QR code騙很大　一掃碼就失去手機與銀行帳戶控制權

編譯／鄭智懷

隨著智慧型手機普及，QR code的應用服務也蓬勃發展，成為民眾日常生活的重要一環。然而，不肖人士也盯上這股風潮，利用群眾追求方便的心理，大量使用這項技術，在各地提供假廣告、帳單、罰單等，獲取受害者手機與銀行帳戶控制權，以達到竊取個資及金錢的目的。

在新加坡，某不具名長者在掃完某珍珠奶茶店外，一份宣稱完成問卷就提供免費飲料的QR code貼紙後，犯罪者在當天晚上就從其帳戶轉走了兩萬美金。華僑銀行（OCBC）反詐騙業務部門負責人Beaver Chua指出，此案例的策畫者以經常性優惠為名義，吸引受害者落入騙局。在掃描QR code的過程中，受害者根本不知道下載的是惡意程式，接著還會按造指示，提供手機的麥克風、相繼，以及Android無障礙服務（Accessibility Service）存取權限。犯罪者因此得以獲取所有輸入數據，最後在適當時機—如睡覺時間—完成行竊。

至於在美國和英國的案例中，犯罪者則分別將帶有QR code的假罰單和停車繳費單夾在汽車擋風玻璃上，企圖誘騙司機掃描並支付根本不存在的罰款。前者的最新案例是假冒舊金山交通局（SFMTA）開出的交通罰單，其中的QR code指向一個已經被禁用的網址「hxxps://qr.link/g43phs」，接著將上當的司機轉往與官方機構網址與介面幾乎雷同的假網站，要求支付罰款。後者的案例同樣是將用戶騙至假網站，但是在收取停車費後，還會記錄下輸入的數據並用於盜領用戶銀行存款之活動。

資料來源：BleepingComputer

瀏覽 1,204 次