安全使用 QR code

日期 : 2022年1月18日

机构 : 香港电脑保安事故协调中心(HKCERT)

作者 : 香港电脑保安事故协调中心(HKCERT)

 

QR code，又称作二维码，已成为大家日常生活的一部分。譬如，消费方面，四间能用上香港特区政府消费券的电子支付平台中，就有三间支援QR code支付；防疫方面，不同场所都张贴QR code方便市民记录到访；甚至在餐厅，都会采用QR code来点餐。虽然QR code大大方便了我们的生活，但大家也应小心谨慎使用，留意当中的保安风险。

QR code是什么?

QR code由日本汽车零件业者Denso Wave公司于1994年发明，是Quick Response Code的缩写。它使用四种标准化编码模式来存储数据，较普通一维条码(barcode)更能快速读取，并拥有更大的资料储存量。QR code在2000年6月获国际标准组织 (ISO) 订立ISO/IEC 18004的标准，至今已广泛应用于读取流动装置内的简单数据。

QR code的应用及保安隐患

由于QR code的制作成本较低，加上智能流动装置系统预先设定了QR code扫瞄器，所以成功令其获各行各业应用。今次我们会探讨四种常见的应用：流动支付、网站浏览、账户验证及讯息储存。

1. 流动支付
   香港大部分的主要流动支付平台都会支持QR code付款或收款。一般来说，手机支付分为「主动扫码」及「被动扫码」两种方式。前者需要用户先扫瞄商户的QR code，再输入金额及支付密码便可以完成支付，后者则由商户扫瞄用户流动装置的QR code来进行支付。无论是「主动扫码」或「被动扫码」，用户均需要开启相关支付程式来完成操作。
   「主动扫码」又分为「动态型」及「静态型」。「动态型」下，进行每单交易时，QR code都会自动刷新，而「静态型」则不会。内地就曾有商户遭不法分子掉换其静态QR code，用户若不慎扫瞄，支付金额就会转到不法分子的帐户，商户及用户皆会面对金钱损失。
   
   
2. 网页浏览
   商户会用QR code储存官方网址，当用户扫瞄QR code，其装置便会自动跳到商户的网站。有部分饮食机构亦改用QR code连接至点餐平台网站，网站能记录使用者的枱号及餐点，方便用户自助点餐。其他例子包括调查机构会使用QR code储存问卷调查网址，让用户以流动装置回答问卷，或引导至应用程式商店下载应用程式。
   由于用QR code储存网址非常普遍，不法分子会设立钓鱼网站，然后以QR code暗藏该钓鱼网站的网址，然后透过电子邮件或其他方式散播，诱骗受害人登入有关网站，输入银行账户密码或个人资料等。
   
   
3. 帐户验证
   一些通讯软件会以QR code认证来核实登录者是否该帐号的持有人。例如用家在电脑登入网页版时，系统会要求登入者用已登入之手提电话扫瞄网页版上的QR code作认证。不法分子会复制通讯软件的登录QR code，然后发送至用户。如果扫瞄了那些QR code，黑客便能取得受害人帐户。
   
   
4. 讯息储存
   QR code可以用来储存文字讯息。由于登机证及演唱会门票上的QR code或载有个人资料，若资料没有加密，便会有资料外泄的潜在风险。
   
   

使用QR code的保安小贴士

1. 流动支付
   • 以QR code进行流动支付前，需小心核实应用程式提供的交易资料。完成支付交易后，要立即核实银行或流动支付服务供应商所发出的交易记录；
   • 切勿随便向他人透露流动支付服务所产生的QR code；
   • 商户应采用动态QR code来进行流动支付， 动态QR code在完成交易后就会自动刷新，较静态QR code更安全及难以被掉换。
   
   
2. 网页浏览
   • 扫瞄QR code前要提高警觉，不要扫瞄一些来历不明的QR code；
   • 关闭QR code扫瞄器自动浏览网页功能。关闭设定后，每次扫瞄QR code都会弹出对应的URL，待你确认才会连接到该网站；
   • 使用防毒软件上的QR code 扫瞄器功能，让防毒软件预先检查URL是否安全才开启网页；
   • 商户应该定期检视QR code是否有异常，用户也要留意QR code 有否被改动或被贴上另一个 QR code；
   • 餐厅若是使用QR code点餐平台，用户切勿将点餐QR code上载到社交平台。
   
   
3. 帐户验证
   • 只扫瞄官方网站内的账户验证QR code；
   • 如发现不寻常的登入记录，应立即向服务供应商查询。
   
   
4. 讯息储存
   • 商户应该避免将敏感讯息储存在QR code内；
   • 如要储存敏感讯息，需先把资料加密，再储存在QR code内，以防止资料被非法读取。