不论在帐户认证、流动支付、点餐或检视产品资讯等情况,很多人都会透过扫描QR Code(Quick Response Code,中文为「快速反应编码」,俗称「二维码」)来完成各项指示。使用QR Code已是生活的日常,本文会简述QR Code的发展由来和应用的例子,另提醒消费者如何提高警觉,以免堕入扫描伪冒QR Code的陷阱。
段落:
QR Code的发展历史及应用
上世纪50年代,各地已开始应用条码(barcode)来储存商品资料,但所载的资料只限于英文和数字。因应条码的信息储存量的限制,日本有研发公司于90年代中期设计出QR Code,采用当时印刷品中最不常见的图案比率(「1∶1∶3∶1∶1」),成为二维码中「定位图案」的雏形。QR Code的信息储存量大幅提升至最多7,089个字元,所载的资料同时可包含汉字等;其定位图案亦方便用户从任何一个方向(omnidirectional)扫描图像,帮助用户快速且准确地读取数据内容。此外,QR Code可划分成4个级别的纠错能力水平(error correction level),即使编码破损也可恢复约7%至30%的资料。
随后汽车零件、食品和药物等制造业相继使用QR Code来提升生产及管理程序,而首部具有QR Code读取功能的手机在2002年面世,QR Code的应用由商界扩展至个人层面。与此同时,受惠于研发公司公开其规格及不收取专利费,QR Code因此在全球迅速被应用。
解构QR Code的运作原理
若希望自行制作QR Code来传递不同信息,例如网站连结、电子档案、电邮或个人联络资讯等,可以将信息输入到编码器,如网络上一些免费的QR Code生成网站,网站便会自动产生相应的编码图像。制作者其后储存及分享该图像,可让他人透过QR Code解码器,例如是流动手机内的摄影功能,以扫描QR Code来存取编码内容,扫描者便会被导向至开启有关网站以阅读或下载相关信息。
QR Code分为2大类别
QR Code普遍可以分为静态(static)和动态(dynamic)两种类型。
1. 静态QR Code
自生成后,储存在静态QR Code的资料或相关连结不能更改,也不具备追踪和分析数据的功能,适合存放较简单、不需要作出更新的资料供人查阅,例如是永久的网站连结、通讯电邮或地址等。
2. 动态QR Code
相反,动态QR Code的用途较有弹性,除资料可被更改而不影响编码图像,其扫描次数、地点等资料也可被记录,数据方便用作市场分析,常见于宣传海报或产品管理。部分动态QR Code例子包括iQR Code和Secure QR Code(SQRC),当中SQRC包含公开及私有资讯,可透过加密技术来隐藏私有资讯。
QR Code的日常应用
QR Code的应用方法简单和直接,消费者在生活中不同范畴都会接触到,例如但不限于帐户认证、网页浏览、社交联系、流动支付、交通出行和休闲及娱乐等。如要在不同装置上开启帐号,或需要透过扫描QR Code来进行身分认证,日常生活的例子包括使用由政府开发的「智方便」应用程式,或即时通讯软件WhatsApp等。另一个较常遇到的例子,便是在网上社交平台上与别人建立联系时,可透过由平台产生的个人专属QR Code,让他人扫描自己的编码新增联络人,或自己主动扫描他人的编码加为朋友。
消费者也可以利用流动支付工具产生的QR Code来进行付款和收款,促成更快捷的转帐过程,市场上较常见的例子包括「转数快(FPS)」、PayMe、AlipayHK或微信支付(WeChat Pay HK)等。现时本港部分公共交通工具亦接受以指定流动支付工具扫码缴付车费,方便市民出行。
除此之外,随着电子商贸发展愈趋成熟,在休闲及娱乐方面以QR Code储存各样资讯也相当普遍,例如主题公园的电子入场券、电影、演唱会或歌剧表演的电子门票等;零售商推出的电子会员帐号或超市应用程式的电子优惠券等,都会看到QR Code的踪影。
(左)WhatsApp用户如要在其他装置使用通讯功能,可以利用智能手机扫描QR Code来进行身分认证并登入该装置。
(中)部分航空公司采用的电子登机证包含QR Code图像。
(右)消费者可凭列有QR Code的电子门票进场观赏电影、演唱会或歌剧表演。
如何在不同个人装置上开启QR Code扫描功能?
如何在不同个人装置上开启QR Code扫描功能?
