台北捷運忠孝復興站往Sogo的連通道，有個很吸引人的沖繩旅遊大型廣告，上面印著QR code吸引手機族注目，拿起Google Android手機掃描，竟然連往俄羅斯色情網站、並且下載可疑的browser_update.apk 程式？！

這不是駭客電影情節，而是真實發生在今年228連假，筆者親歷的狀況。這次台灣首見QR Code 駭客攻擊案例，並且抓準民眾相信實體廣告的QR Code，不會有所遲疑，掃描後直接就開啟。無獨有偶，大陸也陸續傳出有駭客，鼓催網友掃描二維條碼可拿網購優惠，使用者沒留意狀況下，安裝了木馬的apk，甚至還有掃了QR Code被盜走了手機銀行帳戶存款的案例。

一項新科技應用，遇到了駭客注目，難免會影響消費民眾的使用信心，特別是目前已經有電信商、公益組織、購物業者，開始流行使用QR Code做O2O的手機購物或公益捐款事宜。本著鍵盤柯南精神，開始著手研究此次QR Code攻擊手法是怎麼發生的，在本文後段，提出QR Code 資訊安全管理，以及行銷建議方案，提供給網路廣告行銷業、網購業、電信商、電視與平面媒體領域朋友參考。

解析QR Code 的駭客攻擊模式

該QR Code掃描後，一開始連接到正常的旅遊活動網址（ www.???.com.tw），接著Android 手機瀏覽器被轉址到 http://fileso.com/browser_update/....browser_update.auto  的網址，同時又驅動疑似下載app的行為：http://fileso.com/browser_update/....browser_update.apk ，手機用戶開瀏覽器時，看到browser字眼還以為是正常網址。接著網頁就被轉到俄羅斯一個色情網站首頁。若改用iPhone 掃描，則會引導到一個俄羅斯語系的網頁，輸入手機號碼後，就可以下載ipa檔 (iPhone App檔案)。

改用桌機電腦連接該旅遊網址時，竟顯示正常旅遊活動內容。代表這駭客做了很高竿的事：依照不同瀏覽器的User Agent來做不同導網址的行為。下面是使用Chrome瀏覽器所做的手機連線細部分析。

細部分析這些細膩的攻擊手法，讓我們學習到3件跟資安管理有關的事：

(1) 駭客抓住消費者心理。掃描一個QR Code後，進行下載app，是一個常見的使用情境。因此從駭掉QR Code網站，引導下載 app，不知情使用者將輕易上當。

(2) 駭客抓住網站管理員的維護習慣，只針對手機用戶來做攻擊，而讓網站管理人員不易發現。如此網站管理員即使每天用桌面電腦檢視網頁，也不易發現此問題。

(3) 從此次攻擊發現，駭客在技術上可以做到把銀行、網購、航空公司或各類QR Code轉址到假APP下載。如果手法更為強烈，是可以搭配APP市集並不一定需審核可上架，導致使用者基於相信企業官方QR  Code而導致在合法的APP市集，下載假app，乃至輸入真實的個資帳密的危害事件發生。

手機使用者怎麼因應？

1. 辨識連結網址合理性：QR Code 掃描後會看到一串網址，在還沒有正式打開瀏覽器前，都可以達到預防。若看到網址怪異，建議不要打開。

2. 辨識品牌官方網站是否有奇怪轉址：正常來說，官方品牌網站不該有多層次的轉址。「Call Saver APP防駭通」可幫助抓出往下兩層的轉址，藉以辨識是否可能被駭客攻擊。

3. 品牌APP的QR Code：看到大型廣告，如果該QR Code廣告不是一體成形，而是額外黏上，建議不要掃描。此類攻擊案例雖未出現，但技術卻比駭掉網站更為容易。

4. 如果掃描QR Code後驅動下載app行為，請務必留意只到官方的Goolge Play、App Store下載，同時查看下載量與評價是否熱門。

使用QR Code做廣告宣傳的業者怎麼因應？

便利與安全永遠是一個取捨平衡難題，但如何讓APP生態系更為健全，提昇用戶信心，我們提供幾項建議供相關領域朋友參酌，很歡迎大家若有遇到各類心得，與我們交流討論更好的方法：

