Skip to main content

資訊保安隨筆 - 生產力局提供一站式數碼轉型顧問服務及資訊

香港生產力促進局(生產力局)為配合中小企和初創公司數碼轉型的需要,於上年4月起推出專為中小企和初創公司而設的「知創企業家網絡」(InnoPreneur Network)O2O交流平台,旨在向業界分享行業最新技術應用、行業痛點和創業故事。讓中小企掌握科技發展趨勢及正確資訊,從而令公司數碼轉型更順暢及得以持續發展。

近年很多中小企在數碼轉型時會引入各種應用技術,優化客戶體驗之餘,亦有助提高營運效率。今期知創企業家網絡「eClinics商務診所」為大家介紹早前由生產力局轄下香港電腦保安事故協調中心(HKCERT)發布的QR code(Quick Response Code,又稱二維碼)應用範疇和相關網絡保安注意事項。

QR CODE 的四大應用範疇

近年日漸普及的QR code應用範疇甚廣,一經掃瞄便可即時存取網站、聯絡資料等資訊。無論是防疫措施還是電子付款,甚至乎酒樓餐廳自助落單都有機會應用到 QR Code。儘管 QR Code 技術本身是安全的,但隨著大家對它愈加依賴,網絡犯罪分子會千方百計想利用它犯案。由於QR code的製作成本較低,加上智能流動裝置普遍已附設QR code掃瞄器,所以各行各業均迅速廣泛應用QR Code。因此,認識QR code潛在攻擊及對應手法非常重要。

QR Code的四種常見應用包括流動支付、網站瀏覽、賬戶驗證及訊息儲存:

1.流動支付

香港大部分的主要流動支付平台都支援QR code付款或收款。一般來說,手機支付分為「主動掃碼」及「被動掃碼」兩種方式。前者需要用戶先掃瞄商戶的QR code,再輸入金額及支付密碼以完成支付,後者則由商戶掃瞄用戶流動裝置的QR code來收款。無論是「主動掃碼」或「被動掃碼」,用戶均需要開啟相關支付程式來完成操作。

流動支付

「主動掃碼」又分為「動態型」及「靜態型」。以「動態型」進行每宗交易時,QR code都會自動刷新,而「靜態型」則不會。內地就曾有商戶遭不法分子掉換其靜態QR code,用戶若不慎掃瞄,支付金額就會轉到不法分子的帳戶,商戶及用戶皆會面對金錢損失。

2.網頁瀏覽

商戶會用QR code儲存官方網址,當用戶掃瞄QR code,其裝置便會自動跳到商戶的網站。有部分飲食機構亦改用QR code連接至點餐平台網站,既能記錄使用者的枱號及餐點,又可方便用戶自助點餐。其他例子包括調查機構會使用QR code儲存問卷調查網址,讓用戶以流動裝置回答問卷,或引導他們至應用程式商店下載應用程式。

由於用QR code儲存網址非常普遍,不法分子會設立釣魚網站,然後以QR code暗藏該釣魚網站的網址,再透過電子郵件或其他方式散播,誘騙受害人登入有關網站,輸入銀行賬戶密碼或個人資料等。

3.賬戶驗證

一些通訊軟件會以QR code認證來核實登錄者是否該帳號的持有人。例如用家在電腦登入網頁版時,系統會要求登入者用已登入之手提電話掃瞄網頁版上的QR code作認證。不法分子會複製通訊軟件的登錄QR code,然後發送至用戶。如果掃瞄了這些QR code,黑客便能取得受害人帳戶資料。

4.訊息儲存

QR code可以用來儲存文字訊息。由於登機證及演唱會門票上的QR code或載有個人資料,若資料沒有加密,便會有資料外洩的潛在風險。

應用QR CODE的保安小貼士

1.流動支付

  • 以QR code進行流動支付前,需小心核實應用程式提供的交易資料。完成支付交易後,要立即核實銀行或流動支付服務供應商所發出的交易記錄;
  • 切勿隨便向他人分享流動支付服務所產生的QR code;
  • 商戶應採用動態QR code來進行流動支付,動態QR code在完成交易後就會自動刷新,較靜態QR code更安全及難以被掉換。
  • 網頁瀏覽

2.網頁瀏覽

  • 掃瞄QR code前要提高警覺,不要掃瞄一些來歷不明的QR code;
  • 關閉QR code掃瞄器自動瀏覽網頁功能。關閉設定後,每次掃瞄QR code都會彈出對應的網頁連結,待您確認才會連接到該網站;
  • 使用防毒軟件上的QR code 掃瞄器功能,讓防毒軟件預先檢查網頁連結是否安全才開啟網頁;
  • 商戶應定期檢視QR code是否有異常,用戶亦要留意QR code 曾否被改動或被貼上另一個 QR code;
  • 餐廳若使用QR code點餐平台,用戶切勿將點餐QR code上載到社交平台。

網頁瀏覽

3.賬戶驗證

  • 只掃瞄官方網站內的賬戶驗證QR code;
  • 如發現不尋常的登入記錄,應立即向服務供應商查詢。

4.訊息儲存

  • 商戶應該避免將敏感訊息儲存在QR code內;
  • 如要儲存敏感訊息,需先把資料加密,再儲存在QR code內,以防止資料被非法讀取。

除提供行業最新技術應用外,生產力局亦為中小企提供其他數碼轉型支援服務,如企業系統投資分析評估、軟件檢測和認證、智能解決方案、商業軟件應用、大數據諮詢、策略性資訊科技管理、網絡保安、嵌入式軟件系統、新媒體與學習科技發展及資訊科技行業支援等。

想了解更多關於數碼轉型方案,請即登入「eClinics商務診所 — 數碼轉型」預約 免費一對一諮詢服務。

知創企業家網絡

生產力局「知創企業家網絡」是一個一站式、跨業務、跨網絡,跨技術的交流平台,讓不同行業因應科技帶來的轉變,交流最新行業技術應用、行業痛點、分享創新思維及講述他們的創業故事。平台獲得多個商會及行業顧問支持,在各方協力下,凝聚中小企和初創力量。並定期舉辦針對不同行業技術的「知創企業家論壇」(InnoPreneur Forum)及活動,邀請嘉賓分享市場趨勢,讓中小企和初創公司加強溝通聯繫,建立人脈和適應行業文化,開拓新商機。

歡迎瀏覽 「知創企業家網絡」 電子平台獲取更多資訊,或致電2788 5089 了解詳情。

知創企業家網絡

香港電腦保安事故協調中心

由生產力局管理的香港電腦保安事故協調中心(HKCERT),是本港的資訊保安事故協調中心,為本地企業及互聯網用戶提供資訊保安事故的消息和防禦指引、事故回應及支援服務,及提高保安意識。

HKCERT聯絡本地的組織,負責收集、發放訊息及協調保安事故應變行動。HKCERT 亦是全球保安事故協調中心組織 (Forum of Incident Response and Security Teams, FIRST) 及 亞太保安事故協調中心組識 (Asia Pacific Computer Emergency Response Teams, APCERT) 的成員,與其他協調中心在跨境資訊保安事故上,交換情報和保持聯繫。

香港電腦保安事故協調中心

FOLLOW US
SUBSCRIBE TO OUR NEWSLETTERS

Share the latest information of HKPC to your inbox

SIGNUP NOW
Home Online Chat Contact Us Careers
Tender Info Subscribe