在人人都仰賴數位化的時代裡,網路犯罪分子不斷尋找、開發新的技術以獲取利益。
近年來出現越來越多零接觸解決方案的應用,QR Code 就是其中之一。從資訊分享、行動支付到點餐,QR Code 已廣泛應用在各種日常生活範疇中。 QR Code 的普及也成為不法分子進行網路攻擊的管道之一,因此了解這些詐騙手法對於保護自己至關重要。
QR Code 詐騙的運作方式
自從 1994 年 QR Code 被發明用來追蹤倉庫和工廠中的物品以來,已廣泛被用於各種商業和個人用途。大多數智慧型手機都內建了 QR Code 掃描器,因此一般人常毫不猶豫地掃描 QR Code,這種掃描的便利性使 QR Code 成為可利用的攻擊途徑。
QR Code 可以像連結或條碼一樣運作,手機等設備可以從紙張、螢幕、貼紙上掃描 QR Code。網路犯罪分子利用 QR Code 的便利性和多功能特性來欺騙使用者-利用 QR Code 隱藏偽造網址,當使用者掃描 QR Code 時,無法看到其導向的網址,因而成為新興的詐騙工具。
以下是一些常見的 QR Code 詐騙手法:
-
-
- 網路釣魚電子郵件中夾帶 QR Code
- 假冒零接觸支付的 QR Code,將目標引導至假的支付入口,而非合法的支付平台(如 BBC 報導的案例)
- 竄改或替換合法的 QR Code,在目標設備上植入惡意軟體
-
儘管這些詐騙看似以假亂真,但使用者仍然可以發現一些 QR Code 的可疑跡象:
-
-
- QR Code 解析度不佳
- 不熟悉的網域名稱
- 可疑或不合時宜的內容
- 要求提供個人資訊
-
應對 QR Code 的詐騙風險
QR Code 詐騙可和其他類似攻擊(如網路釣魚)用相同的方式對受害者造成傷害。一旦目標掃描了 QR Code,就可能導向惡意網站、憑證收集頁面,甚至下載惡意軟體;詐騙者可利用這些方法直接獲利,欺騙目標透過詐騙網站支付款項,讓目標誤以為自己進行的是合法支付,但實際上金錢卻被轉移到攻擊者手中。被詐騙的後果可能導致使用者對數位工具缺乏信任,進而阻礙創新技術的廣泛應用。
攻擊者所竊取的資料可能用於各種非法目的。QR Code 詐騙可以用來收集登入憑證、金融資料(如信用卡和銀行帳號)、個人身份資訊(包括機密的醫療資訊)和其他機敏資料,讓駭客可以用來進行身份盜竊、安裝勒索軟體或盜取大量金錢。
保持警惕並採取最佳實踐
網路犯罪分子已將 QR Code 作為多種攻擊手法的一部分,且 QR Code 詐騙越來越普遍,組織和個人對於任何可疑的 QR Code 應保持警惕。採取最佳實踐並保持警惕,我們就能安全享受 QR Code 所帶來的好處並避免潛在風險。
避免成為 QR Code 詐騙的受害者,使用者應接受網路安全最佳實踐的教育和培訓,包括如何識別網路釣魚,這是資安意識培訓中重要的一環,可以大大增加企業組織的保護能力。使用者若了解政策及其背後的原因,以及認知到自身在企業安全中所扮演的角色,可以更容易識別並避免可能危及組織的攻擊。
根據 Gartner 調查顯示,99% 的資料外洩都由人為錯誤所造成。無論使用者多麼具有資安意識,將易犯錯的「人」作為唯一防線仍非明智之舉。雲端轉型鼓勵用戶將資料儲存在第三方資料中心,進而催生各種便利的創新應用,但雲端資料的安全仍然是使用者的責任。人的行為模式和資安事件隨時都在變化與發生,企業推動資安意識培訓若僅透過定期社交工程演練,恐怕還是難以獲得顯著的成效與改善。
輕鬆掌控您的資料
組織應透過其他方式建立、維持穩定的安全態勢,例如強制執行多因子驗證,使不法分子更難竊取憑證來滲透組織;確保軟體版本保持最新狀態並正確設定,可減少安全漏洞;對儲存、靜態和使用中的資料進行加密,可以保護它們免受不法分子竊取或濫用。
QR Code 的崛起及其相關的安全漏洞,是平衡安全與便利性時需要評估的風險之一。使用 QR Code 可以節省時間、減少紙張浪費或降低病菌傳播的風險,但這種便利性可能會以「資安」作為代價。多數企業對於確保 QR Code 可信度的考量還不夠周全,使得使用者需要自行判斷 QR Code 是否安全可靠,但並非所有使用者都具備這樣的判斷能力。
Thales 數位主權解決方案 讓客戶在推動數位轉型時不必犧牲安全來換取便利性,透過集中、自動化的平台簡化流程,無須組織高技術背景的資安團隊便能降低機敏資料外洩的風險。Thales 資料保護平台和身份存取管理解決方案,協助組織保護使用中和靜態的資料,減少 QR Code 詐騙與類似攻擊相關的資安風險;而 Proofpoint 資安意識培訓 則能著重用戶需求,提供具針對性、威脅驅動的培訓,藉由獨特的自適應學習框架量身定製線上資安教育,協助企業推動行為改變,建立資安意識的知識基礎。
參考來源:Thales