【专题】伪冒二维码请君入瓮 诱网购碌卡盗资料

手机扫描二维码不知不觉已成为港人生活的一部分，惟近日有人声称扫描「安心出行」二维码时，手机被连接至电子支付画面，令人忧虑当中安全风险。事实上，内地曾有商户二维码被掉包，招致金钱损失，有不法分子甚至将二维码改为连接有毒网站。此外，最近有黑客觑准网民扫描二维码，鲜有核实网址真伪，于是在网上创造大量讹称减价促销的资讯，有用家通过二维码进入伪冒网上购物网站后不虞有诈，输入信用卡资料，造成损失，专家呼吁市民扫描二维码时，须提高警觉。 记者 郭增龙 陈倩婷

近日有网民在讨论区发帖文，声称目睹有人将街市外的「安心出行」二维码换成另一个二维码，该网民随后以手机扫描后，发现被连接到一个电子支付程式的下载页面，怀疑有人将官方的二维码更换成付款码，直言「用安心出行畀人偷钱真系冇仇报」。政府资讯科技办公室其后发声明指，若市民以安心出行程式扫描，程式会核实该二维码是否由政府发出，吁市民放心使用。

这种掉包的手法过往在内地常见，香港资讯科技商会荣誉会长方保侨提到，有店铺未为意所贴出的二维码被人换走，客人付款时实际上只扫描了骗徒的二维码，若商户未及时发现的话，生意额势血本无归。

装防毒软件挡恶意程式

事实上，二维码技术近年被广泛使用，除了安心出行及电子支付工具外，航空公司的登机证、演唱会的门券，均有使用二维码。不少餐厅过去一年亦纷纷改为手机落单，侍应会为每枱食客提供独立二维码，在手机上浏览菜单及落单，减少食客间共用菜单引致的接触传播风险。

　　香港无线科技商会执行委员会委员容志伟称，曾听闻有二维码被掉包后，扫描时会先被连接至恶意或有毒网站，再转往原先的网址，期间恶意网站或加装某些程式至装置，用家难以察觉，但他直言亲身往店内掉包的风险很高。

动态二维码安全度较高

　　方保侨承认较难核实二维码的真伪，提醒市民在扫描二维码后不应随意按指示下载软件，尤其是Android系统容许用家不经Google的应用程式商店下载软件，安全风险较高，建议用家在手机安装防毒软件，以拦截大部分恶意程式。iOS系统对程式把关较严谨，但安装防毒软件仍有好处，可分析网站连结是否属恶意。

　　不过，方保侨续指，掉包问题属「静态二维码」的漏洞，而较有规模的店铺会使用「动态二维码」，商户扫描用户的付款码，由于付款码不时变更，做法相对安全。网络安全公司趋势科技香港澳门区顾问总监李浩然亦表示，自从支付工具平台改用动态二维码技术后，二维码被盗的情况有明显减少。

二维码钓鱼网骗案倍增

　　随着市民在日常生活不时接触到二维码，李浩然留意到，自去年第四季至今，全球涉及二维码的钓鱼网站骗案，较往年急增一倍。他解释，疫情导致网上购物数字激增，有黑客于是制作虚构的促销广告，声称通过二维码进入网站购物，可取得消费优惠，事实上该二维码却引导用家进入伪冒购物网站，如用家不虞有诈，于网站内输入信用卡资料，将会被黑客盗取，招致损失。

　　纵然钓鱼网站骗案并非新事，但李浩然分析，过去钓鱼网站连结通过电邮发出，用家较容易看出伪冒网址的连结与「正牌」网站有所不同，惟不少人对二维码戒心较低，进入网站后未有覆核网址真伪。他建议用家通过搜索引擎，查找相关促销内容的真伪，并覆核经二维码进入的网址连结。此外，如输入信用卡资料的页面，并非来自HTTPS的加密网页，或信用卡付款的过程并无双重认证的步骤，均表示用家很大可能进入伪冒网站。

扫码后应覆核网址真伪

　　至于不法分子能否在商铺现有的二维码植入恶意程式，易宝时董事总经理刘永乐指出，二维码等同几何图形版本的文字资讯，除非网站出现问题，原则上难以在原有的二维码上植入恶意程式。因此，二维码的保安问题，主要是二维码被复制盗用或掉包。

　　此外，由于登机证、演唱会门券的二维码，或载有个人资料，公众担心资料会否被不法之徒读取而外泄。刘永乐表示，这类二维码可通过密码学加密，确保只有该公司的读取器才可获得二维码的资讯。另外，公司可为每个客户建立不涉个人资料的用户名称，载于二维码内，避免第三者从二维码中取得个人资料。

　　不过，容志伟指出，目前本地电子支付仍以近距离无綫通讯（NFC）技术为主，不似内地较依赖二维码行动支付，基于用家习惯的限制，他预料日后二维码在本港市场较难突围而出。刘永乐则持相反意见，他虽然认同利用NFC传送资料的安全性最高，惟只有贵价手机才支援相关技术，普及应用NFC的难度更高，「相比之下，二维码只要有相机功能就可以使用，技术普及度远比NFC高。」

全文刊《星岛日报》