最容易掉入Quishing (QR code 網路釣魚)陷阱的三種人

趨勢科技 TrendMicro Quishing (QR Code 網路釣魚), Quishing (QR Code 網路釣魚), 熱門文章, 網路釣魚 Phishing, 資安名詞

早在2022年起就有民眾在自家信箱收到一張來自7-11或是全家超商的「中秋感恩回饋禮券」2000元,而且還要掃描QR Code才能領券?!後來證實是詐騙。

◎QR Code 詐騙相關報導:
信箱裡7-11統一超商回饋 200 元禮券是假的!千萬別掃 QR Code ,當心個資被冒用!
七種冒牌 QR Code 詐騙手法,可能一秒騙走你的錢
「中國菜市場 100 多攤付款QR Code 一夜被掉包!」 FBI 建議這樣使用 QR Code
實聯制出現假QR code, 當心掃到被調包的高額付費號碼,警政署呼籲傳送前請確認傳送至「1922」
[新型 LINE 詐騙]傳QR碼要求加好友,當心帳號被盜!

今天我們來認識QR Code 詐騙衍伸而來的新名詞 Quishing (QR code 網路釣魚)常見的詐騙手法及如何防範。

QR code 提供了一種非常便利的方式來讓您獲取資訊或付款,因為它,您只需掃描一下條碼即可,在我們的日常生活當中已經無所不在。從餐廳點餐到生活繳費,這些方便的黑白方塊幾乎隨處可見,但就如同任何其他普及的技術一樣,網路駭客正在尋找能夠用它來犯罪的方法。

什麼是 quishing?

「quishing」一詞是從「QR code phishing」(也就是 QR code 網路釣魚) 縮寫而來,屬於網路詐騙的一種。詐騙集團會利用惡意的 QR code 來誘騙人們前往假冒的網站或下載惡意程式到裝置上。原本 QR code 是為了讓生活更加便利而設計,但這樣的便利性卻成了犯罪集團的犯罪管道。由於使用者在掃描 QR code 之後通常看不到它背後指向的網址,因此確實不容易在被騙之前發現自己遇到了 quishing 攻擊。

quishing 攻擊如何運作?

quishing 的作法通常是將正常的 QR code 換成惡意的 QR code,而這類 QR code 很可能出現在各種地方:海報、繳費機,或是電子郵件和廣告信件當中。使用者一旦掃描了這類 QR code,就會被帶到一個專門竊取資訊或誘騙使用者下載惡意軟體的網站。

詐騙手法真實案例: 貼在停車繳費機上假QR code

國外的「商業改進局」(Better Business Bureau,簡稱 BBB) 一直在宣導的一種常見 QR code 詐騙手法,就是將假的 QR code 貼在停車計費器或繳費機上。不知情的駕駛人 (尤其是沒帶現金時) 就很可能掃描這些條碼來支付停車費,結果卻是被帶到詐騙網站上輸入了自己的信用卡資訊。受害者可能要等過了幾天、甚至幾星期之後赫然發現自己的帳單上竟然出現莫名費用時,才會驚覺自己被騙。

atlscoop 在其IG 帳號分享了停車收費假QR code 貼紙覆蓋在真實收費QR Code 的影片



還有另一種越來越常見的威脅是詐騙集團使用假 QR code 來冒充水電瓦斯公司或政府機關。受害者會收到一封看似官方機構寄來的信件,要求用戶掃描條碼來支付帳單。受害者會被帶往一個專門用來蒐集金融資訊 (而非支付帳單) 的冒牌網站。

國外的「商業改進局」(Better Business Bureau,簡稱 BBB) 一直在宣導的一種常見 QR code 詐騙手法,就是將假的 QR code 貼在停車計費器或繳費機上。不知情的駕駛人 (尤其是沒帶現金時) 就很可能掃描這些條碼來支付停車費,結果卻是被帶到詐騙網站上輸入了自己的信用卡資訊。(此為示意圖)

