QR Code 詐騙(Quishing)完整指南:識別惡意 QR Code、防範掃碼釣魚攻擊

停車場的繳費機多了一個 QR Code,餐廳菜單也換成「掃碼點餐」,你二話不說就掃了——但你確定那個 QR Code 是真的嗎?2025 年,QR Code 詐騙(正式名稱:Quishing,即 QR Code Phishing 的縮寫)攻擊暴增 5 倍,美國 FBI 更於 2026 年 1 月發出警告,指出北韓駭客組織 Kimsuky 正大規模使用惡意 QR Code 進行魚叉式釣魚攻擊。掃碼前一秒,是你最重要的防線。

1. 什麼是 Quishing?

Quishing 是 QR Code 釣魚(QR Code Phishing)的縮寫,指攻擊者將惡意 URL 編碼成 QR Code,誘導受害者掃描後前往假冒網站,進而竊取帳密、信用卡資訊或植入惡意程式。

1.1 為什麼 QR Code 特別危險?

傳統釣魚攻擊(Email、簡訊)中,惡意連結肉眼可見,瀏覽器、防毒軟體也能掃描網址。但 QR Code 是「黑盒子」:

  • 連結不可見:你無法在掃描前知道 QR Code 裡藏的是哪個網址
  • 繞過安全掃描:許多企業郵件過濾系統對圖片中的 QR Code 毫無防備
  • 行動裝置弱點:手機螢幕小,即使跳出連結預覽,也容易因字體太小而忽視
  • 信任感高:實體環境(海報、包裝)中的 QR Code 往往讓人降低戒心
數據: 根據資安研究機構 Keepnet Labs 的報告,2025 年全球 QR Code 釣魚攻擊較 2024 年增長 587%,在所有釣魚攻擊手法中佔比達 12%,並且仍在持續攀升。

2. 2025–2026 年的真實攻擊案例

2.1 北韓駭客組織 Kimsuky 的魚叉式攻擊

2026 年 1 月,FBI 與美國衛生組織(AHA)聯合發出警告:北韓國家支持的駭客組織 Kimsuky 正針對政府機構、醫療單位、學術研究人員發動 QR Code 魚叉式攻擊。攻擊者在電子郵件中嵌入 QR Code,偽裝成 Microsoft 365 登入或多因素驗證請求,一旦掃描即竊取帳號憑證。

2.2 假停車繳費 QR Code

美國多個城市(包括舊金山、奧斯汀)記錄了攻擊者在真實停車繳費機上張貼惡意 QR Code 貼紙,將車主導向假冒的繳費網站收集信用卡資訊。受害者難以察覺,因為外觀與官方一模一樣。

2.3 餐廳菜單 QR Code

攻擊者在餐廳桌上置換合法的菜單 QR Code,或在熱門觀光區散佈假冒的「免費 Wi-Fi」QR Code,實際上導向釣魚登入頁面或自動下載惡意 App。

2.4 包裹通知簡訊

偽裝成郵局、快遞公司的簡訊,聲稱包裹需要重新確認地址或補繳稅費,附上 QR Code。掃描後進入假網站要求輸入個資與信用卡號。

3. 如何辨識惡意 QR Code?5 個檢查步驟

步驟 1:查看 QR Code 的實體狀態

惡意貼紙通常是覆蓋在原始 QR Code 上的,仔細觀察是否有:

  • 邊緣翹起或有膠水痕跡
  • 紙張材質與周圍不同
  • 印刷解析度明顯差異(貼紙 vs. 印刷品)

步驟 2:掃描前先預覽網址

大多數智慧型手機在掃描後會先顯示網址,讓你確認後再跳轉。不要急著點「開啟」,先確認:

  • 網域是否與你預期的服務一致(例如官方停車 App 的域名)
  • 是否使用 HTTPS(雖然釣魚網站也可以有 HTTPS,但沒有 HTTPS 的一定危險)
  • 是否包含可疑的隨機字元、拼字錯誤(如 micros0ft.com

步驟 3:當心短網址

QR Code 中常見短網址(如 bit.ly、t.co),這使得預覽無法直接判斷最終目的地。遇到短網址時,可以先複製並貼到短網址展開工具查看原始網址,或使用URL 工具解碼分析。

步驟 4:確認來源的合法性

  • 電子郵件中的 QR Code:核對寄件者地址,向官方管道直接確認
  • 實體環境:向現場工作人員確認 QR Code 是否為官方設置
  • 意外驚喜 QR Code:收到聲稱是「優惠券」「中獎通知」的 QR Code,直接忽略

步驟 5:掃描後觀察頁面行為

進入頁面後,若出現以下情況應立即關閉並清除快取:

  • 要求輸入帳密、信用卡、身分證號
  • 提示下載未知 App
  • 頁面 URL 與預期服務不符
  • 要求「重新登入」Microsoft、Google 或銀行帳戶

4. 企業與組織的防護策略

若你管理企業的 QR Code 使用(員工識別證、行銷活動、停車場):

  • 使用動態 QR Code:便於追蹤掃描行為,發現異常時可即時停用
  • 定期實體巡查:確認實體環境中的 QR Code 未被替換
  • 標示品牌識別:在 QR Code 中嵌入 Logo,使替換更難以偽裝
  • 員工教育訓練:讓員工了解 Quishing 的危害,尤其是 IT 管理帳號持有者
  • 零信任郵件政策:指示員工不掃描電子郵件中的 QR Code,改用官方連結

5. 如何產生安全的 QR Code?

如果你需要為活動、名片或產品製作 QR Code,應確保連結指向合法的 HTTPS 網址,並定期驗證目標連結是否有效。使用QR Code 產生器可以在瀏覽器本地生成 QR Code,不會將你的目標 URL 傳送至外部伺服器,保護你的連結隱私。

長網址更難偽裝,短網址更方便但也更危險。如果需要縮短 URL,請使用可信任的服務,並搭配短網址工具記錄你自己分發的連結,以便日後追蹤與驗證。

6. Quishing vs. 傳統釣魚:一張比較表

面向傳統釣魚(Email/SMS 連結)Quishing(QR Code 釣魚)
惡意連結是否可見✅ 可以懸停預覽❌ 掃描前不可見
安全過濾系統偵測✅ 大多數郵件閘道可掃描❌ 圖片中的 QR Code 難以掃描
主要攻擊場景電子郵件、簡訊電子郵件、實體環境
受害者警覺程度中(已有認知)低(QR Code 被視為無害)
攻擊成本低(貼紙印製極廉價)
2025 年增長率+15%+587%

7. 小結

QR Code 的便利性正在被攻擊者大規模濫用。記住三個核心原則:掃描前看外觀(有無貼紙覆蓋)、跳轉前看網址(是否符合預期)、輸入前想一想(這個頁面真的需要我的個資嗎)。使用QR Code 產生器為自己的活動製作可信賴的 QR Code,讓你的受眾安心掃描。