QR Code的陷阱與安全

日常生活中很經常會接解到QR Code,由包袋盒至博物館都會見到,通常會把用戶帶到特定網站、下載應用程式、收集點數、付費或轉帳,甚至是捐款作慈善用途。這種方便的技術應用範圍廣泛,當中包括網絡犯罪份子。

QR Code的應用

現時差不多所有人都擁有一部智能電話,近年的型號已內置QR掃瞄器,而任何人也可以自行下載和安裝應用程式讀取QR Code或其他特用途 (例如博物館)。要掃瞄QR code,只需要打開掃瞄的應用程式然後用攝影機鏡頭對準,大部份時間智能電話會建議你到指定網站或下載應用程式,其實還有其他選項,但本文不作詳談。

經過特製的掃瞄器在對準特定的QR code時,大家可能會找到該目標的的詳細資料,例如在公園內樹木的重要歷史,通過公園的官方應用程式掃瞄,便會變成了一個旅遊指南,如果使用一般的掃瞄器則只會打開公園網站內的樹木描述。

此外,有些應用程式可以製作QR code去為任何掃瞄的人提供某些資訊,例如可能會收到你的訪客Wi-Fi網絡名程和密碼,又或者銀行帳號詳情等等。

犯罪份子「活用」QR Code

QR code其實就是進化版的條碼Bar code,到底哪裡會有危險?由於人類無法直接讀取QR code的資料,所以只能透過掃瞄進行,而用戶則倚賴對製作者的信任,但QR code內可以包含任何東西,應用程式製作者也一樣,因為系統可能被有心人利用。

假連結

由網絡犯罪份子製作的QR code可能會連向釣魚網站,看起來卻像社交網絡或網上銀行的登入網頁,所以我們才經常建議點擊前檢查連結,但QR code卻無法事前辨別,此外,攻擊者經常使用短連結,令智能電話的用戶更能分辨網站的真偽。

這種手法也可以用來騙取用戶下載不當應用程式,例如以惡意程式取代原以為是遊戲或工具,如是者惡意程式就能盜取密碼,向你的通訊朋冊發送惡意訊息等不同攻擊。

QR編碼指令

除了連到網站,QR code也可以含有指令去執行某些活動,而且非常廣泛,以下只是其中一部份:

  • 加入通訊冊
  • 打出電話
  • 編寫電郵,含有收件人和主旨
  • 發送短訊
  • 與應用程式分享你的位置
  • 建立社交媒體帳號
  • 設定活動日期
  • 新增含登入資料的首選Wi-Fi網絡,用作自動登入

例如:通過掃瞄QR code可以從名片直接輸入聯絡資料、支付停車場費和存取Wi-Fi網絡。QR code豐富的功能令不法之徒容易有機可乘,例如騙徒把自己的聯絡資料加入到用戶通訊冊內,並把名稱改為「銀行」,再致電用戶進行詐騙,又或者用受害者的智能電話致電付費號碼。

犯罪份子的掩飾手法

如果攻擊者想透過QR code傷害你,他們首先要說服你掃瞄它,而他們有以下的技倆:

惡意來源

網絡犯罪份子可以把QR code放在他們創建的網站、在廣告橫幅、在電郵甚至是紙張上的廣告,最終目的都是讓受害者下載惡意應用程式,很多時還會放入Google Play或App Store的圖示以增加可信性。

偷龍轉鳳

攻擊者使用惡意QR code取代原本合法的內容,令掃瞄者錯誤進入假網站也十分普遍。

如何避免QR麻煩

使用QR code時留意以下事項以策安全:

  • 不要掃瞄來自可疑來源的QR code
  • 掃瞄時注意顯示的連結,尤其短網址,因為使用QR code的話沒有原因再去使用短網站,可以的話直接從搜索引擎或官方渠道尋找想找的東西
  • 掃瞄QR code前先物理地檢查海報或標記上的QR code是否有被覆的痕跡
  • 使用從Kaspersky QR Scanner (AndroidiOS版本)

QR code可能含有有價值的資訊,所以不應該在社交媒體分享電子票據上的QR code。

資料來源:Kaspersky Blog