【星島綜合報道】多倫多及周邊地區近日出現偽造QR Code詐騙事件,有不法分子將假QR碼貼在共享單車及泊車咪表上,誘使市民掃描後進入釣魚網站輸入個人及信用卡資料,警方及相關機構已發出警告。
借共享單車被要求信用卡資料
事件最早由一名市民Peter Leventis發現。他表示,當時急需使用Bike Share Toronto共享單車,但掃描QR碼時多次失效,其後留意到部分單車上的QR貼紙外觀與正常版本略有不同,上面甚至印有「Scan and Pay」字樣。
他其後追查發現,該QR碼導向一個名為「Direct To App Now」及「ParkPay」的可疑網站,要求用戶輸入車牌及信用卡資料,與Bike Share正常付款流程完全不同。
Leventis其後在東約克Coxwell與Danforth一帶兩個單車停泊站點,發現至少五個偽造QR碼,並已自行移除及通報Bike Share。
Bike Share方面表示,這類「假QR碼」屬釣魚詐騙手法,過去亦曾出現,但多數只是導向音樂播放列表等無害內容,今次首次出現涉及付款及個人資料收集的詐騙網站,情況較為嚴重。
密市咪表現超過80個偽造貼紙
同類偽造QR碼亦擴散至泊車系統。密市政府表示,上周在市中心泊車咪表發現超過80個偽造貼紙,已通報皮爾區警隊調查,並形容是當地首次出現此類事件。
多倫多泊車管理局(Toronto Parking Authority)亦表示,旗下Green P泊車系統亦曾發現類似貼紙,但未有披露數量。多倫多警方則表示,近期在北約克亦接獲至少三宗相關報告,但仍在調查是否屬同一批詐騙行為。
值得注意的是,部分偽造QR碼曾一度導向合法泊車支付平台PayByPhone,但相關公司已澄清與事件無關,並強調任何情況下都不應透過QR碼付款,建議直接使用官方應用程式操作。
專家:避免直接掃描陌生貼紙
滑鐵盧大學(University of Waterloo)助理教授 Kami Vaniea表示,這類「QR釣魚」(quishing)手法近年愈趨普遍,執行方式簡單但難以識別,市民難以分辨真假QR碼,因此呼籲避免直接掃描陌生貼紙,應優先使用官方應用程式內建掃描功能,並在開啟連結前先核實網址真偽。
Kami Vaniea亦提醒,QR碼攻擊成本低、擴散快,一旦貼在公共設施上,容易短時間內造成多人受騙,市民需提高警覺。
(圖:CBC)T08
