QR Code 不神秘,它只是把連結藏進圖案裡
現在幾乎什麼地方都能看到 QR Code。餐廳點餐、停車繳費、包裹取件、活動報名、Wi-Fi 連線、電子名片、社群追蹤、PayPal 付款、加密錢包收款,甚至 Google Forms 或 WhatsApp 聯絡入口,都可能用 QR Code 完成。 QR Code 本身不是病毒,也不是危險技術。它的作用很簡單:把一段資訊變成手機可以掃描的圖案。這段資訊可能是一個網址、一段文字、一組付款資料、一個 Wi-Fi 設定,或一個 App 下載連結。 真正的風險在於:你掃到的 QR Code,是否真的是原本那個服務提供的?掃碼後打開的頁面,是否真的屬於官方網站?如果 QR Code 被人貼紙覆蓋、替換,或導向多層跳轉連結,用戶就可能在完全沒有察覺的情況下進入假網站。
惡意 QR Code 常見在生活場景裡
惡意 QR Code 不一定出現在很高科技的場合,反而常出現在最日常的地方。 例如餐廳桌上的點餐 QR Code,如果被人用貼紙覆蓋,顧客可能以為自己進入的是餐廳菜單,實際上卻進入假付款頁或釣魚網站。停車場繳費牌上的 QR Code 如果被替換,使用者可能把信用卡資料輸入到陌生網站。包裹取件、海關補費、活動報名、假優惠券、假抽獎,也都可能被包裝成掃碼流程。 這類詐騙容易成功,是因為掃碼這個動作太自然了。很多人掃完後,只看頁面設計像不像,卻不會看網址。只要頁面做得像官方、金額不高、流程看起來順暢,就容易讓人放下戒心。
技術邏輯:QR Code 通常只是第一個入口
從技術上看,QR Code 本身通常只是入口。它可能直接指向一個網站,也可能先指向短網址,再跳轉到真正頁面。這就是為什麼有些 QR Code 掃出來的網址看起來像 bit.ly、t.co 或其他短連結服務。 短網址不一定危險,很多正常公司也會用它做行銷追蹤。但問題是,短網址會隱藏最終目的地。使用者掃碼時,看不到自己最後會被帶去哪個網站,這就給了釣魚頁面、假付款頁和可疑下載頁更多空間。 比較高風險的情況包括: 1.掃碼後要求輸入信用卡完整資料 2.掃碼後要求登入 Google、Apple ID、Facebook 或銀行帳號 3.掃碼後要求下載 APK、描述檔或不明 App 4.掃碼後出現「帳號異常」「付款失敗」「立即驗證」 5.掃碼後跳轉多次,網址變得很陌生 6.掃碼後要求提供簡訊驗證碼或 Email 驗證碼 如果一個 QR Code 原本只是用來看菜單、繳停車費或查看活動資訊,卻突然要求大量敏感資料,這就不合理。
掃碼付款時,最需要看的是網址和金額
付款 QR Code 是最需要小心的類型。因為一旦你在假頁面輸入信用卡資料、銀行資料或付款驗證碼,後續處理會很麻煩。 掃碼付款前,可以先做幾個簡單確認。第一,看網址是否屬於可信平台。第二,看頁面是否顯示正確商家名稱。第三,看金額是否與現場標示一致。第四,不要在陌生頁面輸入銀行密碼、Email 密碼或完整驗證碼。 有些假頁面會故意要求小額付款,例如一美元、幾十元停車費或小額補款。這種金額看起來不高,但真正目標可能不是這筆錢,而是信用卡資料與後續驗證碼。
掃碼後要求下載 App,要特別謹慎
如果 QR Code 掃描後要求下載 App,更需要小心。正常情況下,iPhone 用戶應優先從 App Store 下載,Android 用戶應優先從 Google Play 或可信來源下載。如果掃碼後直接下載 APK,或要求你忽略安全警告、開啟未知來源安裝,就要提高警覺。 可疑 App 可能要求過多權限,例如相機、麥克風、定位、通知、簡訊、通訊錄、無障礙服務等。這些權限如果被濫用,可能造成帳號、通知內容、位置資訊或裝置資料外洩。 尤其是看到「掃碼領獎」「掃碼安裝安全工具」「掃碼完成退款」「掃碼恢復帳號」這類說法時,不要只看頁面設計,要回到官方 App 或官方網站確認。
已經掃碼並輸入資料後,先判斷輸入了什麼
如果你已經掃了可疑 QR Code,先不要慌。最重要的是回想自己輸入了哪些資料。 如果只是打開頁面,沒有輸入任何資料,通常風險較低,可以關閉頁面並清除瀏覽紀錄。如果輸入了信用卡資料,應盡快聯絡銀行或發卡機構。如果輸入了 Google、Facebook、Instagram、Apple ID、PayPal 或 Email 密碼,應從官方入口更改密碼並檢查登入紀錄。 如果你輸入了簡訊驗證碼、銀行驗證碼或付款驗證碼,風險會更高,應立即檢查交易紀錄與帳號安全設定。若事件涉及付款、平台帳號或多個可疑頁面,可以整理 QR Code 出現的位置、掃碼時間、網址、頁面截圖和輸入過的資料類型,後續處理會更清楚。
掃碼前多停一秒,通常就能避開大部分風險
QR Code 是方便的工具,不需要因為有風險就完全不用。真正重要的是養成掃碼後先看網址、先看頁面要求、先想一下場景是否合理的習慣。 在餐廳掃碼點餐,正常情況下不應要求你登入銀行帳號。在停車場掃碼繳費,頁面應該與停車場或付款平台有明確關聯。在活動報名或包裹取件頁面,如果突然要求下載陌生 App 或輸入過多敏感資料,就應該停下來確認。 掃碼的速度很快,但安全判斷可以慢一點。很多 QR Code 風險不是因為技術多複雜,而是因為人們習慣掃完就照做。只要在輸入密碼、付款資料或驗證碼前多看一眼,就能避開大部分假付款頁與釣魚網站。