QR Code詐騙:2026年什麼不該掃描
QR Code出現在停車場、餐廳、電子郵件和信件中,供詐騙者使用。了解QR詐騙的樣子、出現在哪裡,以及如何在掃描前驗證QR Code。
· Truvizy Research Team · 8 min read
TL;DR
詐騙者將惡意網址嵌入QR Code,將其放置在停車場、餐廳菜單和信件中,覆蓋合法的Code。在進入前預覽網址是唯一的防護, 您的手機僅憑外觀無法判斷QR Code是否安全。不請自來的信件、意外包裹和公共場所的Code需要最高程度的懷疑。
QR Code在疫情後無處不在, 餐廳菜單、停車計時器、商店櫥窗、郵件, 詐騙者注意到了這一點。QR Code詐騙,或稱「Quishing」,是將惡意網址嵌入QR Code,並將其放置或發送到合法Code已經存在且人們已學會信任它們的地方。
使Quishing特別危險的是它繞過了標準的安全防護。電子郵件和短信中的連結會被垃圾郵件過濾器和防毒軟件掃描。QR Code不會。它們是圖像,其內容在您掃描它們且手機顯示網址之前是不可見的。
什麼是QR網路釣魚(Quishing)?
Quishing是QR網路釣魚:詐騙者將惡意網址編碼到QR圖像中,而不是文字連結。當您掃描Code時,您的手機會將您重定向到釣魚網站、惡意下載或欺詐支付頁面。
這種技術特別有效,原因有幾個:人們出於習慣信任QR Code,網址在掃描前保持隱藏,大多數手機瀏覽器顯示縮短的網址,使惡意域名難以發現,企業網絡安全防護通常不分析QR內容。
QR詐騙出現在哪裡:6個高風險地點
1. 停車計時器和標誌是主要目標。詐騙者在合法的付款Code上放置QR貼紙。受害者以為他們在支付停車費;實際上他們是在向詐騙者匯款或在釣魚網站上輸入付款詳細資料。
2. 帶有QR Code的餐廳菜單很脆弱,因為顧客期待在上面掃描。有記錄的攻擊包括在合法Code上貼物理貼紙,或在旁邊放置偽造的打印件。
3. 電子郵件和語音詐騙(電話詐騙), 詐騙者越來越多地在電子郵件中使用QR Code代替文字連結,知道安全過濾器對圖像處理不善。商業電子郵件是首要目標:偽造的發票、供應商更新或財務表格包含用於「驗證」的QR Code。
4. 信件和郵件, 實體郵件現在被用於傳遞QR詐騙。它們通常看起來像來自政府機構、銀行或服務提供商的官方通知。要求您掃描QR Code以「驗證您的帳戶」的不請自來郵件是紅旗警訊。
5. 配送和包裹通知, 以物理紙條或短信形式發送的偽造包裹通知包含指向釣魚追蹤頁面的QR Code。
6. 加密貨幣和投資詐騙, 詐騙者在ATM旁邊放置QR Code,聲稱「掃描即可存款」。Code重定向到欺詐錢包。
如何在掃描前檢查QR Code
了解QR Code編碼了什麼的唯一方法是掃描它並在進入前檢查網址預覽。以下是您的操作協議:
步驟1:使用顯示網址預覽的掃描器,在進入前顯示。大多數標準相機掃描器顯示網址。某些專用QR掃描應用程序會直接進入, 避免使用這些。
步驟2:在預覽中閱讀完整域名。 域名部分是「https://」和下一個「/」之間的部分。對於parking-pay.govsite.com,真實域名是govsite.com,不是parking-pay。
步驟3:詢問域名是否符合您的預期。 餐廳QR菜單應該指向餐廳的網站。停車QR Code應該指向知名的停車運營商。如果它指向縮短的網址或未知域名, 不要進入。
現實世界QR Code的紅旗警訊
這些跡象表明實體QR Code可能已被篡改或替換:
原始Code上的貼紙: 翹起停車機或標誌上貼紙的角落。詐騙者直接將他們的Code貼在合法的Code上。
