英文「Quishing」一詞是從「QR Code Phishing」濃縮而來,意思是 QR Code 網路釣魚,這是一種利用惡意 QR Code 來誘騙使用者造訪假冒網站或下載惡意程式到裝置上的網路攻擊。
目錄
QR Code 網路釣魚 (Quishing) 的意義
這是一種惡意的 QR Code,可內嵌在電子郵件、廣告、傳單當中,或是單純地蓋掉原本現有的 QR Code,用來欺騙不知情使用者。其目的是要竊取敏感資訊,如:密碼、金融資料,或是讓使用者的裝置感染惡意程式,以方便未來進一步發動攻擊。
QR Code 的設計是為了讓生活更便利,但如此簡潔的設計卻成了駭客集團的主要攻擊目標之一。由於使用者在掃描 QR Code 之前通常無法看到它背後的網址,因此 QR Code 網路釣魚不容易被察覺,而且當真的察覺時,通常為時已晚。
何謂 QR Code?
QR Code 的全名是「Quick Response Code」(快速回應碼),這是一種可以讓數位裝置快速掃描的二維條碼,QR Code 可用來儲存大量資料,接著使用者只須掃描就能讀取和分享這些資料。使用者在掃描之後,通常會前往一個含有這些資訊的網頁。此外,QR Code 也可以用來撥打電話、發送文字簡訊,甚至是進行數位支付。例如,許多餐廳現在都透過 QR Code 來讓客戶在線上點餐。
為何 QR Code 網路釣魚詐騙能夠成功?
QR Code 網路釣魚之所以能夠成功,跟受害者的心理和行為習慣有關。一般人普遍認為 QR Code 既方便又值得信賴,但不幸的是,這也讓使用者在面對 QR Code 時容易失去戒心。
熟悉與信任感
隨著 QR Code 不斷深入我們的日常生活當中,不論是餐廳點餐、非接觸式支付,或是飯店櫃台登記,人們對掃描 QR Code 已經習以為常。
隱藏在背後的目標網址
有別於傳統的網路釣魚連結,QR Code 會讓人看不到其實際連上的網址,因此很難一眼就看出其背後的網站是否正常。
急迫性與話術
駭客集團經常製作一些看似緊急的訊息,例如:帳戶安全警告或獨家優惠,來讓使用者急於採取行動。
基於這些因素,再加上 QR Code 先天的視覺與互動特性,使得 QR Code 網路釣魚變成一種非常有效的攻擊途徑。
QR Code 網路釣魚如何運作?
QR Code 網路釣魚攻擊通常使用惡意的 QR Code 來取代原本正常的條碼,這類用來詐騙的條碼可能出現在各種地方,例如:海報、繳費機、餐廳,甚至出現在電子郵件和簡訊當中。一旦受害者掃描了這類 QR Code 之後,就會被帶到一個專門竊取其個人資訊或誘騙他們下載有害軟體的惡意網站。
惡意程式與網路釣魚
有時候,掃描惡意 QR Code 不僅會連上假冒的網站,還會下載惡意程式到裝置上。這樣一來,駭客集團就能竊取您的資料、監視您的活動 (間諜程式),甚至將您的系統鎖住,直到您支付贖金為止 (勒索病毒)。尤其是網路釣魚詐騙當中使用的 QR Code 更是危險,因為當使用者察覺到自己的裝置遭駭客入侵時,通常為時已晚。
哪些人可能面臨風險?
