QR 码安全 - 安全使用的注意事项
QR 码中潜藏的安全风险
QR 码是一种只需将智能手机对准即可访问 URL 的便捷技术,但正因其便捷性,也存在安全风险。最大的问题是仅凭肉眼无法确认 QR 码的链接目标 URL。
传统的文本链接可以在点击前目视确认 URL。然而 QR 码将信息编码在黑白点阵图案中,人眼无法辨别链接目标。利用这一特性的攻击在全球范围内不断增加。
典型的攻击手法
利用 QR 码的攻击有几种模式。了解这些典型手法是防御的第一步。
- QR 钓鱼(Quishing):分发伪装成正规服务的假网站 QR 码。冒充银行、支付服务、快递公司等,窃取登录信息和信用卡号。在邮件中附加 QR 码的案例也在增加。
- QR 码覆盖替换:攻击者在店铺或公共设施张贴的正规 QR 码上贴上假 QR 码的物理手法。海外已有停车场缴费 QR 码被替换的案例报告。
- 恶意软件传播:通过 QR 码链接诱导安装恶意应用的手法。以"需要安全更新"等虚假消息诱骗用户下载恶意应用。
- 恶意 Wi-Fi 连接:设置内置恶意 Wi-Fi 网络自动连接的 QR 码,拦截通信的手法。在咖啡馆、机场等公共场所存在此风险。
个人用户应实践的防范措施
介绍日常使用 QR 码的个人用户为确保安全应实践的措施。
- 扫描后确认 URL:读取 QR 码后,在浏览器打开前务必确认显示的 URL。检查是否为正规域名,是否包含可疑字符串。
- 确认 HTTPS:确认链接目标是否以 HTTPS 开头。仅使用 HTTP 的网站通信未加密,存在信息被拦截的风险。
- 注意公共场所的 QR 码:停车场、餐厅、公共交通等处张贴的 QR 码可能已被替换。确认是否有贴纸重叠,是否作为印刷品的一部分自然放置。
- 保持操作系统和应用为最新版本:将智能手机的操作系统和浏览器更新到最新版本,可防止利用已知漏洞的攻击。
- 不扫描可疑的 QR 码:来源不明的 QR 码、贴在路上的 QR 码、可疑邮件中的 QR 码应避免扫描。
企业和店铺应采取的安全措施
在业务中使用 QR 码的企业和店铺,需要采取防止自身 QR 码被滥用的措施,以及保护客户的机制。
- 定期检查 QR 码:定期确认店铺或设施张贴的 QR 码是否被替换。特别是设置在不特定多数人可接触场所的 QR 码需要格外注意。
- 管理短链接:如果 QR 码使用了短链接,短链接服务账户被盗用后链接目标可能被篡改。请启用双因素认证并定期检查访问日志。
- 使用动态 QR 码:使用可事后更改链接目标的动态 QR 码,出现问题时可立即使链接失效。但也需要确认动态 QR 码服务本身的安全性。
- 在 QR 码旁标注正规 URL:在 QR 码附近以文字显示链接目标 URL,用户可以目视确认 URL,提高对覆盖替换攻击的抵抗力。
- 员工安全培训:对处理 QR 码的员工进行替换检查方法和可疑 QR 码报告流程的培训。
QR 码支付安全
QR 码支付在日本也已广泛普及,但由于直接涉及金钱,需要特别高的安全意识。
- 商户展示型(MPM)的风险:店铺展示 QR 码,顾客扫描支付的方式。存在 QR 码被替换导致支付转入攻击者账户的风险。
- 顾客展示型(CPM)的安全性:店铺扫描顾客智能手机上显示的 QR 码的方式。由于 QR 码动态生成且有效期短,被认为比 MPM 更安全。
- 保护支付应用:为支付应用设置生物识别认证或密码锁,防止智能手机丢失时的非法使用。
涉及支付的 QR 码,便利性与安全性的平衡尤为重要。<% if (typeof amazonTag !== 'undefined' && amazonTag) { %> For a deeper understanding of cashless payment systems, cashless payment books are a helpful resource.<% } else { %> For a deeper understanding of cashless payment systems, cashless payment books are a helpful resource.<% } %>
Related: See also our guide on QR code error correction.
安全使用 QR 码的总结
QR 码在正确使用时是非常便利的工具,但在理解安全风险的基础上使用非常重要。要点整理如下:
- 扫描后务必确认 URL,不访问可疑链接
- 对公共场所张贴的 QR 码保持替换可能性的警惕
- 始终保持操作系统和应用为最新状态
- 企业应实施 QR 码定期检查和员工培训
- 支付用 QR 码需特别谨慎处理,强化应用安全设置
为了安全享受 QR 码的便利,请在日常使用中保持安全意识。