停車場的繳費機多了一個 QR Code,餐廳菜單也換成「掃碼點餐」,你二話不說就掃了——但你確定那個 QR Code 是真的嗎?2025 年,QR Code 詐騙(正式名稱:Quishing,即 QR Code Phishing 的縮寫)攻擊暴增 5 倍,美國 FBI 更於 2026 年 1 月發出警告,指出北韓駭客組織 Kimsuky 正大規模使用惡意 QR Code 進行魚叉式釣魚攻擊。掃碼前一秒,是你最重要的防線。
1. 什麼是 Quishing?
Quishing 是 QR Code 釣魚(QR Code Phishing)的縮寫,指攻擊者將惡意 URL 編碼成 QR Code,誘導受害者掃描後前往假冒網站,進而竊取帳密、信用卡資訊或植入惡意程式。
1.1 為什麼 QR Code 特別危險?
傳統釣魚攻擊(Email、簡訊)中,惡意連結肉眼可見,瀏覽器、防毒軟體也能掃描網址。但 QR Code 是「黑盒子」:
- 連結不可見:你無法在掃描前知道 QR Code 裡藏的是哪個網址
- 繞過安全掃描:許多企業郵件過濾系統對圖片中的 QR Code 毫無防備
- 行動裝置弱點:手機螢幕小,即使跳出連結預覽,也容易因字體太小而忽視
- 信任感高:實體環境(海報、包裝)中的 QR Code 往往讓人降低戒心
2. 2025–2026 年的真實攻擊案例
2.1 北韓駭客組織 Kimsuky 的魚叉式攻擊
2026 年 1 月,FBI 與美國衛生組織(AHA)聯合發出警告:北韓國家支持的駭客組織 Kimsuky 正針對政府機構、醫療單位、學術研究人員發動 QR Code 魚叉式攻擊。攻擊者在電子郵件中嵌入 QR Code,偽裝成 Microsoft 365 登入或多因素驗證請求,一旦掃描即竊取帳號憑證。
2.2 假停車繳費 QR Code
美國多個城市(包括舊金山、奧斯汀)記錄了攻擊者在真實停車繳費機上張貼惡意 QR Code 貼紙,將車主導向假冒的繳費網站收集信用卡資訊。受害者難以察覺,因為外觀與官方一模一樣。
2.3 餐廳菜單 QR Code
攻擊者在餐廳桌上置換合法的菜單 QR Code,或在熱門觀光區散佈假冒的「免費 Wi-Fi」QR Code,實際上導向釣魚登入頁面或自動下載惡意 App。
2.4 包裹通知簡訊
偽裝成郵局、快遞公司的簡訊,聲稱包裹需要重新確認地址或補繳稅費,附上 QR Code。掃描後進入假網站要求輸入個資與信用卡號。
3. 如何辨識惡意 QR Code?5 個檢查步驟
步驟 1:查看 QR Code 的實體狀態
惡意貼紙通常是覆蓋在原始 QR Code 上的,仔細觀察是否有:
- 邊緣翹起或有膠水痕跡
- 紙張材質與周圍不同
- 印刷解析度明顯差異(貼紙 vs. 印刷品)
步驟 2:掃描前先預覽網址
大多數智慧型手機在掃描後會先顯示網址,讓你確認後再跳轉。不要急著點「開啟」,先確認:
- 網域是否與你預期的服務一致(例如官方停車 App 的域名)
- 是否使用 HTTPS(雖然釣魚網站也可以有 HTTPS,但沒有 HTTPS 的一定危險)
- 是否包含可疑的隨機字元、拼字錯誤(如
micros0ft.com)
步驟 3:當心短網址
QR Code 中常見短網址(如 bit.ly、t.co),這使得預覽無法直接判斷最終目的地。遇到短網址時,可以先複製並貼到短網址展開工具查看原始網址,或使用URL 工具解碼分析。
步驟 4:確認來源的合法性
- 電子郵件中的 QR Code:核對寄件者地址,向官方管道直接確認
- 實體環境:向現場工作人員確認 QR Code 是否為官方設置
- 意外驚喜 QR Code:收到聲稱是「優惠券」「中獎通知」的 QR Code,直接忽略
步驟 5:掃描後觀察頁面行為
進入頁面後,若出現以下情況應立即關閉並清除快取:
- 要求輸入帳密、信用卡、身分證號
- 提示下載未知 App
- 頁面 URL 與預期服務不符
- 要求「重新登入」Microsoft、Google 或銀行帳戶
4. 企業與組織的防護策略
若你管理企業的 QR Code 使用(員工識別證、行銷活動、停車場):
- 使用動態 QR Code:便於追蹤掃描行為,發現異常時可即時停用
- 定期實體巡查:確認實體環境中的 QR Code 未被替換
- 標示品牌識別:在 QR Code 中嵌入 Logo,使替換更難以偽裝
- 員工教育訓練:讓員工了解 Quishing 的危害,尤其是 IT 管理帳號持有者
- 零信任郵件政策:指示員工不掃描電子郵件中的 QR Code,改用官方連結
5. 如何產生安全的 QR Code?
如果你需要為活動、名片或產品製作 QR Code,應確保連結指向合法的 HTTPS 網址,並定期驗證目標連結是否有效。使用QR Code 產生器可以在瀏覽器本地生成 QR Code,不會將你的目標 URL 傳送至外部伺服器,保護你的連結隱私。
長網址更難偽裝,短網址更方便但也更危險。如果需要縮短 URL,請使用可信任的服務,並搭配短網址工具記錄你自己分發的連結,以便日後追蹤與驗證。
6. Quishing vs. 傳統釣魚:一張比較表
| 面向 | 傳統釣魚(Email/SMS 連結) | Quishing(QR Code 釣魚) |
|---|---|---|
| 惡意連結是否可見 | ✅ 可以懸停預覽 | ❌ 掃描前不可見 |
| 安全過濾系統偵測 | ✅ 大多數郵件閘道可掃描 | ❌ 圖片中的 QR Code 難以掃描 |
| 主要攻擊場景 | 電子郵件、簡訊 | 電子郵件、實體環境 |
| 受害者警覺程度 | 中(已有認知) | 低(QR Code 被視為無害) |
| 攻擊成本 | 低 | 低(貼紙印製極廉價) |
| 2025 年增長率 | +15% | +587% |
7. 小結
QR Code 的便利性正在被攻擊者大規模濫用。記住三個核心原則:掃描前看外觀(有無貼紙覆蓋)、跳轉前看網址(是否符合預期)、輸入前想一想(這個頁面真的需要我的個資嗎)。使用QR Code 產生器為自己的活動製作可信賴的 QR Code,讓你的受眾安心掃描。