自 COVID-19 大流行帶動 QR code (二維碼)的使用,據金融時報(Financial Times)報導,銀行和監管機構近日示警,有越來越多的「網路釣魚」(quishing)或二維碼網路釣魚的新型詐騙正在突破企業資安防禦,誘騙其客戶洩漏其財務資訊或個資。
包括桑坦德(Santander)銀行、滙豐銀行(HSBC)和 TSB 在內的貸款機構都已加入英國國家網路安全中心(UK National Cyber Security Centre)和美國聯邦貿易委員會(US Federal Trade Commission)等機構的行列,並對透過 QR code 日益增加的詐欺活動表示擔憂。
據報導,新型電子郵件詐騙通常涉及犯罪分子在附加的 PDF 中發送二維碼,由於企業資安軟體只會紀錄惡意網站的鏈結,但不會掃描郵件中的附加檔案的圖像。專家和反詐欺管理人員均表示,很難估計「二維碼網路釣魚」的攻擊所帶來的成本,且此類電子郵件可能只是更大規模的網路攻擊中的一部分。
IBM 的研究發現,這類新型電子郵件「網路釣魚」(phishing)攻擊,對企業來說成本將越來越高,並估計到 2024 年,全球資料外洩的平均成本將上升近 10%,達到 490 萬美元。
雖然大多數智慧型手機都會顯示掃描二維碼中包含的 URL 的簡短預覽,但「彈出視窗」通常不足以讓用戶辨識鏈結是否有詐。
安全軟體公司 McAfee 於 5 月發布的一項調查顯示,英國超過五分之一的網路詐騙可能源自二維碼。
Action Fraud 指出,截至 2024 年 8 月,英國二維碼詐騙報告數量增加了一倍以上。
美國聯邦貿易委員會以及英國多個地方當局今年也對一種針對司機的特定「quishing」或 QR code 網路釣魚發出警告,包括將用於支付停車費的合法二維碼被貼上引導用戶前往詐騙網站的貼紙,進而要求他們輸入個資、帳戶資訊或引導他們下載惡意軟體等。
研究人員表示,「quishing」詐騙最常出現在電子郵件中,這種威脅迫使企業的資安供應商調整其網路防護的壓力。