當心實聯制QR Code掃碼詐騙！刑事警察局：目前未接獲案例，預先宣導提醒，店家與民眾都要注意

因應防疫，現在全臺所有店家或場所為了落實實聯制，除了紙本登記，讓民眾完成足跡資料登記，提供QR Code掃碼也成常態。不過，刑事警察局與165反詐騙在6月初宣導，提醒商家與民眾注意張貼的QR Code圖樣安全性，因為這些被置放在商家的QR Code紙張公告，存在著被有心人士置換的可能性，若不幸被替換，將對掃描條碼的顧客帶來資安風險。

臺灣是否已出現這樣的攻擊案例？刑事警察局強調，目前並未接獲民眾通報相關事件，但隨著實聯制QR Code應用的普遍，一些民眾因需求出入這些場合，可能每天要掃描數次，因此，警方在防疫期間，也特別呼籲大家要提高警覺，趁機讓民眾認識相關的資安風險。

實聯制簡訊發送量已達3億則，165反詐騙向店家與民眾宣導3個注意事項

5月19日行政院推出全國統一的「簡訊實聯制」，結合電信業者簡訊發送機制及1922，讓民間業者申請QR Code後，可以在商家門口貼出，讓出入的民眾透過掃碼、點選連結與發送簡訊方式，就能完成足跡資料登記。實施三週以來，NCC在6月9日表示，簡訊發送量達3億則，先前已編列預算8億元的最低維護成本，因此電信業者不會向民眾收取費用，這樣的應用雖帶來了方便，可以讓民眾使用自己的手機完成實聯制，做到零接觸，商家也不用自己準備與管理後臺，僅需申請服務列印張貼QR Code即可，而對於政府而言，透過電信業者1922專線來彙整、記錄足跡，也更有效率，並減少店家要保管足跡資料、28天銷毀的作業麻煩。

不過，這項便民的機制，仍可能被有心人士濫用，而導致資安風險，對此，刑事警察局在5月先向國內媒體提到此事，之後在6月初於165全民防騙的臉書粉絲專頁公布3個注意事項。

首先，是商家需要注意的事項，張貼於門外的QR Code，需要不定期檢查是否遭人更換、掉包，注意張貼連結的正確性，並在非營業時間將連結公告看板收入店內保管，其次，是民眾掃描後點選傳送簡訊時，要注意簡訊傳送的目的電話號碼是否為1922。同時，警方也說明了可能發生的詐騙場景，包括出現短網址要求下載，引導至其他付費連結與非1922的號碼。

為何店家張貼的QR Code被掉包，會有資安風險？刑事警察局雖未詳細說明，這其實是大眾應具備的基本資安觀念，但有些民眾可能不了解或容易忽略，同時，我們也進一步詢問刑事警察局科技犯罪防制中心主任林建隆，以了解這次宣導用意，以及為何外界傳出已有這樣的攻擊案例。

簡單來說，民眾基於信任店家，掃描所張貼的QR Code，但仍有可能會發生所謂的「中間人攻擊」，例如，如果有不法人士趁店家與顧客不注意時，將原本合法的QR Code偷偷更換、覆蓋成惡意QR Code，讓人誤以為這個圖樣仍是原本店家所張貼，此時，民眾透過手機去掃描這些QR Code，就有可能被引導到惡意網站。

事實上，這樣的攻擊情境，過去幾年不少資安業者就已經指出，不論實體店面張貼的QR Code，還有網路上出現的QR Code，都同樣有被竄改的風險要注意。這其實也與短網址的狀況類似，因為，民眾看到一個QR Code（或短網址）時，並無法直接看出其作用與連結的真實網址。

對此，林建隆表示，對於一般商家而言，可能在張貼實聯制QR Code後，就不會再去注意或容易忽略遭掉包的問題，因此他們希望能夠主動預先提醒，避免等到事件發生後，才被動提出警告，為時已晚。

同時，對於掃描QR Code後的資安風險，當作用是啟動簡訊傳送，也有要注意的環節。警方過去就曾調查過利用高資費電話的詐騙，誘使民眾撥打高資費電話以圖利，導致用戶不慎被收取高額電信費用，而林建隆也表示，由於他身邊朋友就有發送實聯制簡訊時傳錯簡訊號碼的經驗，因此，為避免不肖分子可能利用相關詐騙樣態，他也特別提醒，民眾要確定傳送對象是免費的專線1922。

綜合來說，在這次刑事局警察局的提醒中，商家與民眾應要了解QR code的方便與風險，並認知到有被不肖分子替換的可能性，雖然警方目前尚未接獲這類情事，然而，一旦發生將引起社會動盪，因此提醒民眾應建立基本資安風險認知，可以早些察覺異常讓自己不上當，進而也能及早通報，避免事件擴大導致影響眾人。

宣導出現插曲，網路上有民眾過度解讀

另一值得關注的是，在警方這次預先宣導下，提醒店家防範QR Code被置換，卻還衍生一個狀況，是外界傳遞的訊息中，卻指稱刑事警察局已接獲案例。

對此，林建隆表示，他們目前是預先防範宣導，但並未接獲案例。對此情形，他說，主要是有網友在「爆怨2公社」臉書社團貼出相關提醒內容，經眾多網路媒體報導引用，加上之前採訪內容再被引用，訊息快速被轉傳而導致。

據瞭解，相關內容近期被一些民眾過度解讀，因為他們在網路的貼文內容，提及：「店家將QRCode張店門外，遭不人士更換，連結到高額付費號碼，讓荷包大失血。」但刑事警察局的宣導事項，只是預警，並未提及實質發生此類事件。

這樣的誤會發生之後，也導致後續有些網路報導、民眾轉傳內容，引用了該網友的貼文，或是在傳播相關消息時，也出現同樣用肯定語氣描述此類假設性事件，甚至解讀為刑事警察局已接獲相關報案。

整體而言，警方是基於好意，提醒社會大眾小心這種狀況的可能性，但如今出現部分人士信以為真、過度解讀，不僅民眾在媒體識讀需更為謹慎，身為宣導方的警方或許也應評估這類宣導訊息的方式，以免造成不必要的誤會。

（圖片來源：165全民防詐臉書粉絲專頁）