利用QR行騙飆升
大眾對QR碼絕不陌生,掃描QR已融入生活的一部份。QR碼全名Quick Response Code,90年代由一家日本公司發明,原本是用作追蹤汽車部件,後來演化成提供更多資訊快速解碼的工具,手機令QR迅速普及化,疫情鼓勵「零接觸」將使用率進一步推高。使用QR固然方便,但最大問題是肉眼無法識別其內容,加上民眾對其倚賴,因而提供了莫大空間給予騙徙。事實上,利用QR 騙案呈爆炸式增長,去年QR已成為亞太區最主要支付行騙的方式。行騙手法更是變化多端,上周就爆出有騙徒寄出假港鐵全年免費車票,騙受害人掃描QR啟動,QR背後當然是釣魚網站,用作盜取敏感個人資料。同類事件外國已發生多次,例如寄送掃描QR領取超市現金券。另一招是騙徒在速遞員胡亂放置速遞郵包上加貼中獎或優惠QR。還有假扮知名商家,向客戶寄信聲稱提升服務,要求掃描QR下載新軟件。亦有官方提供繳款二維碼被騙徒貼上遮蓋QR,盜取受害者信用卡資料。又有騙徒在宗教場所放置QR騙取捐款。亦有發送訊息指付款失敗,必須掃描QR完成付款等等。認識這些騙徒常用的伎倆,有助防止中招。
QR私隱問題未解
掃描後開啓連結最常見,但其實QR用途極之廣泛,且涉及不同形式的資訊風險。首先QR可用作儲存大量個人資料,例如個人名片的vCard QR內裏有名稱、電郵、聯絡電話等。之前新冠疫苗的QR針卡有接種紀錄。現代電子門鎖利用QR作身份認證。亦有一些QR內含價值,例如電子現金券、門票、兌換券等,一旦被掃描,QR便失效。上述QR如果洩漏,可令私隱資料外洩或損失金錢。另一類QR掃描後會執行一些動作,例如開啟電子郵件、制定簡訊、撥打電話,簡單點擊下一步就發訊,對方可取得你的電郵地址或電話號碼。亦有一掃QR可連線的Wi-Fi,這些Wi-Fi不一定是場地提供,可能存在連線風險。近年興起Dynamic QR,背後連結可以改動,甚至因應不同裝置提供不同連結,可以出現前者掃描安全,後者再掃中招的情況。再有一類QR就是與軟件連結,進行交易同時記錄使用者行為。例如用QR付款,消費的項目、位置、時間、場所馬上被記錄,而且可實時傳送給第三方。有些看似無傷大雅,例如掃QR點餐,但其實製作QR並不是餐廳本身,背後的軟件商可系統地收集資料,甚至在你的瀏覽器留下識別標籤。中共廣泛利用QR,強迫民眾在公共設施使用,甚至連使用公廁都要掃描QR。只要系統加上限制,就可針對目標實施各種懲罰及控制民眾行為,新冠疫情時中共如何利用QR實施限制,大眾十分清楚。
審慎應對QR風險
應對上述各種風險,需要一個較完整的策略。騙徒通常就是給予誘因,送上優惠等令受害者視線聚焦於誘因。是凡掃QR可獲取利益,又或要求輸入任何個人資料,必須提高警覺,應假設是騙局去驗證一切。絕大部份掃描QR之後,需要額外動作才執行,進行任何動作之前需要用戶確認,首先避免意外點擊。不要利用掃描QR下載任何軟件,應直接在App Store或Google Play下載安裝。不要利用QR啓動陌生Wi-Fi連線。若QR背後是連結,請利用筆者前期文章介紹拆解網域名稱結構的方法,迅速分辨網址的真實名稱,然後判斷下一步。手機螢幕細小,必須小心騙徒利用Typosquatting,即利用0代替O,1代替l、把字符調換、利用不常見的TLD等細微差異。即使在官方或私人場所,亦要留意QR碼有否被竄改或被覆蓋。在保護私隱方面,小心保管擁有個人資料的QR,儘量避免儲存於手機內,若無可避免,務必將QR存於上鎖的檔案夾,避免軟件取得閱覽權。使用QR時留意四周環境,尤其是置於上方的閉路電視。不要利用QR進行時間或地點有敏感性的交易,儘量避免同一QR支付工具系統性收集你的使用習慣,安全的電子支付方式仍有很多。若商戶要求掃描,除非能確定對私隱沒有威脅,應查詢有否其他方法。由政權提供或強迫使用的QR,除非是開源軟件,必須假設相關使用資料落入政權手中,並推演各種情景,當系統及軟件受政權全面操控時,擬定後備方案。
方便總有代價。對科技背後的運作多加認識,就不至大幅低估風險,你就會更主動採取行動應對。◇
------------------
🏵️《九評》20周年
https://hk.epochtimes.com/category/專題/退黨大潮
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand