資訊保安隨筆 - 生產力局提供一站式數碼轉型顧問服務及資訊

香港生產力促進局（生產力局）為配合中小企和初創公司數碼轉型的需要，於上年4月起推出專為中小企和初創公司而設的「知創企業家網絡」（InnoPreneur Network）O2O交流平台，旨在向業界分享行業最新技術應用、行業痛點和創業故事。讓中小企掌握科技發展趨勢及正確資訊，從而令公司數碼轉型更順暢及得以持續發展。

近年很多中小企在數碼轉型時會引入各種應用技術，優化客戶體驗之餘，亦有助提高營運效率。今期知創企業家網絡「eClinics商務診所」為大家介紹早前由生產力局轄下香港電腦保安事故協調中心（HKCERT）發布的QR code（Quick Response Code，又稱二維碼）應用範疇和相關網絡保安注意事項。

QR CODE 的四大應用範疇

近年日漸普及的QR code應用範疇甚廣，一經掃瞄便可即時存取網站、聯絡資料等資訊。無論是防疫措施還是電子付款，甚至乎酒樓餐廳自助落單都有機會應用到 QR Code。儘管 QR Code 技術本身是安全的，但隨著大家對它愈加依賴，網絡犯罪分子會千方百計想利用它犯案。由於QR code的製作成本較低，加上智能流動裝置普遍已附設QR code掃瞄器，所以各行各業均迅速廣泛應用QR Code。因此，認識QR code潛在攻擊及對應手法非常重要。

QR Code的四種常見應用包括流動支付、網站瀏覽、賬戶驗證及訊息儲存：

1.流動支付

香港大部分的主要流動支付平台都支援QR code付款或收款。一般來說，手機支付分為「主動掃碼」及「被動掃碼」兩種方式。前者需要用戶先掃瞄商戶的QR code，再輸入金額及支付密碼以完成支付，後者則由商戶掃瞄用戶流動裝置的QR code來收款。無論是「主動掃碼」或「被動掃碼」，用戶均需要開啟相關支付程式來完成操作。

「主動掃碼」又分為「動態型」及「靜態型」。以「動態型」進行每宗交易時，QR code都會自動刷新，而「靜態型」則不會。內地就曾有商戶遭不法分子掉換其靜態QR code，用戶若不慎掃瞄，支付金額就會轉到不法分子的帳戶，商戶及用戶皆會面對金錢損失。

2.網頁瀏覽

商戶會用QR code儲存官方網址，當用戶掃瞄QR code，其裝置便會自動跳到商戶的網站。有部分飲食機構亦改用QR code連接至點餐平台網站，既能記錄使用者的枱號及餐點，又可方便用戶自助點餐。其他例子包括調查機構會使用QR code儲存問卷調查網址，讓用戶以流動裝置回答問卷，或引導他們至應用程式商店下載應用程式。

由於用QR code儲存網址非常普遍，不法分子會設立釣魚網站，然後以QR code暗藏該釣魚網站的網址，再透過電子郵件或其他方式散播，誘騙受害人登入有關網站，輸入銀行賬戶密碼或個人資料等。

3.賬戶驗證

一些通訊軟件會以QR code認證來核實登錄者是否該帳號的持有人。例如用家在電腦登入網頁版時，系統會要求登入者用已登入之手提電話掃瞄網頁版上的QR code作認證。不法分子會複製通訊軟件的登錄QR code，然後發送至用戶。如果掃瞄了這些QR code，黑客便能取得受害人帳戶資料。

4.訊息儲存

QR code可以用來儲存文字訊息。由於登機證及演唱會門票上的QR code或載有個人資料，若資料沒有加密，便會有資料外洩的潛在風險。

應用QR CODE的保安小貼士

1.流動支付

• 以QR code進行流動支付前，需小心核實應用程式提供的交易資料。完成支付交易後，要立即核實銀行或流動支付服務供應商所發出的交易記錄；
• 切勿隨便向他人分享流動支付服務所產生的QR code；
• 商戶應採用動態QR code來進行流動支付，動態QR code在完成交易後就會自動刷新，較靜態QR code更安全及難以被掉換。
• 網頁瀏覽

2.網頁瀏覽

• 掃瞄QR code前要提高警覺，不要掃瞄一些來歷不明的QR code；
• 關閉QR code掃瞄器自動瀏覽網頁功能。關閉設定後，每次掃瞄QR code都會彈出對應的網頁連結，待您確認才會連接到該網站；
• 使用防毒軟件上的QR code 掃瞄器功能，讓防毒軟件預先檢查網頁連結是否安全才開啟網頁；
• 商戶應定期檢視QR code是否有異常，用戶亦要留意QR code 曾否被改動或被貼上另一個 QR code；
• 餐廳若使用QR code點餐平台，用戶切勿將點餐QR code上載到社交平台。

3.賬戶驗證

• 只掃瞄官方網站內的賬戶驗證QR code；
• 如發現不尋常的登入記錄，應立即向服務供應商查詢。

4.訊息儲存

• 商戶應該避免將敏感訊息儲存在QR code內；
• 如要儲存敏感訊息，需先把資料加密，再儲存在QR code內，以防止資料被非法讀取。

除提供行業最新技術應用外，生產力局亦為中小企提供其他數碼轉型支援服務，如企業系統投資分析評估、軟件檢測和認證、智能解決方案、商業軟件應用、大數據諮詢、策略性資訊科技管理、網絡保安、嵌入式軟件系統、新媒體與學習科技發展及資訊科技行業支援等。

想了解更多關於數碼轉型方案，請即登入「eClinics商務診所 — 數碼轉型」預約 免費一對一諮詢服務。

知創企業家網絡

生產力局「知創企業家網絡」是一個一站式、跨業務、跨網絡，跨技術的交流平台，讓不同行業因應科技帶來的轉變，交流最新行業技術應用、行業痛點、分享創新思維及講述他們的創業故事。平台獲得多個商會及行業顧問支持，在各方協力下，凝聚中小企和初創力量。並定期舉辦針對不同行業技術的「知創企業家論壇」（InnoPreneur Forum）及活動，邀請嘉賓分享市場趨勢，讓中小企和初創公司加強溝通聯繫，建立人脈和適應行業文化，開拓新商機。

歡迎瀏覽 「知創企業家網絡」 電子平台獲取更多資訊，或致電2788 5089 了解詳情。

香港電腦保安事故協調中心

由生產力局管理的香港電腦保安事故協調中心（HKCERT），是本港的資訊保安事故協調中心，為本地企業及互聯網用戶提供資訊保安事故的消息和防禦指引、事故回應及支援服務，及提高保安意識。

HKCERT聯絡本地的組織，負責收集、發放訊息及協調保安事故應變行動。HKCERT 亦是全球保安事故協調中心組織 (Forum of Incident Response and Security Teams, FIRST) 及 亞太保安事故協調中心組識 (Asia Pacific Computer Emergency Response Teams, APCERT) 的成員，與其他協調中心在跨境資訊保安事故上，交換情報和保持聯繫。