对于台湾人来说,进出公共场所扫实联制 QR Code 已成为日常。但无论是基于防疫目的、商品广告或者促进交易,QR Code 都能增添不少便利和商机,然而这样的便利性却也为骇客开启了另类诈骗门路。资安厂商趋势科技就观察到,QR Code 其实也潜藏着众多资安风险,一旦 QR Code 被有心人士调包,或民众扫描到暗藏钓鱼连结的QR Code,个资与荷包将可能遭窃。
调包 QR Code 诈骗
QR Code 调包为最普遍的诈骗手法,不肖份子透过偷换公共区域或商家门口的实联制 QR Code,不知情的民众一旦扫描,将可能被引导至钓鱼网站、植入恶意程式或传送高额付费简讯等,造成个资外泄、手机遭骇情况发生。
钓鱼邮件夹带 QR Code 诱骗帐密
为了避开防毒软件的网址过滤功能,骇客会将 QR Code 夹带在电子邮件中,透过网络钓鱼的方式诱骗民众扫描 QR Code。例如假冒成银行发送隐私权政策修改通知信件,要求收件人扫描 QR Code 来检视及同意银行新修改的隐私权政策,扫描之后实际上却是连上伪冒的网络银行登入画面,以诱骗民众输入的银行登入凭证,窃取银行账号密码。
零接触支付 QR Code 付款诈骗
看准在疫情影响下零接触付款的浪潮,诱骗民众扫描 QR Code 付款成为另一种新兴诈骗手法,例如国外就曾发生诈骗份子假冒成停车场工作人员,接近正在自动缴费机准备支付停车费的民众,声称自动缴费机故障,诱骗民众扫描 QR Code 付款,以骗取钱财。
加密货币 QR Code 诈骗
在近期虚拟货币的蓬勃发展下,诈骗集团可能利用 QR Code 来诱骗民众下载假冒的虚拟加密货币钱包,宣称透过 QR Code 下载可以获得奖励或是降低挖矿费用,而实际上却收到伪币或是下载到假的虚拟加密货币钱包。另一种诈骗手法则是使用 QR Code 来诱骗使用者同意将虚拟加密货币从某个钱包转到另一个钱包,借此盗取虚拟货币。
除了上述常见的诈骗手法,QR Code 还可以演变为其他的诈骗模式,包含运用木马程式伪装成 QR Code 产生器要求用户注册,或是将假冒的恶意 QR Code 扫描应用程序上传到 Google Play 诱骗用户下载安装,甚至是透过 QR Code 诱骗不知情的使用者订阅一些付费服务,让用户每个月都按时缴款给犯罪集团等,提醒民众务必小心。
(首图来源:趋势科技)
