马年资安　「码」虎不得

　　2026丙午马年，我们已身处在万「码」奔腾的环境。从餐厅点餐、公车站牌资讯到公司门禁，QR code强大的便利性，改变了现代人的生活节奏。仅仅几公分的网格结构与网址连结，无法以肉眼分辨其安全性，诈骗集团正是利用此资讯不对称的特性，发动Quishing（扫码钓鱼）的攻击。那一秒钟的自动跳转，就可能让当事人的个资与财产安全陷入风险。本期「资讯网」提醒您保持警觉，运用四个方法打造专属的数位防弹衣。

---

入境扫码的警示

　　针对媒体报导海外旅客扫码填写入境表遭诈的传闻，虽已经澄清为不实谣言，但类似的诈骗手法在网路世界仍层出不穷。诈骗者可能透过伪造的搜寻结果或社群广告，引导目标对象点击形似官方版本的假网站，并要求支付规费。因此，即使是政府机关或机场等资安防护程度较高的公共场域，也应优先从官方管道进入服务网页。对于狸猫换太子的数位陷阱，保持适度的怀疑与查证，是保护财产的第一道防线。

 

当快递惊喜变成资安惊魂

　　除了公共空间的风险，居家生活也备受威胁。结合QR code的进阶版诈骗手法Brushing scam（刷评诈骗），近期在全球构成威胁。受害人在家门口收到一份陌生的小包裹，内容物为廉价饰品或生活小物，并附上一张印有巨大代码的感谢卡，特别註明「扫码即可领取高额回馈金或礼券」。一旦扫描卡片上的代码，手机可能会被诱导安装恶意档案或病毒程式，造成个人简讯、网银验证码遭到监控或窃取。此种利用人类好奇心与贪小便宜弱点，结合实体物件降低心理防备的诈骗手法，很容易让人防不胜防。

 

披着长官外衣的创群指令

　　在办公室，高阶主管的紧急邮件总是令下属感到压力倍增。因此，诈骗者根据企业公开资讯，伪造负责人或高阶长官的姓名与邮件，以紧急专案或会计对帐为由，指示员工立即建立特定的LINE群组，并要求回传群组的加入连结或QR code。这是一道极为隐蔽的资安陷阱，目的在于转移防御阵地，诈骗者一旦取得代码，等于免费获得一张进入公司通讯圈的数位门票，能藉此切断公司的资安系统侦测与备份机制。

　　在邮件系统内，任何异常的匯款请求都可能被拦截或留存证据，然而，当对话转移到私人通讯软体，防护网便出现了死角。骇客会在群组中，利用伪造的长官头像与威权语气，让同仁在压力下，轻易执行了错误的匯款指令。

　　请记住，公司正式的财务流程绝不会透过私人通讯软体下达转帐指令，任何要求扫码加群、私下匯款的要求，百分之百是诈骗。

 

打造专属的数位防弹衣

1. 实体验证与多重核实：若收到长官或行政单位的扫码指令，务必先透过公司内部工具（如分机、Teams或现场确认），以判断来源的真实性。凡是要求转移到LINE或离开公司通讯渠道的要求，皆应视为高度风险信号。
2. 物理检查与预览网址：扫瞄公共场所的代码前，先观察是否为贴纸覆盖在原有的印刷品上。扫瞄后，应使用手机相机的预览功能，仔细确认网址（URL）。若网址包含杂乱字元、短网址，或与该机构官网不符，请勿点击。
3. 坚守个资与权限关卡：单纯的资讯查询、点餐或加入工作群组，绝不需要输入Apple ID、Google密码或银行验证码。任何要求登入帐号或提供二次验证码才能观看的内容，极大机率是诈骗。
4. 帐单与手机状态盘点：养成定期查看信用卡即时消费通知的习惯，若扫码后，手机出现异常耗电、运作缓慢，或收到不明的App授权请求，应立即开启飞航模式、更换重要帐户密码。若涉及金流损失，请马上挂失，并拨打165专线，寻求法律与防诈指引。

 

保持马不停蹄的警觉心

　　QR code缩短了实体与数位的距离，是一项伟大的发明，不过，享受其便利的同时，也要多留一份停、看、听的心思，毕竟在技术迅速更迭的2026年，诈骗手段也马不停蹄地变化。保持适度的怀疑与求证，就能避免成为下一个新闻的主角。

 

*图片来源：freepik

#