二维码(QR Code)全名是「Quick Response」Code的缩写,是一个可以包含任何字母数字的二维条码。由于智能手机和其他移动设备越来越普及,大家可以轻易地制造出二维码和读取其内藏的讯息,令二维码可以广泛应用于广告、促销活动、移动支付,甚至是票务系统中。
但是,你有没有想过你扫描的二维码是由黑客准备的呢?如果内藏的代码引导你进入恶意网站,后果会怎样呢?
黑客可以在制造二维码时载入一个恶意连接,只要你扫描该二维码,它便把你带到恶意网站。如果你的手机同时存在着安全漏洞,网站上的恶意软件更可以安装在你的手机上,黑客便可以藉此远程控制你的手机,以窃取敏感资料。
现时利用二维码诈骗的手法主要有两大类型:(一)窜改或伪造二维码来欺诈用户,及(二)将恶意软件网站的连接载入二维码,诱使用户安装恶意手机程式,藉此窃取个人资料或金钱。以下是过去曾经发生的诈骗事件:
1、黑客更换了商家支付二维码,误导消费者付款至诈骗帐户。
此事件发生于中国,黑客趁商家忙碌之际,将含诈骗帐户讯息之伪造二维码,贴到商家收款二维码上,导致消费者扫描付款之款项全数落入诈骗帐户内。
2、黑客将植入病毒码的伪造二维码标签贴于共享单车上,或是在同一台车贴上数个不同的二维码以混淆消费者。
当消费者欲使用二维码租借共享单车,扫描二维码后却发现车子不但没有解锁,帐户的钱却被扣了。黑客甚至将消费者引导至自动下载恶意程式的网站,入侵用户的流动装置。
安全使用二维码可以给我们带来方便和效率,但如果你低估了当中的风险,就很容易跌入陷阱。
以下是一些使用二维码时要注意安全的建议:
温馨建议
请勿透过第三者网站、流动应用程式、电邮、短讯或社交网络平台上扫描二维条码以登入网上服务。请在浏览器网址栏内直接键入网址或于官方应用商店下载流动应用程式。
使用二维码进行付款前,请小心核对付款详情包括收款人名称。如有任何怀疑,请先向收款人确认。
在流动设备的二维码扫描应用程式中停用「自动打开网站」或类似的设置 (设置的确实名称可能因应个别的应用程式而有所不同),在提供个人资料或付款之前,请仔细检查网站的网址。
注意二维码上的缩短网址。缩短网址可以令冗长的网址转换成简洁的网址。当二维码内包含的连接是缩短网址时,用户就更难以识别是否安全,它有可能引导用户到恶意网站。许多常见的缩短网址服务商都有为用户提供了验证短网址的方法。
供稿|中银香港资讯科技部科技风险管理