二維碼（QR Code）陷阱 | 一個一個黑白相間的正方形格子，正成為全球間諜與科技罪犯最新鮮的武器。近日中華人民共和國國家安全部（國安部）發布了安全提示，明確點名3種二維碼非常危險，讓群眾「千萬不要掃」。

不論是北上深圳消費點餐，還是去日韓歐美旅遊，掃碼關注，掃碼支付，掃碼登錄等等，二維碼已經融入工作、生活的方方面面，提供了巨大的便利。用手機對著各種二維碼（QR Code）掃一掃已經變成本能。但是最近中華人民共和國國家安全部（國安部）發布了安全提示，明確點名3種二維碼非常危險，讓群眾「千萬不要掃」。

翻查海內外執法記錄，香港警務處守網者網站與美國聯邦調查局（FBI），近期都不約而同地針對這種新興「Quishing」犯罪發出警告。

中國國安部點名的三種二維碼分別是什麼？

【1】利益誘惑型二維碼：商場，集市常有來歷不明人員以「填問卷送公仔」、「掃碼免費領行動電源」為幌子，誘騙路人掃碼。這些二維碼背後下載的不是商戶的應用程式，而是定製的木馬病毒程序。

【2】偽裝查驗型二維碼：犯罪分子將惡意鏈接偽裝成官方公告，例如違例泊車罰單或者一些餐廳牆上的點餐碼。用家掃碼後會進入一個與正版十分相似的釣魚網站，一旦輸入個人資料或網銀密碼，資金分分鐘被犯罪分子洗劫一空。

【3】涉密設備型二維碼：國安部指出，在軍事禁區或敏感區域附近，經常有間諜故意遺留偽裝成各種物件的非法設備，並在這種非法設備上貼有二維碼。若有市民出於好奇掃碼，手機就會立刻被植入惡意軟件。

隨意掃碼有風險

【1】入侵終端，竊取個人隱私：不法分子誘導群眾掃描問題二維碼，會直接觸發跳轉釣魚鏈接、下載病毒程序、獲取用家權限等情形，得手後長期竊取個人隱私數據與涉密敏感訊息等。

【2】倒賣數據，危害社會安全：不法分子可能將誘導用家掃碼所竊取的個人隱私和敏感數據進行批量倒賣。數據流入黑灰產業鏈後，可能被用於精準詐騙、身份冒用等違法犯罪活動，給人民群眾切身利益造成危害。

【3】泄露秘密，威脅國家安全：不法分子可根據批量收集的涉密單位人員訊息，分析出涉密單位基本情況、人員活動規律，甚至鎖定涉密崗位工作人員的準確訊息，並據此開展滲透竊密活動，給國家安全帶來威脅。

什麼是Quishing，為何全球執法機構高度緊張？

Quishing就是「QR Code」與「Phishing」的組合，也就是「二維碼釣魚」的意思。

根據FBI發布的網路安全警示，傳統的網路釣魚（Phishing）主要透過電子郵件或短訊發送惡意網址（URL），企業與個人的防毒軟件能輕易識別並攔截。但二維碼本質上是一張圖片。電腦安全系統無法直接「看懂」圖片裏隱藏的惡意代碼，這讓Quishing郵件得以輕易穿透企業的防火牆，直接送到用家面前。

香港警務處在「守網者」平台上也多次揭示類似的跨境騙局。不少香港市民在海外網站訂購機票或者酒店後，收到偽裝成官方客服的電郵，聲稱「付款失敗，請掃描下方二維碼重新支付」。市民不虞有詐，用手機一掃，錢就直接進了境外洗錢集團的帳戶。

最後提醒用家們，警惕涉密單位周圍展開的各類不明背景的掃碼活動，不貪圖小利，不下載非官方APP，不輕易授權位置與通訊錄等敏感權限，避免給不法分子可乘之機。

如果確實需要掃碼，也要提前擦亮雙眼，認真查看二維碼是否存在粘貼，覆蓋等痕跡，確認為官方發布並且入口安全可靠後再操作，堅決不掃來源不明的二維碼。

【延伸閱讀】支付寶這3道鎖記得打開！少1個都容易被詐騙犯攻破造成資金損失（點擊閱讀全文）