如何防範 QR Code 網路釣魚:在攻擊發生前就阻止它
快速掃一下。傳單上的小方塊。停車單上寫著「緊急,點此」的字條。攻擊者正是利用了這種瞬間的信任。Quishing - 透過 QR code 進行的釣魚攻擊 - 看似無害,但它能引導裝置經過隱藏的重新導向,讓使用者進入逼真的假冒登入頁面,或是在使用者不知情的情況下傳遞會洩漏資料的追蹤權杖。
本文將解釋為什麼 QR code 會產生盲點、為什麼「只要檢查網址」這句話通常沒用,以及降低風險的實用步驟。最後一部分會說明 Clean Links 如何在頁面開啟前揭露真實的目的地並移除追蹤參數。
為什麼 QR code 會產生盲點
QR code 同時省去了打字和判斷情境的步驟。
- 當掃描一個 code 時,手機會解碼資料並顯示一個網址或操作。第一個顯示的網址可能是一個轉折點 - 一個短連結、一個重新導向器,或是一個會立即轉發到不同目的地的雲端託管頁面。
- 攻擊者利用網址縮短服務和多階段重新導向來隱藏最終目標。乍看之下安全的網址,在經過一次或多次重新導向後,可能會變成一個竊取登入憑證的頁面。
- QR code 可以被放置在任何地方:海報、菜單、郵件、或覆蓋在合法 code 上的貼紙。這種實體上的放置方式使其具有說服力且容易被濫用。
為什麼「檢查網址」通常沒用
告訴別人「只要檢查網址」是基於一些在實務上不成立的假設:
- 解碼出的網址本身可能就是一個重新導向器,所以檢查它只會看到第一步。
- 許多檢視器 - 包括預設的相機 App - 只會顯示解碼後的連結,但不會追蹤完整的重新導向鏈,或在使用者點擊前揭露最終目的地。
- 即使最終的網域看起來合法,網址中也可能附加了追蹤參數和聯盟行銷權杖。這些參數可用於建立使用者輪廓或作為詐騙流程的一部分,讓人更難看清掃描後真正會前往何處。
簡而言之:看到的網址很有用,但它並非全貌。
上方的影片展示了關鍵的差異:Apple 的相機 App 只顯示初始網域,而 Clean Links 則會追蹤所有重新導向,在您點擊前揭露真正的最終目的地。
降低風險的實用步驟
- 將來路不明的 QR code 視為未知連結。如果它出現在郵件、貼紙上,或是在非預期的地點,請避免掃描。
- 如果商家提供 QR code (例如菜單、票券、付款),請向店員確認,或改用該商家的官方 App 或網站。
- 避免在透過 QR code 進入的網站上輸入登入憑證。對於重要的服務,請手動輸入已知的官方網址或使用信任的書籤。
- 優先選擇能夠預覽最終目的地並顯示重新導向鏈的掃描器,而不是只顯示第一個解碼連結的掃描器。
Clean Links 如何提供幫助
Clean Links 的設計宗旨在於揭露 QR code 和短連結的真面目。它會追蹤完整的重新導向鏈,並在頁面開啟前顯示真正的最終網址。iPhone 的相機只會顯示解碼後的連結,但 Clean Links 會揭露重新導向並移除追蹤參數,確保到達的頁面和開啟的連結符合預期。所有處理程序都在裝置本機上運行,不會有任何外部記錄。
Clean Links 可在 App Store 免費下載。
保護自己的快速檢查清單
- 點擊前先暫停。檢查掃描器預覽的內容和最終網域。
- 如有疑慮,請勿輸入密碼或付款詳細資訊。
- 如果連結要求緊急付款或提供憑證,請透過連結以外的管道驗證此要求。
- 如果您經常在公共場所掃描 QR code,請將更安全的掃描器設為預設。
Quishing 之所以能成功,是因為它利用了人們的日常習慣。一點點的謹慎,加上正確的工具,就能打破攻擊鏈。對於任何偶爾會掃描 QR code 的人來說,使用一個能預覽並清理連結的掃描器,就能消除大部分的風險。
