跳至主要內容


安全使用 QR code

安全使用 QR code

日期 : 2022年1月18日

机构 : 香港电脑保安事故协调中心(HKCERT)

作者 : 香港电脑保安事故协调中心(HKCERT)

 

QR code,又称作二维码,已成为大家日常生活的一部分。譬如,消费方面,四间能用上香港特区政府消费券的电子支付平台中,就有三间支援QR code支付;防疫方面,不同场所都张贴QR code方便市民记录到访;甚至在餐厅,都会采用QR code来点餐。虽然QR code大大方便了我们的生活,但大家也应小心谨慎使用,留意当中的保安风险。

QR code是什么?

QR code由日本汽车零件业者Denso Wave公司于1994年发明,是Quick Response Code的缩写。它使用四种标准化编码模式来存储数据,较普通一维条码(barcode)更能快速读取,并拥有更大的资料储存量。QR code在2000年6月获国际标准组织 (ISO) 订立ISO/IEC 18004的标准,至今已广泛应用于读取流动装置内的简单数据。

QR code的应用及保安隐患

由于QR code的制作成本较低,加上智能流动装置系统预先设定了QR code扫瞄器,所以成功令其获各行各业应用。今次我们会探讨四种常见的应用:流动支付、网站浏览、账户验证及讯息储存。

  1. 流动支付
    香港大部分的主要流动支付平台都会支持QR code付款或收款。一般来说,手机支付分为「主动扫码」及「被动扫码」两种方式。前者需要用户先扫瞄商户的QR code,再输入金额及支付密码便可以完成支付,后者则由商户扫瞄用户流动装置的QR code来进行支付。无论是「主动扫码」或「被动扫码」,用户均需要开启相关支付程式来完成操作。
    「主动扫码」又分为「动态型」及「静态型」。「动态型」下,进行每单交易时,QR code都会自动刷新,而「静态型」则不会。内地就曾有商户遭不法分子掉换其静态QR code,用户若不慎扫瞄,支付金额就会转到不法分子的帐户,商户及用户皆会面对金钱损失。

  2. 网页浏览
    商户会用QR code储存官方网址,当用户扫瞄QR code,其装置便会自动跳到商户的网站。有部分饮食机构亦改用QR code连接至点餐平台网站,网站能记录使用者的枱号及餐点,方便用户自助点餐。其他例子包括调查机构会使用QR code储存问卷调查网址,让用户以流动装置回答问卷,或引导至应用程式商店下载应用程式。
    由于用QR code储存网址非常普遍,不法分子会设立钓鱼网站,然后以QR code暗藏该钓鱼网站的网址,然后透过电子邮件或其他方式散播,诱骗受害人登入有关网站,输入银行账户密码或个人资料等。

  3. 帐户验证
    一些通讯软件会以QR code认证来核实登录者是否该帐号的持有人。例如用家在电脑登入网页版时,系统会要求登入者用已登入之手提电话扫瞄网页版上的QR code作认证。不法分子会复制通讯软件的登录QR code,然后发送至用户。如果扫瞄了那些QR code,黑客便能取得受害人帐户。

  4. 讯息储存
    QR code可以用来储存文字讯息。由于登机证及演唱会门票上的QR code或载有个人资料,若资料没有加密,便会有资料外泄的潜在风险。

使用QR code的保安小贴士

  1. 流动支付
    • 以QR code进行流动支付前,需小心核实应用程式提供的交易资料。完成支付交易后,要立即核实银行或流动支付服务供应商所发出的交易记录;
    • 切勿随便向他人透露流动支付服务所产生的QR code;
    • 商户应采用动态QR code来进行流动支付, 动态QR code在完成交易后就会自动刷新,较静态QR code更安全及难以被掉换。

  2. 网页浏览
    • 扫瞄QR code前要提高警觉,不要扫瞄一些来历不明的QR code;
    • 关闭QR code扫瞄器自动浏览网页功能。关闭设定后,每次扫瞄QR code都会弹出对应的URL,待你确认才会连接到该网站;
    • 使用防毒软件上的QR code 扫瞄器功能,让防毒软件预先检查URL是否安全才开启网页;
    • 商户应该定期检视QR code是否有异常,用户也要留意QR code 有否被改动或被贴上另一个 QR code;
    • 餐厅若是使用QR code点餐平台,用户切勿将点餐QR code上载到社交平台。

  3. 帐户验证
    • 只扫瞄官方网站内的账户验证QR code;
    • 如发现不寻常的登入记录,应立即向服务供应商查询。

  4. 讯息储存
    • 商户应该避免将敏感讯息储存在QR code内;
    • 如要储存敏感讯息,需先把资料加密,再储存在QR code内,以防止资料被非法读取。

回页顶