如何防範 QR 碼釣魚：在攻擊開始前主動攔截

快速掃描一下、傳單上的一個小方塊、泊車告票上一張寫著「請點擊此處」的緊急通知。攻擊者正是利用這種瞬間的信任。Quishing - 經由 QR code 進行的釣魚攻擊 - 看似無害，但它可以將裝置引導至隱藏的重新導向，讓用戶進入逼真的假冒登入頁面，或在用戶不知情下傳送會洩漏數據的追蹤權杖。

本文將解釋為何 QR code 會造成盲點、為何「檢查一下網址」這建議通常無效，以及減低風險的實用步驟。最後一部分會解釋 Clean Links 如何在開啟頁面前揭示真正目的地並移除追蹤。

為何 QR Code 會造成盲點

QR code 在省卻打字的同時，也消除了情境脈絡。

• 掃描 QR code 時，手機會解碼數據並顯示一個網址或操作。這個初始網址可能是一個轉捩點 - 一個短連結、一個重新導向器，或是一個會立即轉發到不同目的地的雲端託管頁面。
• 攻擊者利用縮網址和多重重新導向來隱藏最終目標。乍看之下安全的網址，經過一次或多次重新導向後，可能會變成一個竊取登入資料的頁面。
• QR code 可以被放置在任何地方：海報、餐牌、郵件，甚至是貼在合法 QR code 上方的貼紙。這種實體放置方式令它們更具說服力，也更容易被濫用。

為何「檢查網址」通常無效

叫人「檢查一下網址」是基於一些在現實中不成立的假設：

1. 解碼後的網址本身可能就是一個重新導向器，所以檢查它只會看到第一步。
2. 許多檢視器 - 包括預設的相機應用程式 - 只會顯示解碼後的連結，但不會追蹤整個重新導向鏈，也不會在用戶點擊前揭示最終目的地。
3. 即使最終域名看起來合法，網址仍可能附加了追蹤參數和聯盟行銷權杖。這些參數可用於建立用戶檔案或作為詐騙流程的一部分，令人更難看清掃描的真正去向。

總而言之：可見的網址雖然有用，但並非全貌。

上方的影片展示了關鍵的分別：Apple 的相機應用程式只顯示初始域名，而 Clean Links 則會追蹤所有重新導向，在您點擊前揭示真正的最終目的地。

減低風險的實用步驟

• 將來歷不明的 QR code 視為未知連結。如果它出現在郵件、貼紙上，或在非預期的場所，請避免掃描。
• 如果商家提供 QR code (例如餐牌、門票、付款)，請向職員核實，或改用商家的官方應用程式或網站。
• 避免在透過 QR code 進入的網站上輸入登入資料。對於重要服務，請手動輸入已知的官方網址或使用可信的書籤。
• 優先選用能預覽最終目的地並顯示重新導向鏈的掃描器，而非只顯示第一個解碼連結的掃描器。

Clean Links 如何提供幫助

Clean Links 專為揭示 QR code 和短連結而設計。它會追蹤整個重新導向鏈，並在頁面開啟前顯示真正的最終網址。iPhone 相機只會顯示解碼後的連結，但 Clean Links 會揭示重新導向並移除追蹤參數，確保到達頁面與開啟的連結符合預期。所有處理程序均在裝置上本地運行，不會有任何外部日誌記錄。

Clean Links 可於 App Store 免費下載。

保護自己的快速清單

• 點擊前請停一停。檢查掃描器的預覽和最終域名。
• 如有懷疑，切勿輸入密碼或付款資料。
• 如果連結要求緊急付款或提供登入資料，請透過連結以外的途徑核實該請求。
• 如果經常在公眾場所掃描 QR code，請將更安全的掃描器設為預設。

Quishing 之所以能成功，是因為它利用了人們的日常習慣。只需多加一點謹慎，配合適當的工具，就能打破攻擊鏈。對於任何即使只是偶爾掃描 QR code 的人來說，使用能預覽和清理連結的掃描器，就能大大減低風險。