惡意程式與網路釣魚


有時候,掃描惡意 QR code 不只會前往冒牌網站,還會下載惡意程式到您的裝置。此時可能會讓駭客竊取您的資料、監視您的活動 (如果遇到間諜程式),甚至將您的系統鎖住來勒索贖金 (如果遇到勒索病毒)。然而最危險的是網路釣魚詐騙中的 QR code,因為您可能不會意識到自己的裝置已被駭客入侵。

最容易掉入Quishing 陷阱的三種人


任何人都有可能掉入 quishing 的陷阱,但有些族群特別危險,例如:

  • ❶.觀光客:當您到一些陌生的地方參觀時,經常會需要掃描 QR code 來尋找景點、支付款項,或取得資訊。也有許多餐廳使用 QR code 取代傳統菜單,方便顧客點餐。
  • ❷.行動支付用戶:隨著行動支付和線上交易越來越方便,掃描 QR code 已成為一種快速的支付方式,但同時也容易遇到詐騙。
  • ❸.使用QR Code 企業和員工:有些企業可能使用 QR code 提供非接觸式服務(例如數位名片、訪客登記系統、QRCode上下班打卡系統等),但可能在不知情的情況下暴露於 Quishing(即利用 QR code 的詐騙攻擊)。另外,當人們看到熟悉的企業或品牌使用 QR code 時,往往會降低警覺性,認為這是安全的。



quishing 攻擊兩徵兆


請小心以下兩種徵兆:

  1. 被篡改的 QR code:如果您看到 QR code 似乎已經受損或者沒有貼好,或是不該出現在您看到的地方,那請最好避開它。犯罪集團經常將他們的 QR code 貼紙直接蓋在別人的條碼上。
  2. 突然跳出來的提示:請小心一些在您掃描條碼之後突然跳出來要求輸入個人資訊、金融資料或下載軟體的情況。

防範 quishing 詐騙四技巧


您可以養成以下幾點習慣來加以防範:

  • 確認來源:如果您在公共場所 (如商店或餐廳) 看到一個 QR code,您最好跟店員確認一下是不是他們的 QR code 之後再掃描。尤其,BBB 建議您最好檢查一下 QR code 是否有被篡改過的痕跡。
  • 避開不請自來的 QR code:詐騙集團越來越常在網路釣魚郵件或簡訊當中使用假冒的 QR code。切勿掃描陌生人傳來的條碼或點選不明的連結。
  • 更新您的防毒軟體:請讓您裝置的防毒軟體隨時保持更新,這有助於偵測及攔截不肖 QR code 所帶來的惡意下載。
  • 小心線上支付:當使用 QR code 來付款時,尤其在不熟悉的場所時,請先確認繳費機或繳費網站是不是真的,然後再輸入付款資訊。



原文出處:How to Protect Yourself from Quishing Scams

IG 趨勢科技不只是網路安全守護者,還提供各種實用3C冷知識追蹤我們的IG 帳號看更多讓你數位生活更便利、更安全的貼文

訂閱資安趨勢電子報,各種實用數位祕技讓你數位生活更便利;隨時掌握資安警訊讓你安先悠遊網路

趨勢科技PC-cillin雲端版 搭載深度學習AI引擎,不僅可以一次偵測多種病毒、網路威脅,還可即時封鎖異常行為,保護電腦和行動裝置安全,讓你免受變化莫測的詐騙手法之擾,安心享受網路生活。

【一下指就掉入詐騙陷阱?PC-cillin讓你安心點 】PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

FB IG Youtube LINE 官網

相關文章:

《看漫畫談資安 》「 Apple ID 帳號復原通知」有可能是網路釣魚?!
什麼是零時差漏洞 (Zero-Day Vulnerability)? 有哪些漏洞攻擊手法?
假「雙子殺手」線上看,真騙 LINE 帳密!
專挑名人IG ( Instagram )帳號的駭客集團現身