七種冒牌 QR Code 詐騙手法,可能一秒騙走你的錢

疫情當下,手機和口罩成為你出門的必需品,沒有帶手機你無法掃描簡訊實聯制 QR code;你無法掃描 QR Code 進行減少接觸風險的行動支付。但你是否知道這些天天掃描的 QR Code可能被調包? 它也可能被冒稱停車場收費管理員假裝誘騙掃碼收費;也可能讓想降低挖礦費用的你,損失更大!本文介紹實體與數位世界的七種QR Code 詐騙手法。也順便讓你了解一個新興名詞: 「Quishing」

總是見到QR Code 就掃?當心方便變掃興

儘管全世界都在盼望新冠肺炎(COVID-19)疫情能夠盡快結束,但公衛專家指出病毒還不會這麼快消失。所以,目前務實的作法就是,學會與病毒共存,然後設法讓它處於可控可管的範圍內。因此,合理推斷,疫情對數位生活所帶來的改變,將無限期延長下去。其中,短期之內可預見將維持下去的就是無現金和非接觸式交易的需求。為了滿足這項需求,許多企業都已開始採用 QR code(Quick Response Code)。

QR code 是一種 二維條,最高可儲存7,089 個數字或 4,296 個字元。它可經由 QR code 掃描器來讀取其中的資料,絕大多數手機的相機目前都具備這項功能。這些資料基本上就是一串文字,而且通常是一個網址或連結指向店家在支付系統上的帳號。藉由掃描 QR code 的方式,消費者就不必在網頁瀏覽器輸入一長串的網址,或在支付軟體內手動輸入店家的名稱或編號,當然還有其他優點。

很顯然地,QR code 的方便性,再加上人人都有手機,使得這類二維條碼變得相當普及。然而,這樣的普及性也成了網路犯罪的溫床,吸引駭客開發 QR code 惡意程式套件來竊取個人資訊,還有使用者辛辛苦苦賺來的錢,而且錢一旦出去,就不可能追得回來。事實上,QR code 相關的威脅已經變得相當流行也相當狡猾,使得 FBI 最近不得不發出警告要民眾多加小心。

◼延伸閱讀:
「對岸菜市場 100 多攤付款QR Code 一夜被掉包!」 FBI 建議這樣使用 QR Code
實聯制出現假QR code, 當心掃到被調包的高額付費號碼,警政署呼籲傳送前請確認傳送至「1922」

一般來說,駭客會尋找那些毫無戒心、又對 QR code 的安全缺乏認知的普通百姓下手。那麼,我們怎樣才能避免 QR code 詐騙?本文將介紹七種 QR code 詐騙方式,並提供一些建議來教使用者如何防範 QR code 詐騙。

七種 QR code 詐騙及運作方式

首先,很重要必須知道的一點是,駭客集團投入了相當多的時間和精力來讓他們的 QR code 詐騙看起來真假難辨,例如下面介紹的幾個案例。

🔻1.你天天掃的 QR code,可能被調包

🔻 2.假裝停車場收費員,誘騙掃描QR code 付款

🔻 3.「Quishing」-網路釣魚郵件隨附 QR code

🔻 4. 專騙訂閱付費服務的 QR code,讓被駭人每月按時付費

🔻 5. 掃QR code降低挖礦費用?虛擬加密貨幣相關 QR code 詐騙

🔻 6.病毒假冒QR code 掃描軟體謊稱需要下載更新程式

🔻 7.木馬偽裝QR code 產生器


實體真實世界的 QR code 詐騙案例


儘管一般認為網路犯罪應該是虛擬網路世界才會發生的事,但 QR code 相關的威脅卻不然,它有一部分可能會涉及實體真實世界。

🛑1.你天天掃的 QR code,可能被調包

真實世界最常見的一種 QR code 詐騙就是,駭客將假的 QR code 貼紙列印出來,然後直接覆蓋在真的 QR code 上面。一般來說,人們通常不會懷疑商店內部或公共區域所貼的 QR code 會是假的,所以可能不會注意到這些 QR code已經被歹徒偷偷換成冒牌版本。

