資訊安全貼士 (2023年5月號) – QR code的釣魚攻擊

「Quishing」是結合QR code的釣魚攻擊。當用戶掃瞄QR code後，便會進入釣魚網站。由於QR 只是一個圖像，現時的保安措施未必能識別是一個威脅，因此「Quishing」可能是日後一種攻擊的新常態。

使用QR code的保安小貼士：

1. 流動支付:
   • 以QR code進行流動支付前，需小心核實應用程式提供的交易資料。完成支付交易後，要立即核實銀行或流動支付服務供應商所發出的交易記錄;
   • 切勿隨便向他人透露流動支付服務所產生的QR code。
2. 網頁瀏覽：
   • 掃瞄QR code前要提高警覺，不要掃瞄一些來歷不明的QR code;
   • 關閉QR code掃瞄器自動瀏覽網頁功能。關閉設定後，每次掃瞄QR code都會彈出對應的URL，待你確認才會連接到該網站;
   • 使用防毒軟件上的QR code 掃瞄器功能，讓防毒軟件預先檢查URL是否安全才開啟網頁。
3. 賬戶驗證:
   • 只掃瞄官方網站內的賬戶驗證QR code;
   • 如發現不尋常的登入記錄，應立即向服務供應商查詢。