對齊不良或外觀損壞: 看起來略微傾斜、起皺,或印在普通紙上並貼在上面的Code是可疑的。
意外的情境: 貼在ATM上的QR Code、貼在街道電線杆上,或插入不請自來的郵件中,沒有合法的情境。
網址與情境不符: 餐廳菜單指向payme-secure.xyz,或停車標誌指向parking-verify.net是明顯的跡象。
攻擊者通過QR詐騙竊取什麼
QR詐騙根據目標情境針對不同類型的有價值資訊。停車QR詐騙者獲取信用卡和支付錢包詳細資料。商業QR詐騙通常針對企業憑證進行B2B網路攻擊。冒充政府機構的詐騙者獲取社會安全號碼或護照詳細資料。偽造的登入頁面收集用戶名和密碼,以便日後未經授權的訪問。
如果您已經掃描了可疑的Code
如果您掃描了QR Code,感覺有些不對勁:
不要在您所在的頁面上輸入任何資料,即使它看起來合法。
關閉瀏覽器並清除瀏覽資料(設定 > Safari或Chrome > 清除瀏覽資料)。
在手機上執行安全掃描。 大多數合法的防毒軟件在手機上是免費的。
如果您輸入了付款詳細資料,請立即致電您的銀行或信用卡發行商並凍結卡片。
如果您輸入了企業憑證,請立即聯繫IT並更改密碼。通過VPN訪問以隔離潛在的入侵。
安全掃描習慣
安全掃描習慣在幾次使用後成為自然習慣:
在進入前始終預覽網址, 絕不盲目自動進入。
檢查公共場所Code的物理完整性。 如果有貼紙或篡改的跡象, 不要掃描。
對來自郵件的不請自來QR Code保持默認懷疑態度, 不請自來的信件或來自未知聯繫人。
有疑問時直接輸入網址。 如果餐廳或商家有網站,直接輸入地址,而不是掃描。
您走到停車計時器前,注意到一個用於付款的QR Code。最佳的第一步是什麼?
- 掃描它並在進入前驗證網址預覽
- 掃描它, 停車計時器總是安全的
- 根本不掃描,去找零錢
- 拍一張Code的照片稍後掃描
Answer: 掃描並驗證網址預覽是正確的方法。預覽顯示Code指向哪裡。絕不要盲目進入, 始終閱讀網址以確認它與合法的停車運營商匹配。
關鍵要點
- 掃描後始終預覽網址, 絕不盲目自動進入
- 檢查實體QR Code是否有貼紙或篡改的跡象
- 來自郵件或信件中的不請自來QR Code是明顯的紅旗警訊
- QR Code詐騙繞過大多數垃圾郵件過濾器,因為它們是圖像而不是連結
- 有疑問時,直接輸入網址而不是掃描
FAQ
掃描QR Code是否會讓我的手機被感染?
掃描本身是安全的, QR Code只是一個連結。傷害發生在您訪問它所指向的網址時。某些網站可能利用瀏覽器漏洞安裝惡意軟件,無需額外點擊,但這種情況很罕見。最大的風險是在釣魚網站上提供憑證或付款。
如何在掃描前知道QR Code是否安全?
您無法知道, QR Code在不掃描的情況下不會透露其內容。最佳方法:使用顯示網址預覽的掃描器,在進入前驗證網址,並且只掃描來自已知來源的Code。掃描公共場所的Code時,請檢查是否有物理篡改的跡象或原始Code上的貼紙。
如果我已經掃描了可疑的QR Code,該怎麼辦?
不要在您所在的頁面上輸入任何資料。關閉瀏覽器。清除瀏覽緩存和資料。執行安全掃描。如果您輸入了憑證或付款資料,請立即更改密碼並聯繫您的銀行。
停車付款QR Code是合法的嗎?
合法的停車付款QR Code確實存在,但詐騙者會在上面放置偽造的貼紙。掃描前,請檢查物理標誌是否有篡改跡象。最好直接找到並輸入網址,或使用官方停車應用程序。
餐廳菜單QR Code可能有詐騙嗎?
可以。有記錄的案例包括在真實菜單Code上貼貼紙,或在旁邊放置偽造的Code。在進入前驗證網址:它應該匹配餐廳的網站,而不是第三方域名。