任何人都可能成為 QR Code 網路釣魚的受害者,但有些族群的風險還是較高,例如:
- 觀光客:觀光客經常透過 QR Code 來導航、支付,以及在不熟悉的地方取得資訊。
- 年長使用者:年長者經常成為這類網路攻擊的目標,因為他們對這類網路釣魚技巧通常較沒有概念。
- 行動使用者:隨著行動支付與線上交易越來越方便,QR Code 讓支付變得輕鬆又迅速,但卻也讓行動使用者更容易成為詐騙受害者。
- 企業與員工:使用 QR Code 來提供非接觸式服務的企業,可能一不小心就會讓自己或客戶暴露在這類攻擊當中。
QR Code 網路釣魚的徵兆
以下是避開 QR Code 網路釣魚攻擊應該留意的一些徵兆:
遭到竄改的 QR Code
如果 QR Code 看起來有點損壞、放錯位置,或者看起來很唐突,最好不要掃描它。駭客集團經常將自己的 QR Code 直接貼在正常的條碼上來加以覆蓋。
突如其來的提示
當您突然被要求輸入個人資訊、金融資訊,或是在下載某個軟體之後被要求掃描某個條碼,此時請務必小心。
不可思議的好康優惠
小心那些宣稱提供優惠、折扣或獎品的 QR Code,它們很可能是詐騙陷阱。詐騙集團經常使用誘人的優惠來吸引受害者。
可疑連結/網站
檢查 QR Code 背後的網址。如果網址超長、超複雜,或者含有隨機產生的字元,那就有可能指向網路釣魚網站。此外,您也應該避免經由 QR Code 來連上某個支付網站,請自行輸入已知且值得信賴的網址來執行交易。
要求太多資訊
小心要求提供過多非必要權限的 QR Code,例如要求存取您的相機、聯絡人、定位資訊。
QR Code 網路釣魚攻擊真實案例
一種常見的 QR Code 網路釣魚攻擊是美國「商業改進局」(Better Business Bureau,簡稱 BBB) 特別提出來示警的停車計費器詐騙,這類詐騙集團會將假的 QR Code 條碼貼在停車計費器或繳費機上。由於駕駛人不一定會隨身攜帶現金,所以就可能掃描這些 QR Code 來繳納停車費,但結果卻被帶到一個詐騙網站並提供了自己的信用卡資料。受害者當下也許不會察覺自己受騙,直到數天或數週之後才看到帳單上出現奇怪的費用。
還有一項日益嚴重的威脅是詐騙集團利用假的 QR Code 來冒充水電公共事業或政府機關。受害者會收到一封看似來自上述機關的郵件,要求他們掃描 QR Code 來繳納帳單,但受害者掃描之後不但沒繳到帳單,反而被帶到一個專門竊取金融資訊的冒牌網站。
如何防範 QR Code 網路釣魚攻擊?
掃描前請先思考一下!以下是一些可避免您和您的企業遭到 QR Code 網路釣魚攻擊的實用祕訣:
向源頭查證
當您在公共場所 (如某家企業或餐廳) 看到一個 QR Code,您最好先跟其員工確認一下再掃描。如同 BBB 的建議,請特別留意任何看起來好像被變造過的 QR Code。
避免掃描非請自來的訊息提供的 QR code
詐騙集團越來越常在網路釣魚郵件或簡訊當中插入假冒的 QR Code。切勿掃描不明寄件人發送的 QR Code 或點選訊息中的連結。
使用 QR 掃描工具來預覽背後的網址
有些 QR Code 掃描工具可以在您被帶到某個網站之前,預先查看一下它的網址。這道額外步驟可讓您先看看該網址是否值得信任,然後再繼續前往。
更新您的資安軟體
請讓您裝置上的資安軟體隨時保持更新,如此有助於偵測並攔截因掃描有害 QR Code 而導致的惡意下載。
使用 QR Code 來支付時要小心
當您使用 QR Code 來支付費用時,尤其是在陌生的環境時,您應該在輸入任何金融資訊之前先確認一下該繳費機或網站是否為真。
哪裡可以取得有關 QR Code 網路釣魚攻擊的協助?
如前面提到,QR Code 通常是個值得信賴的快速資訊來源,但我們必須提高警覺,並培養良好的資安意識。雖然資安意識訓練是維護安全的重要關鍵,但您企業仍需要一套電子郵件防護解決方案來讓 IT 系統管理員與資安團隊擁有完整的可視性與整合式功能來對抗駭客。Trend Vision One™ Email and Collaboration Security 可透過我們的 Trend Vision One™ Cyber Risk Exposure Management (CREM) 資安曝險管理解決方案來提供 Trend Vision One™ Security Awareness 的資安意識提升功能,讓員工能做出明智判斷,進而有效防範精密的網路釣魚攻擊。