危險QR code的隱藏風險

QR Code經常圍繞著我們,只需要把手機對著圖案就能跳過輸入冗長網址的程序,但方便往往都會附有後果,由於無法查證將會被帶到的網站,就令用戶難以透過預先查看網址來偵測騙局,增加掉入網絡釣魚陷阱的風險。

2萬美元的珍珠奶茶

咖啡店透過邀請訪客做簡短的問卷調查就可得到免費或折扣絕不罕見,通當都需要到櫃台前掃瞄QR code,但這個看似正常的步驟卻為一位60歲女士帶來麻煩,她為了取得免費的珍珠奶查,掃瞄貼在咖啡店玻璃門上的QR code貼紙,可惜在不久之後發現,貼紙原來是網絡犯罪份子貼的,通過詐騙的QR code導引到第三方的Android應用程式的下載,她信以為真便繼續填寫問卷,但這其實是惡意應用程式。

一旦安裝,程式會要求存取相機和咪高峰,以及開啟Android Accessibility服務,這個內建的服務讓犯罪份子能觀看和控制受害者的螢幕,並且關閉臉容和指紋辨識,攻擊者只要等待用戶輸入銀行應用程式的登入密碼,就能截取登入憑證,在稍後把金轉帳到他們的帳號。

避免跌入陷阱靠細心

由於如果完全不用QR code會帶來相當大的不便,所以我們建議:

  • 小心檢查QR code帶到去的連結網址,尋找蛛絲馬跡。
  • 確保預期與現實的內容吻合,例如是問卷調查,理論上應該是一些提供答案選項的表格,如果不是便應該立即關閉該網頁,即使吻合也要小心查看其他細節。
  • 不要透過QR code下載應用程式,正常的應用程式都能在Google Play和App Store,或其他官方平台上找到,永遠不要從第三方資源安裝。
  • 在裝置安裝可靠的保安方案,內建的QR掃瞄器讓用戶能查看連結,並封鎖訪問惡意網站。

資料來源:Kaspersky Blog