昨日網傳有騙徒冒充港鐵寄出假年票藉二維碼盜取資料事件,就此港鐵已報警,並提醒公眾留意事件及小心保管自己的個人資料,呼籲懷疑受騙者盡快報警。QR code已成為大家日常生活的一部分,因此引來不法之徒利用盜取市民個人資料,故此大家應該謹慎使用,留意當中的保安風險。現整理了香港電腦保安事故協調中心提供的安全使用QR code資訊,來保障大家個資免外洩。
應用及保安隱患
流動支付
香港大部分主要流動支付平台都會支持QR code付款或收款。一般來說,手機支付分為「主動掃碼」及「被動掃碼」兩種方式。前者需要用戶先掃描商戶的QR code,再輸入金額及支付密碼便可以完成支付,後者則由商戶掃描用戶流動裝置的QR code來進行支付。無論是「主動掃碼」或「被動掃碼」,用戶均需要開啟相關支付程式來完成操作。
「主動掃碼」又分為「動態型」及「靜態型」。「動態型」下,進行每單交易時,QR code都會自動刷新,而「靜態型」則不會。內地就曾有商戶遭不法分子調換其靜態QR code,用戶若不慎掃描,支付金額就會轉到不法分子的賬戶,商戶及用戶皆會面對金錢損失。
網頁瀏覽
商戶會用QR code儲存官方網址,當用戶掃描QR code,其裝置便會自動跳到商戶的網站。有部分飲食機構亦改用QR code連接至點餐平台網站,網站能記錄使用者的枱號及餐點,方便用戶自助點餐。其他例子包括調查機構會使用QR code儲存問卷調查網址,讓用戶以流動裝置回答問卷,或引導至應用程式商店下載應用程式。由於用QR code儲存網址非常普遍,不法分子會設立釣魚網站,然後以QR code暗藏該釣魚網站的網址,然後透過電子郵件或其他方式散播,誘騙受害人登入有關網站,輸入銀行賬戶密碼或個人資料等。
賬戶驗證
一些通訊軟件會以QR code認證來核實登錄者是否該賬號的持有人。例如用家在電腦登入網頁版時,系統會要求登入者用已登入之手提電話掃描網頁版上的QR code作認證。不法分子會複製通訊軟件登錄QR code,然後發送至用戶。如果掃描了那些QR code,黑客便能取得受害人賬戶。
訊息儲存
QR code可以用來儲存文字訊息。由於登機證及演唱會門票上的QR code或載有個人資料,若資料沒有加密,便會有資料外洩的潛在風險。
使用保安小貼士
流動支付
以QR code進行流動支付前,須小心核實應用程式提供的交易資料。完成支付交易後,要立即核實銀行或流動支付服務供應商所發出的交易紀錄;
切勿隨便向他人透露流動支付服務所產生的QR code;
商戶應採用動態QR code來進行流動支付,動態QR code在完成交易後就會自動刷新,較靜態QR code更安全及難以被調換。
網頁瀏覽
掃描QR code前要提高警覺,不要掃描一些來歷不明的QR code;
關閉QR code掃描器自動瀏覽網頁功能。關閉設定後,每次掃描QR code都會彈出對應的URL,待你確認才會連接到該網站;
使用防毒軟件上的QR code 掃描器功能,讓防毒軟件預先檢查URL是否安全才開啟網頁;
商戶應該定期檢視QR code是否有異常,用戶也要留意QR code有否被改動或被貼上另一個QR code;
餐廳若是使用QR code點餐平台,用戶切勿將點餐QR code上載到社交平台。
賬戶驗證
只掃描官方網站內的賬戶驗證QR code;
如發現不尋常的登入紀錄,應立即向服務供應商查詢。
訊息儲存
商戶應該避免將敏感訊息儲存在QR code內;
如要儲存敏感訊息,須先把資料加密,再儲存在QR code內,以防止資料被非法讀取。
(來源:《香港仔》)
相關報道:
收藏
取消收藏
分享