智能手机或平板电脑
视乎不同版本的作业系统,市面上的流动装置如智能手机或平板电脑的内置镜头已配备可以侦测QR Code的功能,使用者只要打开「相机」的应用程式对准QR Code,便能够识别QR Code相连的网站或资讯。
.png)
以Andriod(左图)或iOS(右图)作业系统的智能手机为例,用户需要在相机的设定中开启「扫描QR Code」的功能。
使用者应在足够的光源并以适当距离扫描QR Code,避免造成影像反光或蒙糊,导致镜头未能侦测QR Code图像。同时亦可运用不同的扫描工具或软件,例如透过智能手机的内置镜头、浏览器的智能镜头或特定的应用程式等,都能有效辨识QR Code图像。
桌上或手提电脑
在使用桌上型或手提电脑扫描QR Code时,需要先确保电脑本身已有或外置网络摄影机(webcam),并给予其录影权限,使用者或需额外下载可读取QR Code的应用程式或开启可扫描QR Code的网址,让已连接电脑的网络摄影机读取QR Code图像。
QR Code普及而可能带来的安全隐患
网络上有很多软件或工具让人免费或以低成本制作QR Code,英国消费者组织Which?提醒,有不法之徒利用QR Code进行网络钓鱼(phishing)等行为,可被称为Quishing(即QR Code phishing),骗徒会建立伪冒QR Code来诱导受害人,使其造访欺诈网站或下载恶意程式。美国联邦贸易委员会(Federal Trade Commission)亦指,骗徒或会假设一些紧急情况并要求受害人透过QR Code采取即时行动,如核对或输入个人资料等,误导其透露个人资讯。
政府统计处数字亦显示,本港居民使用资讯科技的情况极为普遍,2022年10 岁及以上人士拥有智能手机的渗透率高达97%。另一方面,立法会研究文件引述警方数字指,自2020年起,科技罪案按年增长率超越整体罪案增长率,当中2022年及2023年的科技罪案按年增长均逾4成;而 2023年整体罪案约80%为网上诈骗,其中归类为网路钓鱼诈骗的个案占约15%,有近4,300多宗。
参考全球资讯公司及信贷资料服务机构环联(TransUnion)发表的《2024年全渠道诈骗状况报告》,本港消费者于2023年的电子交易中,有约6.6%属可疑诈骗交易(suspected digital fraud),比同期的全球可疑数码诈骗交易比率(5%)高;而网络钓鱼为消费者最常遇到的诈骗手法,即透过诈骗电邮、社交帖文和QR Code等窃取资料。如消费者使用QR Code时遇见可疑情况,应主动向相关电子平台或商户的官方渠道查证,有需要时应作出举报,适当地保障自己的权益。
QR Code诈骗个案
例子1:通讯软件帐户认证
如果用户要在其他装置登入通讯软件的网页版,可选择透过智能手机扫描QR Code来认证身分。根据警方「守网者」网站,有骗徒曾在网上搜寻器,以广告形式把假冒通讯软件的网站连结置顶。若用户点选假网站并扫描其伪冒QR Code作认证,其帐户便有机会被骑劫,由骗徒掌握及与受骗用户的亲友对话,以骗取金钱。
用户必须核对清楚通讯软件官方网站的连结,确认网站后才扫描该QR Code作认证并登入帐户。
例子2:网购货品
在本地接收网购货品时,包裹外往往都会贴上一个QR Code来储存货品资料及方便运送。不过,接收者需要留意该QR Code会否已被窜改,否则进入该伪冒网站后,有机会招致损失。消费者若需要查询货品详情,建议直接翻看该订购网站或应用程式内的电子订单资讯,以免衍生Quishing的风险。
例子3:停车场缴费
英国卫报于8月报道指,当地的停车场和电动车充电站均出现虚假QR Code的骗局。若驾驶者因虚假的QR Code连至诈骗网站,他们的缴款可能被骗徒接收而被停车场罚款,更严重的是在诈骗网站上与骗徒分享其帐号和缴费资料,或泄露重要的个人资讯。当地汽车公会提醒驾驶者在停车场缴费时,不要使用QR Code进入任何网站付款,而是使用现金、信用卡或透过官方应用程式来缴费。
例子4:欺骗善款
