QR碼釣魚(Quishing)詐騙全解析 — 如何辨識假QR碼並保護自己
掃描QR碼就可能洩露個人資料和信用卡號。了解QR碼釣魚詐騙的手法,學會辨識假QR碼,掌握安全掃碼技巧。
QR碼釣魚(Quishing)— 掃一下就中招的新型詐騙
在餐廳掃QR碼看菜單,在停車場掃碼繳費,掃碼查看包裹物流。這些動作再平常不過,但如果那個QR碼是假的呢?
2025-2026年間,利用QR碼的釣魚攻擊每月暴增270%,所有釣魚攻擊中有12%包含QR碼。現在,連QR碼都需要提高警覺了。
什麼是Quishing(QR碼釣魚)?
Quishing = QR碼 + Phishing(釣魚)
傳統釣魚透過LINE、電子郵件發送假連結,QR碼釣魚則透過偽造的QR碼將你導向惡意網站。QR碼的內容肉眼無法辨識,因此比文字連結更具欺騙性。
台灣常見的QR碼詐騙手法
1. 停車繳費/共享機車假QR碼
在正規QR碼上貼上假的QR碼貼紙
→ 掃碼後跳轉到假的付款頁面
→ 輸入信用卡資訊後被立即盜取
停車場繳費機、YouBike、共享機車上的QR碼,被不法分子覆蓋假碼的案例持續增加。
2. 冒充宅配/物流的假QR碼
「您的包裹配送異常,請掃碼查看詳情」
→ 假的物流公司官網
→ 輸入手機號碼和驗證碼後帳號被盜
透過LINE或簡訊發送的假宅配通知中包含QR碼,冒充黑貓宅急便、蝦皮等平台進行詐騙。
3. 餐廳/咖啡廳假掃碼點餐
在餐廳桌上的點餐QR碼上覆蓋假碼,跳轉到要求輸入個人資料的頁面。尤其在需要預付款或加入會員的場景中特別容易上當。
4. 電子郵件中的惡意QR碼
「您的帳戶需要安全驗證 — 請掃描下方QR碼」
→ 假的登入頁面
→ 公司帳戶憑證被竊取
FBI已警告駭客組織正利用惡意QR碼發動攻擊,加上AI/LLM技術的輔助,釣魚內容做得越來越逼真,越來越難以辨別。
辨識假QR碼的5個方法
| 編號 | 檢查重點 | 具體說明 |
|---|---|---|
| 1 | 是否有貼紙覆蓋 | 用手觸摸表面,如果有貼紙疊在上面就要警惕 |
| 2 | URL是否與預期網域一致 | 掃碼後顯示的網址應該是該服務的官方網域 |
| 3 | 是否立即要求輸入個資或付款 | 掃碼後馬上要信用卡號或密碼,基本上都是詐騙 |
| 4 | 是否為HTTPS | 網址以http://開頭表示沒有安全加密 |
| 5 | 是否透過短網址多次跳轉 | 多次重新導向隱藏最終網址的情況非常危險 |
如何安全地掃描QR碼
第一步:使用手機內建相機
用iPhone或Android手機內建相機掃QR碼時,會先顯示URL預覽。不要使用會自動開啟連結的第三方掃碼App。
第二步:確認URL再開啟
仔細查看顯示的網址。應該是shopee.tw,結果出現sh0pee-tw.com?千萬別點。
第三步:不要在掃碼開啟的頁面上付款
掃碼跳轉的頁面要求輸入信用卡資訊時,直接關掉。請透過官方App或官方網站進行付款。
第四步:使用有URL檢測功能的掃碼工具
資安類掃碼App可以在開啟前偵測已知的惡意網址,提供額外保護。
第五步:實際檢查QR碼
在公共場所看到的QR碼,用手摸一摸,確認是否有貼紙覆蓋。如果有翹起、錯位的痕跡,很可能是假的。
安全的QR碼 vs 危險的QR碼
安全使用情境
- WiFi分享:咖啡廳、飯店提供的WiFi連線QR碼
- 官方點餐:餐廳自有系統產生的菜單QR碼
- 可信付款:官方App內產生的付款QR碼(LINE Pay、街口支付)
- LOCK.PUB連結分享:有密碼保護、使用可信網域
lock.pub的QR碼
危險信號
- 陌生郵件中包含的QR碼
- 公共場所來路不明的QR碼貼紙
- 不明傳單、名片上的QR碼
- LINE群組或簡訊中收到的不明QR碼
已經掃了可疑QR碼怎麼辦?
不要慌張,按以下步驟處理:
- 立即關閉瀏覽器 — 如果沒有輸入任何資訊,通常不會有損失
- 如果輸入了帳號密碼,立即修改密碼
- 如果輸入了信用卡資訊,立即聯繫發卡銀行凍結卡片
- 檢查是否安裝了不明App,發現可疑的立即刪除
- 撥打165反詐騙專線或向警政署報案
LOCK.PUB如何安全使用QR碼
在LOCK.PUB建立的連結可以產生QR碼分享,但與一般QR碼有本質差異:
- 密碼保護:掃碼後仍需輸入密碼才能查看內容
- 可信網域:始終指向
lock.pub網域,一眼就能辨認 - 自動過期:設定的時間到了連結自動失效
- 存取追蹤:可以查看誰在什麼時候存取過
QR碼本身不危險,來源不明的QR碼才危險。只掃描可信來源的QR碼,掃碼前務必先確認URL。
結論
QR碼讓生活更方便,但也給詐騙集團提供了可趁之機。一次掃碼就可能洩露信用卡資訊、帳號被盜。
掃碼之前,花3秒鐘確認一下。 這3秒可能保住你的個資和荷包。