QR 码安全 - 安全使用的注意事项

QR 码中潜藏的安全风险

QR 码是一种只需将智能手机对准即可访问 URL 的便捷技术，但正因其便捷性，也存在安全风险。最大的问题是仅凭肉眼无法确认 QR 码的链接目标 URL。

传统的文本链接可以在点击前目视确认 URL。然而 QR 码将信息编码在黑白点阵图案中，人眼无法辨别链接目标。利用这一特性的攻击在全球范围内不断增加。

典型的攻击手法

利用 QR 码的攻击有几种模式。了解这些典型手法是防御的第一步。

• QR 钓鱼（Quishing）：分发伪装成正规服务的假网站 QR 码。冒充银行、支付服务、快递公司等，窃取登录信息和信用卡号。在邮件中附加 QR 码的案例也在增加。
• QR 码覆盖替换：攻击者在店铺或公共设施张贴的正规 QR 码上贴上假 QR 码的物理手法。海外已有停车场缴费 QR 码被替换的案例报告。
• 恶意软件传播：通过 QR 码链接诱导安装恶意应用的手法。以"需要安全更新"等虚假消息诱骗用户下载恶意应用。
• 恶意 Wi-Fi 连接：设置内置恶意 Wi-Fi 网络自动连接的 QR 码，拦截通信的手法。在咖啡馆、机场等公共场所存在此风险。

个人用户应实践的防范措施

介绍日常使用 QR 码的个人用户为确保安全应实践的措施。

• 扫描后确认 URL：读取 QR 码后，在浏览器打开前务必确认显示的 URL。检查是否为正规域名，是否包含可疑字符串。
• 确认 HTTPS：确认链接目标是否以 HTTPS 开头。仅使用 HTTP 的网站通信未加密，存在信息被拦截的风险。
• 注意公共场所的 QR 码：停车场、餐厅、公共交通等处张贴的 QR 码可能已被替换。确认是否有贴纸重叠，是否作为印刷品的一部分自然放置。
• 保持操作系统和应用为最新版本：将智能手机的操作系统和浏览器更新到最新版本，可防止利用已知漏洞的攻击。
• 不扫描可疑的 QR 码：来源不明的 QR 码、贴在路上的 QR 码、可疑邮件中的 QR 码应避免扫描。

企业和店铺应采取的安全措施

在业务中使用 QR 码的企业和店铺，需要采取防止自身 QR 码被滥用的措施，以及保护客户的机制。

• 定期检查 QR 码：定期确认店铺或设施张贴的 QR 码是否被替换。特别是设置在不特定多数人可接触场所的 QR 码需要格外注意。
• 管理短链接：如果 QR 码使用了短链接，短链接服务账户被盗用后链接目标可能被篡改。请启用双因素认证并定期检查访问日志。
• 使用动态 QR 码：使用可事后更改链接目标的动态 QR 码，出现问题时可立即使链接失效。但也需要确认动态 QR 码服务本身的安全性。
• 在 QR 码旁标注正规 URL：在 QR 码附近以文字显示链接目标 URL，用户可以目视确认 URL，提高对覆盖替换攻击的抵抗力。
• 员工安全培训：对处理 QR 码的员工进行替换检查方法和可疑 QR 码报告流程的培训。

QR 码支付安全

QR 码支付在日本也已广泛普及，但由于直接涉及金钱，需要特别高的安全意识。

• 商户展示型（MPM）的风险：店铺展示 QR 码，顾客扫描支付的方式。存在 QR 码被替换导致支付转入攻击者账户的风险。
• 顾客展示型（CPM）的安全性：店铺扫描顾客智能手机上显示的 QR 码的方式。由于 QR 码动态生成且有效期短，被认为比 MPM 更安全。
• 保护支付应用：为支付应用设置生物识别认证或密码锁，防止智能手机丢失时的非法使用。

涉及支付的 QR 码，便利性与安全性的平衡尤为重要。

Related: See also our guide on QR code error correction.

安全使用 QR 码的总结

QR 码在正确使用时是非常便利的工具，但在理解安全风险的基础上使用非常重要。要点整理如下：

• 扫描后务必确认 URL，不访问可疑链接
• 对公共场所张贴的 QR 码保持替换可能性的警惕
• 始终保持操作系统和应用为最新状态
• 企业应实施 QR 码定期检查和员工培训
• 支付用 QR 码需特别谨慎处理，强化应用安全设置

为了安全享受 QR 码的便利，请在日常使用中保持安全意识。