【專題】偽冒二維碼請君入甕 誘網購碌卡盜資料
2021-03-09 07:12
手機掃描二維碼不知不覺已成為港人生活的一部分,惟近日有人聲稱掃描「安心出行」二維碼時,手機被連接至電子支付畫面,令人憂慮當中安全風險。事實上,內地曾有商戶二維碼被掉包,招致金錢損失,有不法分子甚至將二維碼改為連接有毒網站。此外,最近有黑客覷準網民掃描二維碼,鮮有核實網址真偽,於是在網上創造大量訛稱減價促銷的資訊,有用家通過二維碼進入偽冒網上購物網站後不虞有詐,輸入信用卡資料,造成損失,專家呼籲市民掃描二維碼時,須提高警覺。 記者 郭增龍 陳倩婷
近日有網民在討論區發帖文,聲稱目睹有人將街市外的「安心出行」二維碼換成另一個二維碼,該網民隨後以手機掃描後,發現被連接到一個電子支付程式的下載頁面,懷疑有人將官方的二維碼更換成付款碼,直言「用安心出行畀人偷錢真係冇仇報」。政府資訊科技辦公室其後發聲明指,若市民以安心出行程式掃描,程式會核實該二維碼是否由政府發出,籲市民放心使用。
這種掉包的手法過往在內地常見,香港資訊科技商會榮譽會長方保僑提到,有店鋪未為意所貼出的二維碼被人換走,客人付款時實際上只掃描了騙徒的二維碼,若商戶未及時發現的話,生意額勢血本無歸。
裝防毒軟件擋惡意程式
事實上,二維碼技術近年被廣泛使用,除了安心出行及電子支付工具外,航空公司的登機證、演唱會的門券,均有使用二維碼。不少餐廳過去一年亦紛紛改為手機落單,侍應會為每枱食客提供獨立二維碼,在手機上瀏覽菜單及落單,減少食客間共用菜單引致的接觸傳播風險。
香港無線科技商會執行委員會委員容志偉稱,曾聽聞有二維碼被掉包後,掃描時會先被連接至惡意或有毒網站,再轉往原先的網址,期間惡意網站或加裝某些程式至裝置,用家難以察覺,但他直言親身往店內掉包的風險很高。
動態二維碼安全度較高
方保僑承認較難核實二維碼的真偽,提醒市民在掃描二維碼後不應隨意按指示下載軟件,尤其是Android系統容許用家不經Google的應用程式商店下載軟件,安全風險較高,建議用家在手機安裝防毒軟件,以攔截大部分惡意程式。iOS系統對程式把關較嚴謹,但安裝防毒軟件仍有好處,可分析網站連結是否屬惡意。
不過,方保僑續指,掉包問題屬「靜態二維碼」的漏洞,而較有規模的店鋪會使用「動態二維碼」,商戶掃描用戶的付款碼,由於付款碼不時變更,做法相對安全。網絡安全公司趨勢科技香港澳門區顧問總監李浩然亦表示,自從支付工具平台改用動態二維碼技術後,二維碼被盜的情況有明顯減少。
二維碼釣魚網騙案倍增
隨着市民在日常生活不時接觸到二維碼,李浩然留意到,自去年第四季至今,全球涉及二維碼的釣魚網站騙案,較往年急增一倍。他解釋,疫情導致網上購物數字激增,有黑客於是製作虛構的促銷廣告,聲稱通過二維碼進入網站購物,可取得消費優惠,事實上該二維碼卻引導用家進入偽冒購物網站,如用家不虞有詐,於網站內輸入信用卡資料,將會被黑客盜取,招致損失。
縱然釣魚網站騙案並非新事,但李浩然分析,過去釣魚網站連結通過電郵發出,用家較容易看出偽冒網址的連結與「正牌」網站有所不同,惟不少人對二維碼戒心較低,進入網站後未有覆核網址真偽。他建議用家通過搜索引擎,查找相關促銷內容的真偽,並覆核經二維碼進入的網址連結。此外,如輸入信用卡資料的頁面,並非來自HTTPS的加密網頁,或信用卡付款的過程並無雙重認證的步驟,均表示用家很大可能進入偽冒網站。
掃碼後應覆核網址真偽
至於不法分子能否在商鋪現有的二維碼植入惡意程式,易寶時董事總經理劉永樂指出,二維碼等同幾何圖形版本的文字資訊,除非網站出現問題,原則上難以在原有的二維碼上植入惡意程式。因此,二維碼的保安問題,主要是二維碼被複製盜用或掉包。
此外,由於登機證、演唱會門券的二維碼,或載有個人資料,公眾擔心資料會否被不法之徒讀取而外泄。劉永樂表示,這類二維碼可通過密碼學加密,確保只有該公司的讀取器才可獲得二維碼的資訊。另外,公司可為每個客戶建立不涉個人資料的用戶名稱,載於二維碼內,避免第三者從二維碼中取得個人資料。
不過,容志偉指出,目前本地電子支付仍以近距離無綫通訊(NFC)技術為主,不似內地較依賴二維碼行動支付,基於用家習慣的限制,他預料日後二維碼在本港市場較難突圍而出。劉永樂則持相反意見,他雖然認同利用NFC傳送資料的安全性最高,惟只有貴價手機才支援相關技術,普及應用NFC的難度更高,「相比之下,二維碼只要有相機功能就可以使用,技術普及度遠比NFC高。」
全文刊《星島日報》
最新回應