跳转到主要内容

资讯保安随笔 - 生产力局提供一站式数码转型顾问服务及资讯

香港生产力促进局(生产力局)为配合中小企和初创公司数码转型的需要,于上年4月起推出专为中小企和初创公司而设的「知创企业家网络」(InnoPreneur Network)O2O交流平台,旨在向业界分享行业最新技术应用、行业痛点和创业故事。让中小企掌握科技发展趋势及正确资讯,从而令公司数码转型更顺畅及得以持续发展。

近年很多中小企在数码转型时会引入各种应用技术,优化客户体验之余,亦有助提高营运效率。今期知创企业家网络「eClinics商务诊所」为大家介绍早前由生产力局辖下香港电脑保安事故协调中心(HKCERT)发布的QR code(Quick Response Code,又称二维码)应用范畴和相关网络保安注意事项。

QR CODE 的四大应用范畴

近年日渐普及的QR code应用范畴甚广,一经扫瞄便可即时存取网站、联络资料等资讯。无论是防疫措施还是电子付款,甚至乎酒楼餐厅自助落单都有机会应用到 QR Code。尽管 QR Code 技术本身是安全的,但随着大家对它愈加依赖,网络犯罪分子会千方百计想利用它犯案。由于QR code的制作成本较低,加上智能流动装置普遍已附设QR code扫瞄器,所以各行各业均迅速广泛应用QR Code。因此,认识QR code潜在攻击及对应手法非常重要。

QR Code的四种常见应用包括流动支付、网站浏览、账户验证及讯息储存:

1.流动支付

香港大部分的主要流动支付平台都支援QR code付款或收款。一般来说,手机支付分为「主动扫码」及「被动扫码」两种方式。前者需要用户先扫瞄商户的QR code,再输入金额及支付密码以完成支付,后者则由商户扫瞄用户流动装置的QR code来收款。无论是「主动扫码」或「被动扫码」,用户均需要开启相关支付程式来完成操作。

流动支付

「主动扫码」又分为「动态型」及「静态型」。以「动态型」进行每宗交易时,QR code都会自动刷新,而「静态型」则不会。内地就曾有商户遭不法分子掉换其静态QR code,用户若不慎扫瞄,支付金额就会转到不法分子的帐户,商户及用户皆会面对金钱损失。

2.网页浏览

商户会用QR code储存官方网址,当用户扫瞄QR code,其装置便会自动跳到商户的网站。有部分饮食机构亦改用QR code连接至点餐平台网站,既能记录使用者的枱号及餐点,又可方便用户自助点餐。其他例子包括调查机构会使用QR code储存问卷调查网址,让用户以流动装置回答问卷,或引导他们至应用程式商店下载应用程式。

由于用QR code储存网址非常普遍,不法分子会设立钓鱼网站,然后以QR code暗藏该钓鱼网站的网址,再透过电子邮件或其他方式散播,诱骗受害人登入有关网站,输入银行账户密码或个人资料等。

3.账户验证

一些通讯软件会以QR code认证来核实登录者是否该帐号的持有人。例如用家在电脑登入网页版时,系统会要求登入者用已登入之手提电话扫瞄网页版上的QR code作认证。不法分子会复制通讯软件的登录QR code,然后发送至用户。如果扫瞄了这些QR code,黑客便能取得受害人帐户资料。

4.讯息储存

QR code可以用来储存文字讯息。由于登机证及演唱会门票上的QR code或载有个人资料,若资料没有加密,便会有资料外洩的潜在风险。

应用QR CODE的保安小贴士

1.流动支付

  • 以QR code进行流动支付前,需小心核实应用程式提供的交易资料。完成支付交易后,要立即核实银行或流动支付服务供应商所发出的交易记录;
  • 切勿随便向他人分享流动支付服务所产生的QR code;
  • 商户应採用动态QR code来进行流动支付,动态QR code在完成交易后就会自动刷新,较静态QR code更安全及难以被掉换。
  • 网页浏览

2.网页浏览

  • 扫瞄QR code前要提高警觉,不要扫瞄一些来歷不明的QR code;
  • 关闭QR code扫瞄器自动浏览网页功能。关闭设定后,每次扫瞄QR code都会弹出对应的网页连结,待您确认才会连接到该网站;
  • 使用防毒软件上的QR code 扫瞄器功能,让防毒软件预先检查网页连结是否安全才开启网页;
  • 商户应定期检视QR code是否有异常,用户亦要留意QR code 曾否被改动或被贴上另一个 QR code;
  • 餐厅若使用QR code点餐平台,用户切勿将点餐QR code上载到社交平台。

网页浏览

3.账户验证

  • 只扫瞄官方网站内的账户验证QR code;
  • 如发现不寻常的登入记录,应立即向服务供应商查询。

4.讯息储存

  • 商户应该避免将敏感讯息储存在QR code内;
  • 如要储存敏感讯息,需先把资料加密,再储存在QR code内,以防止资料被非法读取。

除提供行业最新技术应用外,生产力局亦为中小企提供其他数码转型支援服务,如企业系统投资分析评估、软件检测和认证、智能解决方案、商业软件应用、大数据谘询、策略性资讯科技管理、网络保安、嵌入式软件系统、新媒体与学习科技发展及资讯科技行业支援等。

想了解更多关于数码转型方案,请即登入「eClinics商务诊所 — 数码转型」预约 免费一对一谘询服务。

知创企业家网络

生产力局「知创企业家网络」是一个一站式、跨业务、跨网络,跨技术的交流平台,让不同行业因应科技带来的转变,交流最新行业技术应用、行业痛点、分享创新思维及讲述他们的创业故事。平台获得多个商会及行业顾问支持,在各方协力下,凝聚中小企和初创力量。并定期举办针对不同行业技术的「知创企业家论坛」(InnoPreneur Forum)及活动,邀请嘉宾分享市场趋势,让中小企和初创公司加强沟通联繫,建立人脉和适应行业文化,开拓新商机。

欢迎浏览 「知创企业家网络」 电子平台获取更多资讯,或致电2788 5089 了解详情。

知创企业家网络

香港电脑保安事故协调中心

由生产力局管理的香港电脑保安事故协调中心(HKCERT),是本港的资讯保安事故协调中心,为本地企业及互联网用户提供资讯保安事故的消息和防御指引、事故回应及支援服务,及提高保安意识。

HKCERT联络本地的组织,负责收集、发放讯息及协调保安事故应变行动。HKCERT 亦是全球保安事故协调中心组织 (Forum of Incident Response and Security Teams, FIRST) 及 亚太保安事故协调中心组识 (Asia Pacific Computer Emergency Response Teams, APCERT) 的成员,与其他协调中心在跨境资讯保安事故上,交换情报和保持联繫。

香港电脑保安事故协调中心