手機掃碼支付小心3大詐騙手法

台灣Pay QR Code周二上路金管會嚴控

2017年09月17日

隱藏風險
【廖珮君╱台北報導】手機掃碼支付（QR Code）盛行，但快速交易，卻隱藏極大的交易風險。據銀行公會委外的一份調查研究顯示，國外QR Code掃碼支付詐騙案頻傳，又以中國最盛，詐騙手法包括將QR Code竄改、偽造及覆蓋到詐騙帳戶，或連結到惡意程式網站2大類型為主，藉此竊取個資或金錢。

如中國詐騙集團偷偷置換商家的QR Code，誤導民眾付款到詐騙帳戶，甚至將惡意程式置入連結網站，藉此竊取個資，連最流行的「共享單車」都淪陷。據調查顯示，光QR Code遭竄改、偽造或覆蓋及連結到惡意程式網站，這2大詐騙手法，讓中國詐騙集團得手超過近千萬元，或利用竊取的個資，來換取更大商業利益。

偽造誤導消費者

為維護國內QR Code掃描支付安全性，金管會日前要求銀行公會擬定「QR Code安控規範」，包括QR Code需專碼專用、以及採「被掃」（被商家掃碼槍，掃民眾手機條碼）模式時，限一次使用時效等。
目前行動支付（手機信用卡）可分成「感應支付」和「掃碼支付」兩大市場；前者如Apple Pay，後者如街口支付，但民眾須先下載App錢包才能「掃」。
為搶攻掃碼支付市場、迎戰國際支付，財政部本周二要出面號召公股行庫，推出「台灣Pay QR Code」，透過統一QR Code規格搭配網路銀行，綁定金融卡，讓民眾一機就可「掃盡」各式商店代碼，完成購物、繳費和轉帳等。
但掃碼支付的快速、又方便的交易模式，卻常因使用者輕忽QR Code應用的風險，而成為不肖人士詐騙的漏洞。據銀行公會委託會計師事務所的一份調查研究，以國外10大QR Code掃碼支付詐騙案為例，來提醒掃碼支付風險。
據該調查，國外掃碼支付的詐騙類型主要有3大類，1是QR Code遭竄改、覆蓋或偽造，2是QR Code強制連結惡意程式，3是利用商家或民眾的輕忽而詐騙。

共享單車也受害

銀行主管說，QR Code遭竄改、覆蓋或偽造，多是不肖人士利用民眾無法直接辨識QR Code的真偽，使用假的QR Code誤導消費者。例如偽造QR Code標籤在商家付款、或是共享單車上，誤導民眾掃了假的QR Code「錢就流入詐騙帳戶」。
至於QR Code強制連結惡意程式，多是利用民眾愛貪小便宜的心理，給免費影片或電影票，誘導民眾主動點選假的QR Code，或是利用手機作業系統的漏洞，進入詐騙網站後，在民眾手機強制安裝病毒程式，藉此竊取龐大個資。
其他詐騙案例，還包括不肖人士以假的支付畫面取信商家，或欺騙民眾扣款失敗、使民眾重複掃碼扣款付費多次等。
QR Code是二維條碼的一種，為矩陣式黑白相間的點狀或條狀圖形，可以表示文字、圖形及聲音等資訊，也因具有容量大、可靠性高及資料完整性等特性，近年被廣泛運用在支付交易。