扫描二维码前要「三思」　避免跌入网络罪犯陷阱

数码时代，二维码（QR code）使用愈来愈广泛，无论是防疫措施、车厢广告还是电子付款甚至银行提款都能使用，但该科技技术背后，当中亦存在不少风险。

网络安全防护解决方案供应商Palo Alto Networks及澳门总经理冯志刚表示，QR code技术本身是安全的，但随着人们对它愈益依赖，网络分子则在想方设法利用它犯案。新冠期间，该公司的威胁情报团队Unit 42，就在地下网上论坛观察网络分子讨论如何利用QR code和针对消费者的方法，并找到如何使用QR code发动攻击的开放源代码工具和影片教学。

>>>Instagram骗案层出不穷　4大招数保你全家幸福

>>>不再是iOS独有　传Android版Clubhouse最快5月登场

网络罪犯其中一招是入侵企业网站，并换上自己的QR code，由于看起来非常相似，即使被换亦很难察觉。当消费者扫描此时将被定向到钓鱼网站，不法分子可乘机在钓鱼网站上要求用户提供认证资讯，登入并操控用户的电子邮件或社交媒体帐户。该方法亦可以引用户进入非正规应用程式商店，下载各种含病毒、软件、木马或其他类型的恶意软件，或导致资料被盗、私隐外洩 （GPS 或通讯录被盗、邮件被拦截等）、遭勒索软件勒索或加密挖矿。

▲ 大众一直都知道，对可疑的链结或电子邮件要「点击前三思」，扫描QR code亦一样，大众在扫描QR code前要提高警觉。（法新社图片）

其次，黑客会建立不安全的Wi-Fi网络，为扫描其QR code 的人士提供免费网络。连接装置后，黑客可窃听或拦截用户的数据，并窃取可作识别身份用途的个人资料、机密商业资讯、网上银行认证资料和信用卡资料等。大众必须提高警觉，只允许装置登录到安全的Wi-Fi网络。

冯志刚认为，企业负责人和资讯科技人员，需定期为其网站和应用程式执行信用检测，确保代码和链结均是他们所设。亦可通过定期扫描QR code检查链结是否正确。同时，他们亦要检查桌面版及流动版网页，网络分子特别喜欢入侵后者，以减少被检测到的风险。

▲ 网络安全防护解决方案供应商Palo Alto Networks及澳门总经理冯志刚表示，QR code技术本身是安全的，但随着人们对它愈益依赖，网络分子则在想方设法利用它犯案。（受访者提供图片）

僱主应向员工提供网络安全培训，使他们认识组织及自身所面临的风险。措施包括于个人和公司帐户使用独特有效的密码、设置多重身份认证、识别钓鱼电子邮件以及不安全的虚拟环境。大众一直都知道，对可疑的链结或电子邮件要「点击前三思」，扫描QR code亦一样。不少QR code安全扫描应用程式可让用户可以在到访网站前预览。许多浏览器还允许用户禁用自动重新导向至网站，以允许前往前事先检查的域名，再决定网站是否值得信任进入。

▲ 资讯科技商会荣誉会长方保侨表示，用户或在扫描QR code及付款时，应将支付项目明细交给店舖负责人看是否正确，再继续付款，慎防跌入不法之徒陷阱。（资料图片）

资讯科技商会荣誉会长方保侨表示，曾听闻内地有不法之徒利用QR code乱收帐款。「他们会将一般小店的QR code，更换成自己生成的QR code，当店舖客人付款，不法之徒将接收到所有款项，该方法的确难防範。」他指出，用户活在扫描QR code及付款时，应将支付项目明细交给店舖负责人看是否正确，再继续付款。

方补充，利用动态二维码方式付款就比较安全，因为是用户自己生成二维码，再给店舖扫描。「但亦要小心在购物付款时，留意是否遭偷影，导致用户的QR code被盗，虽然较难察觉，但用户应尽量留意。」

＞＞＞进军交友平台市场　Facebook推快速约会应用程式「Sparked」