新加坡、美國與英國都出現QR碼的詐騙事件,受害者以手機掃描詐騙者偽造的行銷傳單或停車罰單上的QR碼後,依照指示下載惡意程式而導致帳戶被盜領。
新加坡《海峽時報》(Straits Times)於本周報導,當地有一名60歲女性在一家泡沫紅茶店的門口看到一張QR碼貼紙,宣稱這是一份問卷調查,以手機掃描並完成之後可以獲得一杯免費的奶茶,結果她下載後被植入了惡意程式,駭客自她的銀行帳戶偷走了2萬元新加坡幣。
網路上有許多免費的QR碼產生器,用來將各式資訊嵌入QR碼中,像是網址、名片、菜單、社交網站的粉絲頁、PDF檔、位置、簡訊、電話號碼、文字,甚至可用來下載程式。
華僑銀行負責反詐騙業務的Beaver Chua向《海峽時報》解釋,他們之前也曾遇過類似的案件,當受害者掃描了QR碼之後,就會被要求下載一個程式,賦予該程式存取相機與麥克風的權限,同時啟用無障礙服務(Accessibility Service),之後駭客即會靜待使用者執行其金融程式,竊取他的憑證,再利用相機存取權限觀察受害者的作息,以於適當時機行竊。
此外,近來在美國與英國也都出現QR碼的停車罰單詐騙事件,駭客製作了假的違規停車罰單並放在車主的擋風玻璃上,罰單上印有QR碼,可將受害者導致偽造的主管機關網站以支付罰款。
總而言之,使用QR碼產生器所能嵌入的各種資訊都可能成為詐騙的入口。因此FBI也提供了保護自己的幾個技巧,在掃描QR碼之後,應檢查所造訪網站的網址,在輸入憑證時應提高警覺,最好先確認實體QR碼貼紙未被竄改,不要透過QR碼來下載程式,以及使用手機內建的QR碼掃描器而不要下載第三方掃描程式。
QR碼詐騙是近幾年來才泛起的,由於疫情期間掃描QR code已成為生活中的一部份,而有心人士也看準時機製作假QR碼騙取民眾,一般大眾也還未意識到新的詐騙手法,應多呼籲民眾小心QR碼詐騙,建議盡量勿以掃描的方式,如有官網請直接使用官網查詢,若有掃描的需求請掃描前檢查QR碼是否有多被貼一層,以免個資外洩。
詳文請見iThome原文新聞稿