是縮短網址時,用戶就更難以識別是否安全,它有可能引導用戶到惡意網站。許多常見的縮短網址服務商都有為用戶提供了驗證短網址的方法。
供稿|中銀香港資訊科技部科技風險管理
