Skip to main content

資訊保安隨筆 - 生產力局提供一站式數碼轉型顧問服務及資訊

香港生產力促進局(生產力局)為配合中小企和初創公司數碼轉型的需要,於上年4月起推出專為中小企和初創公司而設的「知創企業家網絡」(InnoPreneur Network)O2O交流平台,旨在向業界分享行業最新技術應用、行業痛點和創業故事。讓中小企掌握科技發展趨勢及正確資訊,從而令公司數碼轉型更順暢及得以持續發展。

近年很多中小企在數碼轉型時會引入各種應用技術,優化客戶體驗之餘,亦有助提高營運效率。今期知創企業家網絡「eClinics商務診所」為大家介紹早前由生產力局轄下香港電腦保安事故協調中心(HKCERT)發布的QR code(Quick Response Code,又稱二維碼)應用範疇和相關網絡保安注意事項。

QR CODE 的四大應用範疇

近年日漸普及的QR code應用範疇甚廣,一經掃瞄便可即時存取網站、聯絡資料等資訊。無論是防疫措施還是電子付款,甚至乎酒樓餐廳自助落單都有機會應用到 QR Code。儘管 QR Code 技術本身是安全的,但隨著大家對它愈加依賴,網絡犯罪分子會千方百計想利用它犯案。由於QR code的製作成本較低,加上智能流動裝置普遍已附設QR code掃瞄器,所以各行各業均迅速廣泛應用QR Code。因此,認識QR code潛在攻擊及對應手法非常重要。

QR Code的四種常見應用包括流動支付、網站瀏覽、賬戶驗證及訊息儲存:

1.流動支付

香港大部分的主要流動支付平台都支援QR code付款或收款。一般來說,手機支付分為「主動掃碼」及「被動掃碼」兩種方式。前者需要用戶先掃瞄商戶的QR code,再輸入金額及支付密碼以完成支付,後者則由商戶掃瞄用戶流動裝置的QR code來收款。無論是「主動掃碼」或「被動掃碼」,用戶均需要開啟相關支付程式來完成操作。

流動支付

「主動掃碼」又分為「動態型」及「靜態型」。以「動態型」進行每宗交易時,QR code都會自動刷新,而「靜態型」則不會。內地就曾有商戶遭不法分子掉換其靜態QR code,用戶若不慎掃瞄,支付金額就會轉到不法分子的帳戶,商戶及用戶皆會面對金錢損失。

2.網頁瀏覽

商戶會用QR code儲存官方網址,當用戶掃瞄QR code,其裝置便會自動跳到商戶的網站。有部分飲食機構亦改用QR code連接至點餐平台網站,既能記錄使用者的枱號及餐點,又可方便用戶自助點餐。其他例子包括調查機構會使用QR code儲存問卷調查網址,讓用戶以流動裝置回答問卷,或引導他們至應用程式商店下載應用程式。

由於用QR code儲存網址非常普遍,不法分子會設立釣魚網站,然後以QR code暗藏該釣魚網站的網址,再透過電子郵件或其他方式散播,誘騙受害人登入有關網站,輸入銀行賬戶密碼或個人資料等。

3.賬戶驗證

一些通訊軟件會以QR code認證來核實登錄者是否該帳號的持有人。例如用家在電腦登入網頁版時,系統會要求登入者用已登入之手提電話掃瞄網頁版上的QR code作認證。不法分子會複製通訊軟件的登錄QR code,然後發送至用戶。如果掃瞄了這些QR code,黑客便能取得受害人帳戶資料。

4.訊息儲存

QR code可以用來儲存文字訊息。由於登機證及演唱會門票上的QR code或載有個人資料,若資料沒有加密,便會有資料外洩的潛在風險。

應用QR CODE的保安小貼士

1.流動支付

  • 以QR code進行流動支付前,需小心核實應用程式提供的交易資料。完成支付交易後,要立即核實銀行或流動支付服務供應商所發出的交易記錄;
  • 切勿隨便向他人分享流動支付服務所產生的QR code;
  • 商戶應採用動態QR code來進行流動支付,動態QR code在完成交易後就會自動刷新,較靜態QR code更安全及難以被掉換。
  • 網頁瀏覽

2.網頁瀏覽

  • 掃瞄QR code前要提高警覺,不要掃瞄一些來歷不明的QR code;
  • 關閉QR code掃瞄器自動瀏覽網頁功能。關閉設定後,每次掃瞄QR code都會彈出對應的網頁連結,待您確認才會連接到該網站;
  • 使用防毒軟件上的QR code 掃瞄器功能,讓防毒軟件預先檢查網頁連結是否安全才開啟網頁;
  • 商戶應定期檢視QR code是否有異常,用戶亦要留意QR code 曾否被改動或被貼上另一個 QR code;
  • 餐廳若使用QR code點餐平台,用戶切勿將點餐QR code上載到社交平台。

網頁瀏覽

3.賬戶驗證

  • 只掃瞄官方網站內的賬戶驗證QR code;
  • 如發現不尋常的登入記錄,應立即向服務供應商查詢。

4.訊息儲存

  • 商戶應該避免將敏感訊息儲存在QR code內;
  • 如要儲存敏感訊息,需先把資料加密,再儲存在QR code內,以防止資料被非法讀取。

除提供行業最新技術應用外,生產力局亦為中小企提供其他數碼轉型支援服務,如企業系統投資分析評估、軟件檢測和認證、智能解決方案、商業軟件應用、大數據諮詢、策略性資訊科技管理、網絡保安、嵌入式軟件系統、新媒體與學習科技發展及資訊科技行業支援等。

想了解更多關於數碼轉型方案,請即登入「eClinics商務診所 — 數碼轉型」預約 免費一對一諮詢服務。

知創企業家網絡

生產力局「知創企業家網絡」是一個一站式、跨業務、跨網絡,跨技術的交流平台,讓不同行業因應科技帶來的轉變,交流最新行業技術應用、行業痛點、分享創新思維及講述他們的創業故事。平台獲得多個商會及行業顧問支持,在各方協力下,凝聚中小企和初創力量。並定期舉辦針對不同行業技術的「知創企業家論壇」(InnoPreneur Forum)及活動,邀請嘉賓分享市場趨勢,讓中小企和初創公司加強溝通聯繫,建立人脈和適應行業文化,開拓新商機。

歡迎瀏覽 「知創企業家網絡」 電子平台獲取更多資訊,或致電2788 5089 了解詳情。

知創企業家網絡

香港電腦保安事故協調中心

由生產力局管理的香港電腦保安事故協調中心(HKCERT),是本港的資訊保安事故協調中心,為本地企業及互聯網用戶提供資訊保安事故的消息和防禦指引、事故回應及支援服務,及提高保安意識。

HKCERT聯絡本地的組織,負責收集、發放訊息及協調保安事故應變行動。HKCERT 亦是全球保安事故協調中心組織 (Forum of Incident Response and Security Teams, FIRST) 及 亞太保安事故協調中心組識 (Asia Pacific Computer Emergency Response Teams, APCERT) 的成員,與其他協調中心在跨境資訊保安事故上,交換情報和保持聯繫。

香港電腦保安事故協調中心