駭客鎖定Qr Code、定位、CAPTCHA三種釣魚手法

資訊安全》駭客鎖定Qr Code、定位、CAPTCHA三種釣魚手法｜天矽網頁設計

以往，駭客常使用「假網站」或「假EMAIL」誘導使用者提供敏感資料，隨著民眾危機意識逐漸提升，駭客使用的釣魚手法也愈來愈新穎，近期新型的網路釣魚手法，駭客會使用Qr Code、定位、CAPTCHA這三種方式進行詐騙攻擊，本篇文章將予以說明。

隨著民眾或企業逐漸提升資安意識，駭客的釣魚手法也持續再進化，近期新型的釣魚手法不再僅限於「假網站」或「假EMAIL」，而是鎖定Qr Code、定位、CAPTCHA這三種方式進行詐騙攻擊。

駭客運用民眾習以為常的習慣，透過民眾平常使用的Qr Code、定位或CAPTCHA降低民眾戒心，殊不知，駭客卻進化以這三種方式為主的新型釣魚手法！

以下說明鎖定Qr Code、定位、CAPTCHA的釣魚詐騙：

駭客運作方式：

駭客將釣魚連結隱埋在Qr Code，許多電子郵件過濾機制無法「辨識」QR Code的圖像，進而規避偵測。民眾掃描Qr Code常直接開啟連結便進入網站，若沒有進一步求證，或是看到與官方極相似的畫面，就可能直接輸入信用卡號或敏感資訊。

駭客運作方式：

駭客先依據受害者的地理位置、瀏覽器設定、或系統細節等進行辨識，若受害者符合駭客的攻擊目標，就會被導引至釣魚網站。例如：「提醒您，您在台北市的停車費尚未繳清」、「桃園市警局通知：您有未處理的罰單」，也就是假冒地方政府進行詐騙。

駭客運作方式：

駭客透過CAPTCHA驗證碼作為刻意規避步驟，而這些驗證碼會阻擋漏洞掃描器、這是因為攻擊者運用CAPTCHA頁面包住釣魚流程，使得資安工具無法偵測內容。

駭客詐騙手法不斷精進，民眾防不勝防，只能採取主動預防。本篇文章介紹的Qr Code釣魚、定位釣魚、 CAPTCHA釣魚三種進化手法，民眾或企業可參考以下應對方式：

釣魚手法	應對方式	說明
Qr Code	避免隨意掃描公共場所(陌生)的Qr Code	例如：停車場
	檢查掃碼後顯示的網址	掃碼後不要馬上點開網址，先檢查網址是否為官方網域
	使用官方掃碼	若是政府、知名電商或銀行，使用官方提供資訊掃碼
定理定位	勿輕信與地點相關的繳費通知，應保持警惕	例如：您在台北市的停車費尚未繳清
定理定位	查核發件人的資訊或連結網址	如有聲稱是官方人員，應進一步核對域名或電話是否為真實(可向165查證)
CAPTCHA	CAPTCHA ≠ 安全認證	不是所有CAPTCHA頁面都是安全的，還是需確認頁面網址例如：bank.example.com vs. bank-login-security.xyz
CAPTCHA	使用安全瀏覽器或可信任的擴充套件攔截可疑CAPTCHA網站	例如：Bitdefender Traffic Light https://www.bitdefender.com/zh-tw/consumer/trafficlight