为方便信众捐款,内地有庙宇公开张贴流动支付工具的QR Code接收捐款。不过,有不法之徒将庙宇内的QR Code换成个人收款的编码,藉此骗取信众的捐款。事件被揭发后令人关注QR Code有机会被轻易转换的情况,而民众利用QR Code捐款后,未必有马上辨认收款人的帐户和身分,其警戒心有待提高。
投诉实录
投诉实录
虽然本会暂时未收到与本文所述涉嫌有关怀疑诈骗的投诉个案,但仍有市民反映于日常消费中使用QR Code时遇到的突发情况。
个案1:扫描官方网站的QR Code却错付费用
投诉人登入A宽频公司的官方网站缴交费用时,该网站产生了一个B流动支付平台的QR Code,投诉人便扫描相关QR Code付费,成功付款后却发现收款人并不是A宽频公司,而是转帐至另一个私人户口。相关个案反映,即使在官网付费,亦有可能产生错误的收款人QR Code资料,因此,消费者必须在转帐前检查清楚收款人的名称及/或帐户号码,以免出错。
本会跟进:经本会调停后,A宽频公司只建议投诉人联络B流动支付平台,但B平台表示未能就此作跟进,个案已转介至通讯事务管理局作调查。
个案2:自助取票机故障导致未能靠QR Code领取所有门票
投诉人于C购票平台的官方网站成功购买了4张演唱会门票,随后于荃湾其中一个指定的自助服务站利用QR Code取票,惟列印2张门票后取票机显示故障,服务站的职员亦无法修理。投诉人于是前往尖沙咀另一个指定的自助服务站并使用相同的QR Code列印余下的2张门票,结果只印出1张。投诉人在服务站的职员协助下,联络C平台的职员,该职员指示投诉人呈交成功购票的电邮、信用卡资料及已领取的3张门票,以跟进事件,但C平台一直未有答复,而投诉人仍有1张门票尚未能成功领取。
本会跟进:投诉人其后自行联络C平台并成功取得第4张门票,惟没有向本会透露最终的解决方案。
结语
QR Code应用广、成本低,市民大众于日常生活也会轻易接触此技术。然而,QR Code的普及化亦令人容易掉以轻心,忽略了资讯保安的重要性。因此,在运用QR Code进行各项指示或交易时,消费者应多参考不同渠道的提醒或建议,谨慎地分辨出可靠的QR Code,特别是涉及付款或个人资料时更要格外留神,以保障个人装置或其他线上帐户的安全。
使用QR Code小贴士
帐户认证:参考香港网络安全事故协调中心(HKCERT)的建议,应扫描官方网站内的QR Code来验证帐户。如发现有不寻常的登入记录,便要立即向服务供应商查询,并登出可疑装置。
网络安全:
- 由于市民难凭肉眼分辨QR Code的真伪,因此需特别注意,不应随意扫描张贴在公众地方或公开展示的QR Code,以免点入被骗徒控制的网站;
- 透过流动装置扫描QR Code时,应先预览及检查有关网站连结(URL)是否正确(例如是否有拼写错误),并留意QR Code所导向的网站或应用程式是否有可疑之处;
- 若对QR Code的URL有所怀疑,可使用防毒软件上的QR Code扫描功能或线上扫描病毒工具,以协助侦测网站有否暗藏病毒;或是参考香港警方的「防骗视伏器」,以评估其网址、电邮或收款帐户等的诈骗及网络安全风险;
- 一般智能装置的相机镜头已能扫描QR Code,用户可按需要安装可靠的QR Code扫描器应用程式以使用额外功能(如储存QR Code的浏览纪录或侦测病毒或恶意软件的功能);
- 如果怀疑扫描了伪冒QR Code及在其网站输入了个人或敏感资料,并有可能蒙受金钱损失,应把所有相关纪录存档,并尽快报警求助;及
定时更新智能装置的作业系统,有助保护装置免受恶意程式的侵袭和减低被黑客入侵的机会。
用户可利用可靠的线上扫描病毒工具,以评估QR Code的网站连结有否可疑病毒。
流动支付:消费者或持多个网上交易帐户,若以扫描QR Code的方式进行交易,付款前应核实由QR Code转化的交易资料。用户亦应妥善储存或保管个人收款及付款QR Code,以免被他人盗用或滥收款项。
举例以「转数快」付款时,必须核对及确认收款人的资料和金额。
(本文部分资料由香港网络安全事故协调中心、香港警务处公共关系部及数字政策办公室提供)
段落:
