最容易掉入Quishing (QR code 網路釣魚)陷阱的三種人

趨勢科技 TrendMicro Quishing (QR Code 網路釣魚), Quishing (QR Code 網路釣魚), 熱門文章, 網路釣魚 Phishing, 資安名詞

QR code 提供了一種非常便利的方式來讓您獲取資訊或付款,因為它,您只需掃描一下條碼即可,在我們的日常生活當中已經無所不在。從餐廳點餐到生活繳費,這些方便的黑白方塊幾乎隨處可見,但就如同任何其他普及的技術一樣,網路駭客正在尋找能夠用它來犯罪的方法。

什麼是 quishing?

「quishing」一詞是從「QR code phishing」(也就是 QR code 網路釣魚) 縮寫而來,屬於網路詐騙的一種。詐騙集團會利用惡意的 QR code 來誘騙人們前往假冒的網站或下載惡意程式到裝置上。原本 QR code 是為了讓生活更加便利而設計,但這樣的便利性卻成了犯罪集團的犯罪管道。由於使用者在掃描 QR code 之後通常看不到它背後指向的網址,因此確實不容易在被騙之前發現自己遇到了 quishing 攻擊。

quishing 攻擊如何運作?

quishing 的作法通常是將正常的 QR code 換成惡意的 QR code,而這類 QR code 很可能出現在各種地方:海報、繳費機,或是電子郵件和廣告信件當中。使用者一旦掃描了這類 QR code,就會被帶到一個專門竊取資訊或誘騙使用者下載惡意軟體的網站。

詐騙手法真實案例: 貼在繳費機上假QR code

國外的「商業改進局」(Better Business Bureau,簡稱 BBB) 一直在宣導的一種常見 QR code 詐騙手法,就是將假的 QR code 貼在停車計費器或繳費機上。不知情的駕駛人 (尤其是沒帶現金時) 就很可能掃描這些條碼來支付停車費,結果卻是被帶到詐騙網站上輸入了自己的信用卡資訊。受害者可能要等過了幾天、甚至幾星期之後赫然發現自己的帳單上竟然出現莫名費用時,才會驚覺自己被騙。

還有另一種越來越常見的威脅是詐騙集團使用假 QR code 來冒充水電瓦斯公司或政府機關。受害者會收到一封看似官方機構寄來的信件,要求用戶掃描條碼來支付帳單。受害者會被帶往一個專門用來蒐集金融資訊 (而非支付帳單) 的冒牌網站。

國外的「商業改進局」(Better Business Bureau,簡稱 BBB) 一直在宣導的一種常見 QR code 詐騙手法,就是將假的 QR code 貼在停車計費器或繳費機上。不知情的駕駛人 (尤其是沒帶現金時) 就很可能掃描這些條碼來支付停車費,結果卻是被帶到詐騙網站上輸入了自己的信用卡資訊。(此為示意圖)

惡意程式與網路釣魚


有時候,掃描惡意 QR code 不只會前往冒牌網站,還會下載惡意程式到您的裝置。此時可能會讓駭客竊取您的資料、監視您的活動 (如果遇到間諜程式),甚至將您的系統鎖住來勒索贖金 (如果遇到勒索病毒)。然而最危險的是網路釣魚詐騙中的 QR code,因為您可能不會意識到自己的裝置已被駭客入侵。

最容易掉入Quishing 陷阱的三種人


任何人都有可能掉入 quishing 的陷阱,但有些族群特別危險,例如:

  • ❶.觀光客:當您到一些陌生的地方參觀時,經常會需要掃描 QR code 來尋找景點、支付款項,或取得資訊。
  • ❷.行動用戶:隨著行動支付和線上交易越來越方便,掃描 QR code 已成為一種快速的支付方式,但同時也容易遇到詐騙。
  • ❸.企業和員工:一些使用 QR code 來提供非接觸式服務的企業,有可能在不知情的情況下讓自己或客戶暴露於這類攻擊。

quishing 攻擊兩徵兆


請小心以下兩種徵兆:

  1. 被篡改的 QR code:如果您看到 QR code 似乎已經受損或者沒有貼好,或是不該出現在您看到的地方,那請最好避開它。犯罪集團經常將他們的 QR code 貼紙直接蓋在別人的條碼上。
  2. 突然跳出來的提示:請小心一些在您掃描條碼之後突然跳出來要求輸入個人資訊、金融資料或下載軟體的情況。

防範 quishing 詐騙四技巧


您可以養成以下幾點習慣來加以防範:

  • 確認來源:如果您在公共場所 (如商店或餐廳) 看到一個 QR code,您最好跟店員確認一下是不是他們的 QR code 之後再掃描。尤其,BBB 建議您最好檢查一下 QR code 是否有被篡改過的痕跡。
  • 避開不請自來的 QR code:詐騙集團越來越常在網路釣魚郵件或簡訊當中使用假冒的 QR code。切勿掃描陌生人傳來的條碼或點選不明的連結。
  • 更新您的防毒軟體:請讓您裝置的防毒軟體隨時保持更新,這有助於偵測及攔截不肖 QR code 所帶來的惡意下載。
  • 小心線上支付:當使用 QR code 來付款時,尤其在不熟悉的場所時,請先確認繳費機或繳費網站是不是真的,然後再輸入付款資訊。



原文出處:How to Protect Yourself from Quishing Scams

IG 趨勢科技不只是網路安全守護者,還提供各種實用3C冷知識追蹤我們的IG 帳號看更多讓你數位生活更便利、更安全的貼文 ☺️

⭕️ 訂閱資安趨勢電子報,各種實用數位祕技讓你數位生活更便利;隨時掌握資安警訊讓你安先悠遊網路

✅防毒防詐✅守護帳密✅VPN安心串流✅阻絕惡意✅安心蝦拚
PC-cillin 讓你的『指指點點』可以開心又安心點!

趨勢科技PC-cillin雲端版 搭載深度學習AI引擎,不僅可以一次偵測多種病毒、網路威脅,還可即時封鎖異常行為,保護電腦和行動裝置安全,讓你免受變化莫測的詐騙手法之擾,安心享受網路生活。

【一下指就掉入詐騙陷阱?PC-cillin讓你安心點 】PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

FB IG Youtube LINE 官網

相關文章:

《看漫畫談資安 》「 Apple ID 帳號復原通知」有可能是網路釣魚?!
什麼是零時差漏洞 (Zero-Day Vulnerability)? 有哪些漏洞攻擊手法?
假「雙子殺手」線上看,真騙 LINE 帳密!
專挑名人IG ( Instagram )帳號的駭客集團現身