• 發布單位:TWCERT/CC
• 更新日期:2023-05-12
• 點閱次數:191

QR Code 已成為通用全球的便利工具，使用者可利用智慧型手機掃瞄 QR Code 後，快速存取各種網路資源；但近來在全球各地傳出多起不法分子利用 QR Code 假冒會員問卷、停車票卡，實則埋藏惡意連結，造成各種損害。

新加坡海峽時報日前報導指出，一名 60 歲左右的婦人，在一家珍珠奶茶店，以智慧型手機掃瞄了貼在店面牆上的會員問卷 QR Code，想要填寫會員問卷以獲贈一杯免費的飲料，結果不幸遭到駭侵者惡意攻擊。

報導說，婦人以其 Android 手機掃瞄該惡意 QR Code 後，便下載了一個第三方 App 在手機上；婦人以該 App 填寫完問卷資料後，當天半夜突然接獲銀行通知，帳戶已遭盜領達 20,000 美元。資安專家指出，該惡意軟體顯然竊取了受害者手機中的網路銀行登入資訊。

新加坡警方指出，光在 2023 年 3 月，類似案件就有 113 起，共造成 445,000 美元的財損。

此外，在美國與英國各地，近來也頻頻發生類似的攻擊事件。許多將車輛停在停車場內的車主，會遭到駭侵者將假冒的停車計時票卡夾在擋風玻璃上；以發生在美國舊金山的案例而言，駭侵者偽造舊金山交通局（San Francisco Municipal Transportation Agency, SFMTA）製作的停車票卡；車主若以手機掃瞄偽造票卡上的 QR Code，就會進入駭侵者製作偽造 SFMTA 官方網站，其外觀和真實的 SFMTA 官網極為類似，用以詐騙受害者誤將停車費繳交到駭侵者設立的帳戶中。

在英國的案例則是受害者掃瞄假 QR Code 後，會進入釣魚網站並輸入自己的信用卡資料，造成卡片資料外洩並被盜刷。

建議用戶以手機掃瞄 QR Code 後，如果被要求下載軟體，應提高警覺，仔細判斷軟體真偽，且不應授予過多權限；若被導到網站，應仔細觀察網址是否正確無誤，以免遭到釣魚攻擊而造成資安風險。