1. 在印製QR Code的宣傳文宣上，告知會連接的網址是什麼，這樣消費者可交叉比對掃描後的網址是否如文宣所示。

2. 用短網址產生的QR Code的好處、缺點與建議

用短網址來產品QR Code有不少好處，比如說短網址服務通常都會提供點擊追蹤/統計的功能。而且短網址因為資訊量少，產生出來的QR Code會比較簡單，掃描成功率會比較高。但是也有不少缺點：比如說，短網址一般都是隨機產生的字串，使用者很難看出來連過去會是一個什麼樣的結果，所以會對轉換率有一定的影響。

短網址還有另一個使用者經驗上的問題：如果短網址目的是引導下載APP，Android手機在安裝了多套瀏覽器時，短網址將會增加開啟點選的步驟。一開始會要使用者先選一個瀏覽器，在短網址服務轉址過後，會再跳窗問是否要用Play Store開啟，冗長的操作往往也會降低轉換率。

如果真得用縮網址，可考慮使用提供自定短網址的服務，如http://x.co或是 http://smarturl.it，讓使用者在掃完QR Code看到網址後，比較能知道接下來要去的網址是跟看到的品牌名稱相關，使用者會比較有信心點擊。 . 譬如我們用 QR Code對應的 http://smarturl.it/CallSaver 放在Call Saver海報，使用者掃描後，會依照桌面電腦、以及Android、iPhone分別導向不同的網址。如此也降低我們去維護QR Code 主網址的安全性負擔。

1. 適合行動裝置瀏覽（Mobile Friendly） 的網頁

坊間很多QR Code，掃描點進去後卻是桌面型網頁，用手機瀏覽器非常不容易閱讀。從使用者經驗角度來看，想使用QR Code引導使用者到自家網站，行動版網頁是必須的。如果沒有足夠資源自行打造行動版網頁，可以考慮使用一些對於行動裝置存取支援度很高的內容管理系統(Content Management System)，像是wordpress。或是也可以將QR Code連結到臉書粉絲頁，在粉絲頁裡傳達要表達的訊息。然後讓臉書系統幫忙處理行動頁面優化的部分。

1. 資訊安全管理的監控

(1) QR Code對應的入口首頁最重要，可使用免費的網站工具，從本機來做首頁的完整性檢測（Integrity Check），隨時監測是否有被植入惡意程式碼。

(2) 此次的駭客攻擊手法，可以從伺服器端設定修改轉址，因此寫一個監測工具是有必要的，分別模擬桌機、Android與iPhone的瀏覽器，偵測是否有發生異常，並提出警告。

(3) 對於伺服器主機、應用套件，必須持續保持最新的安全版本更新，避免駭客利用系統漏洞就鑽進來。

[作者] 張朝騏、魏孝丞為Call Saver共同創辦人。張朝騏來自麻省理工學院媒體實驗室 (MIT Media Lab)、創辦 flirq交友網站。魏孝丞曾獲Google 首屆Android全球競賽得獎（ADC）、Google Application Security 官網頒發Reward Recipients與 Honorable Mention ，另具有ISO 27001 Lead Auditor。Call Saver致力於開發本土實用APP，已獲多家電信商、金融業、網購業、優質媒體的合作案。

[徵集] 讀者投稿Guest Post
1. 稿件主題和科技領域相關，闡述個人觀點或分享實用工具，不做人身攻擊、不違反事實、不侵犯智慧財產。
2. 投稿文章長度約在1000字左右。文章中若有圖片，請以附加檔案方式一併寄送。
3. 請在投稿信件中提供投稿者姓名、簡介和連絡方式。
4. 投稿請寄到：web@bnext.com.tw，並在email主旨註明為「數位時代網站Guest Post投稿」。
5. 文章經編輯群審核後，將會刊登在數位時代官網。刊出後，我們會將文章連結寄給您。您的文章會隨數位時代網站RSS，分享給各地華文讀者群。