中國的共享單車支付系統就曾經發生過這樣的案例,歹徒偷偷將使用者在租借單車解鎖之前必須掃描的 QR code 換掉,結果,不知情的使用者所支付的款項都被偷偷轉到歹徒的帳戶,但使用者還是無法解鎖單車來使用。

就在最近,美國有好幾個城市的執法單位都發出警告,要民眾小心有歹徒將假的 QR code 貼在停車計費錶上來欺騙民眾,讓民眾連上網路釣魚網站輸入了自己的付款資訊。

🛑 2.假裝停車場收費員,誘騙掃描QR code 付款


另一個真實世界 QR code 詐騙的案例是發生在荷蘭停車場的詐騙,而且消費者損失金額高達數千歐元。根據指出,歹徒假裝停車場人員接近正在自動繳費機準備支付停車費的民眾,告訴他們不要在機器上付款,因為繳費機壞了。他們會穿著專業服裝來讓人相信,誘騙民眾掃描他們手上的 QR code,這樣民眾支付的停車費就會跑到他們的帳戶。

網路世界的 QR code 詐騙


不只真實世界會有 QR code 詐騙,網路上也有一些專屬於數位世界的 QR code 詐騙。

🛑 3. 「Quishing」-網路釣魚郵件隨附 QR code

Quishing-二維條碼(QR code) 網路釣魚

|有些犯罪集團本來就會利用網路釣魚郵件來夾帶 QR code,這種詐騙叫做「quishing」-二維條碼(QR code) 網路釣魚。駭客這麼做的目的是為了避開傳統防毒軟體/資安產品的網址過濾功能,因為此時網址已隱藏在 QR code 當中。

假裝銀行發送新修訂隱私權政策, 掃描 QR code輸入銀行登入憑證,奉送給駭客


去年 12 月,德國報導了一起 使用 QR code 來竊取使用者銀行登入憑證的網路釣魚攻擊。在這起攻擊中,駭客假冒銀行名義發送了一封電子郵件要求收件人透過掃描 QR code 的方式來檢視及同意銀行新修改的隱私權政策。不過這個 QR code 連上的卻是一個網路釣魚網站,駭客利用這樣的方式來蒐集使用者在不知情狀況下輸入的銀行登入憑證。

想聽電郵附件語音訊息? 掃完 QR code ,Microsoft 365 登入憑證被竊

去年年底左右發生了一起使用網路釣魚 QR code 來騙取 Microsoft 365 登入憑證的事件。這起事件先是利用之前駭入的電子郵件帳號來發送一封含有語音訊息的郵件,告訴收件人要收聽語音內容的話,可以掃描郵件隨附的 QR code,這 QR code 當然是假的,它會連上一個專門用來竊取 Microsoft 365 登入憑證的冒牌登入網頁。

🛑 4. 專騙訂閱付費服務的 QR code,讓被駭人每月按時付費


此外,犯罪集團還會使用 QR code 來讓不知情的使用者訂閱一些付費服務,讓他們每個月都按時繳款給犯罪集團。Android 木馬程式 GriftHorse 就是使用這種犯罪手法,而且截至 2021 年 9 月為止,全球已累積超過 1 千萬名使用者受害。

🛑 5. 掃QR code降低挖礦費用?虛擬加密貨幣相關 QR code 詐騙


詐騙集團可能利用 QR code 來誘騙使用者下載虛擬加密「偽幣」錢包,宣稱只要下載就可以獲得獎勵,而使用者收到的卻是偽幣。另一種詐騙是利用 QR code 來誘騙使用者下載宣稱可降低挖礦費用的假虛擬加密貨幣錢包。 

