QR Code 在我們的生活中無所不在,從掃描查看時刻表到餐廳點餐,QR Code 似乎就是這麼無孔不入。當掃描 QR Code 成為一種常態性動作,不肖人士蟄伏等待的時機就到了,一種名為「Quishing」的新型網路安全威脅就此誕生。這次,我們將一起了解這種新的攻擊方式,很狡猾、看似簡單,但卻也很有攻擊性。
「Quishing」是什麼?如何保護自己免受危害?
Quishing 是將「QR Code」與「Phishing」(網路釣魚)兩個詞合併後產生的新詞,是指在 QR Code 中嵌入惡意連結的一種攻擊手段。當用戶點擊掃描 QR Code 出現的惡意 URL 之後,並不會將你如往常一般導向合法網站,而是載入一個試圖竊取資訊、感染設備或執行其他有害行為的網頁。
雖然名字聽起來不怎樣,但卻是真正的安全威脅。雖然我們都知道不該造訪信譽不佳的網站或下載未知文件,但由於 QR Code 的性質,在沒有點開之前實際上無法知道所夾帶的內容到底是什麼。掃描、點擊一下,你就會被帶到另一個網站,可能會顯示你不想看到的內容,或者定向到惡意檔案下載。許多企業依賴第三方服務或者網址縮短器來創建 QR Code,這表示嵌入的連結不一定會直接導向官方網站,使得更難偵測執行 Quishing 攻擊的人是否篡改了 QR Code。
Quishing 真的會造成安全威脅嗎?是的,已經發現使用這種方式的攻擊,雖然簡單卻很有效。世界各地的停車收費、餐廳支付和小費系統以及促銷 QR Code 都有被篡改用來實施詐騙的案例。通常只要將帶有欺騙性的 QR Code 貼紙貼到官方提供的正常 QR Code 上即可,然後,這些 QR Code 將會連結到虛假的登入頁面和支付網站,要嘛讓你直接向騙子付款,要嘛竊取你的資訊用於未來實施其他詐騙。
如何保護自己免受 Quishing 的攻擊?
你可以採取一些簡單卻又有效的步驟保護自己免受這種新型攻擊的侵害:
- 使用裝置隨附的 QR Code 掃描器。應用程式商店中的第三方掃描器在安全性和隱私方面再過去的記錄並不好。
- 在開啟連結之前,請驗證 QR Code 試著將你傳送的位址,並避免開啟使用短網址的連結。
- 盡可能避免使用 QR Code 付款,尤其是當付款連結指向未知位址時。還要記住,虛假網站通常使用與官方相似的名稱,請檢查拼字是否有誤。
- 不要在公共場所掃描隨機出現的 QR Code。
- 啟用隱私保護並關閉網頁瀏覽器中的自動下載功能。
- 檢查準備掃描的 QR Code,如果有明顯被篡改過,請停止你的動作。
QR Code 為生活中帶來很多便利,你不再需要輸入冗長的網址、Wi-Fi 密碼等,同時也讓不法人士蠢蠢欲動,越是簡單的動作也越是要小心,希望你隨時保持警惕、注意安全。
