香港二維碼詐騙:如何保護自己
隨著二維碼在香港餐廳、停車場及零售業廣泛普及,騙徒亦隨之而來——他們張貼偽造二維碼,將用戶重定向至網絡釣魚網站或發起未經授權的付款。
隨著二維碼在香港餐廳、停車場及零售業廣泛普及,騙徒亦隨之而來——他們張貼偽造二維碼,將用戶重定向至網絡釣魚網站或發起未經授權的付款。
二維碼釣魚攻擊——有時稱為「quishing」——利用香港市民對二維碼的廣泛信任與普遍使用。自新冠疫情將二維碼掃描常規化以用於餐廳菜單、場所登記及非接觸式付款後,這項技術已深入融入人們的日常消費與資訊獲取方式。騙徒 ↗正是利用這種熟悉感,將偽造二維碼覆蓋於合法二維碼之上,或在預期掃碼的場所製作全新的虛假二維碼展示。
香港最常見的二維碼詐騙涉及實體替換:騙徒將偽造二維碼貼紙覆蓋於餐廳的合法菜單二維碼、停車場的付款二維碼或商家的無現金支付展示上。掃描後,偽造碼會將用戶重定向至釣魚網站或發起意外付款。受害者原本期望查看菜單或繳交停車費,卻登入了一個竊取憑證的網站,或將款項付給了詐騙方。由於掃描二維碼已成為自動且毫不質疑的行為,這類攻擊往往即使針對具安全意識的用戶也能得手。
數字二維碼詐騙則出現於電子郵件、通訊軟件及社交媒體。與實體替換攻擊不同,這些偽造二維碼旨在繞過電子郵件安全過濾器——由於二維碼是圖像而非文字連結,因此不會受到與惡意超連結相同的網址掃描工具分析。掃描電子郵件或WhatsApp訊息中的二維碼,其風險與點擊釣魚連結相同,但卻沒有可能引發警覺的網址預覽。
餐廳及咖啡廳是香港二維碼被篡改的最高風險場所之一。疫情後二維碼菜單的廣泛採用,意味著大多數食客現在會自動掃描桌面二維碼,而不加以審視。騙徒 ↗針對人流密集地區的餐廳——銅鑼灣、旺角、中環及尖沙咀——在桌面菜單展示或常顯示付款碼的入口處張貼偽造二維碼貼紙。
停車場及咪錶是另一個重大風險地點。香港許多停車場現已接受二維碼付款。張貼於付款機的偽造二維碼將付款流程重定向至攻擊者控制的賬戶。與餐廳菜單二維碼詐騙(詐騙行為在憑證被盜用後才被發現)不同,停車場付款詐騙可能即時顯現——當車輛出口閘門無法打開時,款項已被轉走。
公告欄、慈善籌款點及政府資訊展示亦曾成為攻擊目標。騙徒對任何可能合理出現二維碼且預期進行掃描的地點具有高度創意。即使是名片、印刷宣傳材料及客戶忠誠卡,也可能遭到篡改或偽造。共同點是任何使用二維碼進行涉及金錢或憑證交易的場景。
最重要的安全掃碼習慣是在採取行動前預覽網址。掃描二維碼時,大多數智能手機相機應用程式及二維碼掃描器會在打開前顯示網址預覽。花一秒鐘閱讀此網址,確認其與預期目的地相符——餐廳菜單二維碼應指向餐廳自身的域名或已知菜單平台,而非通用短網址或不熟悉的域名。若網址看起來有異,切勿繼續。
在掃描前,尤其在付款場景中,請實際查看二維碼。覆蓋在另一表面上的二維碼貼紙,其周圍會有可見邊緣或黏膠痕跡——這是被篡改的跡象。商家合法顯示的二維碼通常直接印於表面(桌子、菜單、付款終端),而非另行張貼貼紙。若付款終端上的二維碼似乎是貼紙,請向工作人員舉報並改用其他付款方式。
付款交易時,在確認前請核實收款方。當掃描的二維碼發起轉數快(FPS)或流動付款時,付款頁面應在確認前顯示收款方的已登記姓名或商業名稱。若收款方名稱為個人而非預期商家,或金額與預期不符,請取消交易並向場所及香港警務處舉報偽造二維碼。
If you scanned a QR code and landed on a suspicious website, close the browser immediately without entering any information. On Android, run a security scan to check for any malware that may have been silently delivered. On iPhone, close Safari and clear your browsing history and website data (Settings → Safari → Clear History and Website Data). Monitor your accounts for any unusual activity over the following days.
If you entered credentials on a fraudulent site after scanning a QR code, follow the same response as for any phishing credential disclosure: change the affected password immediately through the official app or website, contact your bank if financial credentials were involved, and enable two-factor authentication if not already active. If you entered payment information or authorised a payment to a fraudulent recipient via FPS, contact your bank immediately and report to the Anti-Deception Coordination Centre at 18222 — there is a narrow window in which fraudulent transfers can sometimes be intercepted.
Report the fraudulent QR code to help others. Notify the venue where you found it so they can remove it and replace it with a legitimate code. Report to HKPF Cyber Security and Technology Crime ↗ Bureau at 182 388. For payment fraud, also report to the ADCC at 18222. Report to HKCERT ↗ at hkcert.org/report. If you found the fraudulent QR code in a chain restaurant or large retailer, contact their head office as well — they likely have security teams that can investigate and alert their other locations.