還有一種詐騙是使用 QR code 來誘騙使用者同意將虛擬加密貨幣從某個錢包轉到另一個錢包。根據一些案件報告指出這類詐騙是受害者損失大筆金額的最大宗。

還有一種虛擬加密貨幣 QR code 詐騙與乙太幣錢包 MetaMask 有關,駭客會經由 QR code 來駭入 MetaMask 帳號,接下來駭客不須帳號持有人的私密金鑰就能將裡面的錢轉出。 

◼ 延伸閱讀:

[加密貨幣詐騙警訊] 假的MetaMask「小狐狸錢包」安全警報

249款假虛擬貨幣錢包應用程式模仿MetaMask、imToken、Bitpie和Trust Wallet,共盜取超過430萬美元

🛑 6.病毒假冒QR code 掃描軟體謊稱需要下載更新程式


2021 年中期,Google Play 上出現了 Anatsa 惡意程式相關的 QR code 掃描軟體 (這些軟體目前已經從應用程式商店下架)。這類軟體在感染時會強迫使用者在安裝過程當中先更新它的應用程式才能繼續使用。

在下載所謂的更新之後,應用程式就會要求使用者允許「安裝未知來源應用程式」的權限。此時因為使用者已經相信這是必要的更新,所以就會允許這項權限。一旦更新完成,惡意程式就會在裝置上執行,並立即要求使用者允許「無障礙服務」(accessibility service) 的權限。

當惡意程式取得裝置的完全控制權以及無障礙服務的權限,它就能代替使用者執行各種動作。此時,惡意程式就會好像一般正常程式一樣執行。但駭客已經準備好竊取使用者的登入憑證,並且能看到使用者裝置上顯示的任何資訊。

🛑 7.木馬偽裝QR code 產生器

有些木馬化應用程式為偽裝成 QR code 產生器,例如 Brunhilda 駭客集團的某起攻擊案例,它會要求使用者註冊。註冊完成之後,它就能取得詳細的裝置資訊,接著會下載並安裝一個木馬程式到裝置上,這個木馬程式會竊取個人私密資訊,如:登入憑證或銀行帳號資料。

六個 QR code 安全使用祕訣


本文所提到的詐騙伎倆聽起來或許令人擔憂,但使用者只需養成以下幾個習慣就能防範 QR code 詐騙:

📌1.在提供個人資訊之前,務必確認自己連上的政府機關或其他服務供應商網站是真的,請檢查一下網址是否有拼錯。

📌2.在掃描電子郵件隨附的 QR code 之前,請務必再三確認一遍,即使是來自您所認識的機構或個人。不論是您的銀行帳號、公司帳號或其他帳號,最好都啟用多重認證來防範萬一登入憑證被盜的情況。

📌3.當您在商店或服務供應商據點內執行交易時,請檢查一下 QR code 有沒有被人多貼了一層。

📌4.唯有和您信賴的店家、服務供應商或個人交易時,才使用 QR code 來支付。

📌5.當應用程式要求您允許某些權限時要特別小心,因為有些權限一旦開放是很危險的。

📌6.請使用您手機內建的相機軟體來掃描 QR code (目前絕大部分作業系統內建的相機軟體都具備 QR code 掃描功能)。

📌7.如果想要更安心一點,您可使用趨勢科技行動安全防護 (iOS 和 Android) 來掃描病毒和惡意程式,檢查 QR code的安全性。

趨勢科技行動安全防護 偵測 QR Code 網路詐騙


趨勢科技行動安全防護過濾詐騙簡訊和網址,獨家「詐騙剋星」不僅自動過濾詐騙簡訊(適用於 iOS),只要用手機拍照即可檢查 QR code 或網址的安全性 可幫您偵測網路詐騙,讓您安心享受行動生活。它利用趨勢科技 Smart Protection Network™ 全球雲端威脅情報網以及趨勢科技行動應用程式信譽評等服務 (MARS) 來攔截威脅,不讓威脅有機會進入您的裝置。》 免費下載試用

趨勢科技行動安全防護保護您的手機、平板電腦,免於遭受手機病毒及詐騙網站威脅。免費下載

原文出處:Hidden Scams in Malicious Scans:How to Use QR Codes Safely