隨著政府推動的統一「簡訊實聯制」,健保署也建議各公務機關、餐飲業者、店家或賣場等,儘速完成申請。而NCC在6月9日指出,三周以來的簡訊實聯制發送量已達3億則。(圖片來源:衛生福利部官網)

因應防疫,現在全臺所有店家或場所為了落實實聯制,除了紙本登記,讓民眾完成足跡資料登記,提供QR Code掃碼也成常態。不過,刑事警察局與165反詐騙在6月初宣導,提醒商家與民眾注意張貼的QR Code圖樣安全性,因為這些被置放在商家的QR Code紙張公告,存在著被有心人士置換的可能性,若不幸被替換,將對掃描條碼的顧客帶來資安風險。

臺灣是否已出現這樣的攻擊案例?刑事警察局強調,目前並未接獲民眾通報相關事件,但隨著實聯制QR Code應用的普遍,一些民眾因需求出入這些場合,可能每天要掃描數次,因此,警方在防疫期間,也特別呼籲大家要提高警覺,趁機讓民眾認識相關的資安風險。

實聯制簡訊發送量已達3億則,165反詐騙向店家與民眾宣導3個注意事項

5月19日行政院推出全國統一的「簡訊實聯制」,結合電信業者簡訊發送機制及1922,讓民間業者申請QR Code後,可以在商家門口貼出,讓出入的民眾透過掃碼、點選連結與發送簡訊方式,就能完成足跡資料登記。實施三週以來,NCC在6月9日表示,簡訊發送量達3億則,先前已編列預算8億元的最低維護成本,因此電信業者不會向民眾收取費用,這樣的應用雖帶來了方便,可以讓民眾使用自己的手機完成實聯制,做到零接觸,商家也不用自己準備與管理後臺,僅需申請服務列印張貼QR Code即可,而對於政府而言,透過電信業者1922專線來彙整、記錄足跡,也更有效率,並減少店家要保管足跡資料、28天銷毀的作業麻煩。

不過,這項便民的機制,仍可能被有心人士濫用,而導致資安風險,對此,刑事警察局在5月先向國內媒體提到此事,之後在6月初於165全民防騙的臉書粉絲專頁公布3個注意事項。

首先,是商家需要注意的事項,張貼於門外的QR Code,需要不定期檢查是否遭人更換、掉包,注意張貼連結的正確性,並在非營業時間將連結公告看板收入店內保管,其次,是民眾掃描後點選傳送簡訊時,要注意簡訊傳送的目的電話號碼是否為1922。同時,警方也說明了可能發生的詐騙場景,包括出現短網址要求下載,引導至其他付費連結與非1922的號碼。

為何店家張貼的QR Code被掉包,會有資安風險?刑事警察局雖未詳細說明,這其實是大眾應具備的基本資安觀念,但有些民眾可能不了解或容易忽略,同時,我們也進一步詢問刑事警察局科技犯罪防制中心主任林建隆,以了解這次宣導用意,以及為何外界傳出已有這樣的攻擊案例。

簡單來說,民眾基於信任店家,掃描所張貼的QR Code,但仍有可能會發生所謂的「中間人攻擊」,例如,如果有不法人士趁店家與顧客不注意時,將原本合法的QR Code偷偷更換、覆蓋成惡意QR Code,讓人誤以為這個圖樣仍是原本店家所張貼,此時,民眾透過手機去掃描這些QR Code,就有可能被引導到惡意網站。

事實上,這樣的攻擊情境,過去幾年不少資安業者就已經指出,不論實體店面張貼的QR Code,還有網路上出現的QR Code,都同樣有被竄改的風險要注意。這其實也與短網址的狀況類似,因為,民眾看到一個QR Code(或短網址)時,並無法直接看出其作用與連結的真實網址。

對此,林建隆表示,對於一般商家而言,可能在張貼實聯制QR Code後,就不會再去注意或容易忽略遭掉包的問題,因此他們希望能夠主動預先提醒,避免等到事件發生後,才被動提出警告,為時已晚。

同時,對於掃描QR Code後的資安風險,當作用是啟動簡訊傳送,也有要注意的環節。警方過去就曾調查過利用高資費電話的詐騙,誘使民眾撥打高資費電話以圖利,導致用戶不慎被收取高額電信費用,而林建隆也表示,由於他身邊朋友就有發送實聯制簡訊時傳錯簡訊號碼的經驗,因此,為避免不肖分子可能利用相關詐騙樣態,他也特別提醒,民眾要確定傳送對象是免費的專線1922。

綜合來說,在這次刑事局警察局的提醒中,商家與民眾應要了解QR code的方便與風險,並認知到有被不肖分子替換的可能性,雖然警方目前尚未接獲這類情事,然而,一旦發生將引起社會動盪,因此提醒民眾應建立基本資安風險認知,可以早些察覺異常讓自己不上當,進而也能及早通報,避免事件擴大導致影響眾人。

宣導出現插曲,網路上有民眾過度解讀

另一值得關注的是,在警方這次預先宣導下,提醒店家防範QR Code被置換,卻還衍生一個狀況,是外界傳遞的訊息中,卻指稱刑事警察局已接獲案例。

對此,林建隆表示,他們目前是預先防範宣導,但並未接獲案例。對此情形,他說,主要是有網友在「爆怨2公社」臉書社團貼出相關提醒內容,經眾多網路媒體報導引用,加上之前採訪內容再被引用,訊息快速被轉傳而導致。

據瞭解,相關內容近期被一些民眾過度解讀,因為他們在網路的貼文內容,提及:「店家將QRCode張店門外,遭不人士更換,連結到高額付費號碼,讓荷包大失血。」但刑事警察局的宣導事項,只是預警,並未提及實質發生此類事件。

這樣的誤會發生之後,也導致後續有些網路報導、民眾轉傳內容,引用了該網友的貼文,或是在傳播相關消息時,也出現同樣用肯定語氣描述此類假設性事件,甚至解讀為刑事警察局已接獲相關報案。

整體而言,警方是基於好意,提醒社會大眾小心這種狀況的可能性,但如今出現部分人士信以為真、過度解讀,不僅民眾在媒體識讀需更為謹慎,身為宣導方的警方或許也應評估這類宣導訊息的方式,以免造成不必要的誤會。


(圖片來源:165全民防詐臉書粉絲專頁)


熱門新聞

Advertisement