Mengimbas kod QR itu boleh menyebabkan anda terdedah. Inilah cara untuk melindungi diri anda

Anda mungkin mengimbas kod QR minggu ini tanpa berfikir dua kali. Mungkin ia berada di meja restoran, meter tempat letak kereta atau lencana persidangan. Petak berpiksel ini telah menjadi begitu tertanam dalam kehidupan seharian sehingga kebanyakan orang melayannya dengan kepercayaan kasual yang sama seperti papan tanda jalan. Tetapi tidak seperti papan tanda jalan, kod QR boleh mengubah hala anda ke mana-mana — dan semakin hari, penjenayah siber mengeksploitasi kepercayaan buta itu untuk mencuri bukti kelayakan, memasang perisian hasad dan membuang akaun bank. FBI mengeluarkan amaran awam tentang kod QR yang berniat jahat pada tahun 2022, dan masalah itu semakin meningkat sejak itu. Pada tahun 2025 sahaja, serangan pancingan data berasaskan QR — digelar "quishing" — melonjak lebih 400% berbanding tahun sebelumnya. Jika perniagaan anda bergantung pada kod QR untuk interaksi, pembayaran atau operasi pelanggan, memahami ancaman ini bukan pilihan.

Cara Serangan Kod QR Sebenarnya Berfungsi

Kod QR hanyalah format yang boleh dibaca mesin untuk pengekodan URL atau data lain. Apabila anda mengimbas satu, telefon anda membuka apa sahaja pautan yang dibenamkan — dan di situlah bahayanya. Penyerang mencipta kod QR yang menunjukkan halaman pancingan data yang meyakinkan yang direka untuk mendapatkan bukti kelayakan log masuk, butiran pembayaran atau maklumat peribadi. Oleh kerana mata manusia tidak dapat membaca URL yang dikodkan sebelum mengimbas, tidak ada petunjuk visual bahawa ada sesuatu yang tidak kena.

Kaedah serangan yang paling biasa ialah penggantian fizikal. Penjenayah mencetak kod QR berniat jahat pada pelekat dan meletakkannya di atas pelekat yang sah — pada meter letak kereta, khemah meja restoran atau papan kenyataan awam. Mangsa mengimbas apa yang mereka percaya sebagai kod yang dipercayai dan mendarat di halaman pembayaran palsu atau skrin log masuk. Di Austin, Texas, polis menemui pelekat QR palsu pada lebih 30 meter tempat letak kereta awam dalam satu operasi, mengubah hala pemandu ke portal pembayaran palsu yang menangkap nombor kad kredit mereka dalam masa nyata.

Serangan yang lebih canggih membenamkan kod QR dalam e-mel pancingan data, invois PDF dan juga mel fizikal. Oleh kerana penapis keselamatan e-mel direka untuk mengimbas pautan dan lampiran berasaskan teks, imej kod QR sering memintas pertahanan ini sepenuhnya. Firma keselamatan Abnormal Security melaporkan bahawa 89% daripada e-mel pancingan data kod QR mengelak daripada penapis e-mel tradisional semasa ujian — jurang yang dieksploitasi secara aktif oleh penyerang terhadap perniagaan dari setiap saiz.

Kerosakan Dunia Sebenar: Lebih Daripada Kata Laluan Yang Dicuri

Akibat daripada serangan quishing yang berjaya melampaui kata laluan yang dikompromi. Dalam konteks perniagaan, seorang pekerja yang mengimbas kod QR berniat jahat semasa rehat makan tengah hari boleh memberi penyerang bertapak ke dalam sistem korporat. Dari situ, pergerakan sisi melalui rangkaian dalaman, penggunaan perisian tebusan dan exfiltration data menjadi kemungkinan sebenar. Kos purata pelanggaran data mencecah $4.88 juta di seluruh dunia pada 2024, menurut laporan tahunan IBM.

Bagi perniagaan kecil dan sederhana, impaknya amat dahsyat. Seorang pemilik kafe di Manchester mendapati bahawa seseorang telah menggantikan kod QR pada setiap meja dengan palsu yang mengubah hala pelanggan ke halaman pembayaran yang diklon. Pada masa penipuan dikenal pasti tiga hari kemudian, lebih 70 pelanggan telah memasukkan butiran kad mereka ke dalam tapak penyerang. Kerosakan reputasi mengambil masa berbulan-bulan untuk pulih - jauh lebih lama daripada kerugian kewangan.

Terdapat juga ancaman kod QR yang semakin meningkat yang mencetuskan muat turun automatik apl berniat jahat, terutamanya pada peranti Android. Apl ini boleh menangkap ketukan kekunci secara senyap, mengakses kenalan, memintas kod pengesahan dua faktor, dan juga mengaktifkan kamera dan mikrofon. Satu imbasan, kurang daripada dua saat tindakan, boleh menjejaskan keseluruhan peranti.

Mengapa Perniagaan Adalah Sasaran dan Vektor

Perniagaan menghadapi risiko dua hala. Di satu pihak, pekerja mengimbas kod QR yang tidak diketahui mewakili ancaman masuk kepada keselamatan syarikat. Sebaliknya, perniagaan yang menggunakan kod QR untuk tujuan menghadapi pelanggan — menu, pembayaran, borang maklum balas, akses Wi-Fi — tanpa disedari boleh menjadi vektor untuk serangan apabila kod tersebut t

Frequently Asked Questions

What is QR code phishing (quishing) and how does it work?

QR code phishing, known as quishing, occurs when cybercriminals replace legitimate QR codes with malicious ones that redirect users to fake websites. These fraudulent sites mimic trusted brands to steal login credentials, financial information, or install malware on your device. Attacks commonly target parking meters, restaurant menus, and event materials where people scan without hesitation, making it one of the fastest-growing cyber threats today.

How can I tell if a QR code is safe before scanning?

Always preview the URL your phone displays before opening it. Look for misspellings, unusual domains, or shortened links that hide the true destination. Avoid scanning QR codes on stickers placed over original codes, as this is a common tampering method. Use your phone's built-in camera rather than third-party scanner apps, and never enter passwords or payment details on a site reached through an unfamiliar QR code.

Can businesses protect their customers from fake QR codes?

Yes. Businesses should use branded, dynamic QR codes with custom domains so customers can verify authenticity. Regularly inspect physical QR codes for tampering and rotate URLs when compromise is suspected. Platforms like Mewayz offer a 207-module business OS starting at $19/mo that includes secure link management and branded digital touchpoints, reducing reliance on exposed physical QR codes altogether.

What should I do if I accidentally scanned a malicious QR code?

Immediately close the browser tab without entering any information. If you already submitted credentials, change those passwords right away and enable two-factor authentication on affected accounts. Run a security scan on your device, monitor bank statements for unauthorized charges, and report the fraudulent QR code to the business whose code was spoofed and to the FTC at ReportFraud.ftc.gov.

Related Posts

• Bagaimanakah Windows 95 mendapat kebenaran untuk meletakkan video Weezer 'Buddy Holly' pada CD?
• Paragon secara tidak sengaja memuat naik foto panel kawalan perisian pengintipnya
• DBASE pada Kaypro II
• Perlumbaan Oscar semakin hangat apabila 'Sinners' memenangi hadiah utama di SAG Actor Awards