安全風險
QR Code普及而可能帶來的安全隱患
網絡上有很多軟件或工具讓人免費或以低成本製作QR Code,英國消費者組織Which?提醒,有不法之徒利用QR Code進行網絡釣魚(phishing)等行為,可被稱為Quishing(即QR Code phishing),騙徒會建立偽冒QR Code來誘導受害人,使其造訪欺詐網站或下載惡意程式。美國聯邦貿易委員會(Federal Trade Commission)亦指,騙徒或會假設一些緊急情況並要求受害人透過QR Code採取即時行動,如核對或輸入個人資料等,誤導其透露個人資訊。
政府統計處數字亦顯示,本港居民使用資訊科技的情況極為普遍,2022年10 歲及以上人士擁有智能手機的滲透率高達97%。另一方面,立法會研究文件引述警方數字指,自2020年起,科技罪案按年增長率超越整體罪案增長率,當中2022年及2023年的科技罪案按年增長均逾4成;而 2023年整體罪案約80%為網上詐騙,其中歸類為網路釣魚詐騙的個案佔約15%,有近4,300多宗。
參考全球資訊公司及信貸資料服務機構環聯(TransUnion)發表的《2024年全渠道詐騙狀況報告》,本港消費者於2023年的電子交易中,有約6.6%屬可疑詐騙交易(suspected digital fraud),比同期的全球可疑數碼詐騙交易比率(5%)高;而網絡釣魚為消費者最常遇到的詐騙手法,即透過詐騙電郵、社交帖文和QR Code等竊取資料。如消費者使用QR Code時遇見可疑情況,應主動向相關電子平台或商戶的官方渠道查證,有需要時應作出舉報,適當地保障自己的權益。
QR Code詐騙個案
例子1:通訊軟件帳戶認證
如果用戶要在其他裝置登入通訊軟件的網頁版,可選擇透過智能手機掃描QR Code來認證身分。根據警方「守網者」網站,有騙徒曾在網上搜尋器,以廣告形式把假冒通訊軟件的網站連結置頂。若用戶點選假網站並掃描其偽冒QR Code作認證,其帳戶便有機會被騎劫,由騙徒掌握及與受騙用戶的親友對話,以騙取金錢。
用戶必須核對清楚通訊軟件官方網站的連結,確認網站後才掃描該QR Code作認證並登入帳戶。
例子2:網購貨品
在本地接收網購貨品時,包裹外往往都會貼上一個QR Code來儲存貨品資料及方便運送。不過,接收者需要留意該QR Code會否已被竄改,否則進入該偽冒網站後,有機會招致損失。消費者若需要查詢貨品詳情,建議直接翻看該訂購網站或應用程式內的電子訂單資訊,以免衍生Quishing的風險。
例子3:停車場繳費
英國衛報於8月報道指,當地的停車場和電動車充電站均出現虛假QR Code的騙局。若駕駛者因虛假的QR Code連至詐騙網站,他們的繳款可能被騙徒接收而被停車場罰款,更嚴重的是在詐騙網站上與騙徒分享其帳號和繳費資料,或洩露重要的個人資訊。當地汽車公會提醒駕駛者在停車場繳費時,不要使用QR Code進入任何網站付款,而是使用現金、信用卡或透過官方應用程式來繳費。
例子4:欺騙善款
為方便信眾捐款,內地有廟宇公開張貼流動支付工具的QR Code接收捐款。不過,有不法之徒將廟宇內的QR Code換成個人收款的編碼,藉此騙取信眾的捐款。事件被揭發後令人關注QR Code有機會被輕易轉換的情況,而民眾利用QR Code捐款後,未必有馬上辨認收款人的帳戶和身分,其警戒心有待提高。
投訴實錄
雖然本會暫時未收到與本文所述涉嫌有關懷疑詐騙的投訴個案,但仍有市民反映於日常消費中使用QR Code時遇到的突發情況。
個案1:掃描官方網站的QR Code卻錯付費用
投訴人登入A寬頻公司的官方網站繳交費用時,該網站產生了一個B流動支付平台的QR Code,投訴人便掃描相關QR Code付費,成功付款後卻發現收款人並不是A寬頻公司,而是轉帳至另一個私人戶口。相關個案反映,即使在官網付費,亦有可能產生錯誤的收款人QR Code資料,因此,消費者必須在轉帳前檢查清楚收款人的名稱及/或帳戶號碼,以免出錯。
本會跟進:經本會調停後,A寬頻公司只建議投訴人聯絡B流動支付平台,但B平台表示未能就此作跟進,個案已轉介至通訊事務管理局作調查。
個案2:自助取票機故障導致未能靠QR Code領取所有門票
投訴人於C購票平台的官方網站成功購買了4張演唱會門票,隨後於荃灣其中一個指定的自助服務站利用QR Code取票,惟列印2張門票後取票機顯示故障,服務站的職員亦無法修理。投訴人於是前往尖沙咀另一個指定的自助服務站並使用相同的QR Code列印餘下的2張門票,結果只印出1張。投訴人在服務站的職員協助下,聯絡C平台的職員,該職員指示投訴人呈交成功購票的電郵、信用卡資料及已領取的3張門票,以跟進事件,但C平台一直未有答覆,而投訴人仍有1張門票尚未能成功領取。
本會跟進:投訴人其後自行聯絡C平台並成功取得第4張門票,惟沒有向本會透露最終的解決方案。