当心实联制QR Code扫码诈骗！刑事警察局：目前未接获案例，预先宣导提醒，店家与民众都要注意最新消息

随着-推动的统一“简讯实联制”，健保署也建议各公务机关、餐饮业者、店家或卖场等，尽速完成申请。而NCC在6月9日指出，三周以来的简讯实联制发送量已达3亿则。（图片来源：卫生福利部官网）

因应防疫，现在全台店家或场所为了落实实联制，除了纸本登记之外，提供QR Code扫码，让民众完成足迹资料登记也成常态。不过，刑事警察局与165反诈骗在6月初宣导，提醒商家与民众注意张贴的QR Code图样安全性，因为这些被置放在商家的QR Code纸张公告，存在着被有心人士置换的可能性，若不幸被替换，将对扫描条码的顾客带来资安风险。

是否国内出现这样的攻击案例？刑事警察局强调，目前并未接获民众通报相关事件，但随着实联制QR Code应用的普遍，一些民众因需求出入这些场合，可能每天要扫描数次，因此，警方在防疫期间，也趁机让民众认识相关的资安风险。

实联制简讯发送量已达3亿则，165反诈骗向店家与民众宣导3个注意事项

5月19日行政院推出全国统一的“简讯实联制”，结合电信业者简讯发送机制及1922，让民间业者申请QR Code后，可以在商家门口贴出，让出入的民众透过扫码、点选连结，与发送简讯方式，就能完成足迹资料登记。实施三周以来，NCC在6月9日表示，简讯发送量达3亿则，先前已编列预算8亿元的最低维护成本，因此电信业者不会向民众收取费用，

这样的应用虽带来了方便，可以让民众使用自己的手机完成实联制，做到零接触，商家也不用自己准备后台，申请服务打印张贴QR Code即可，-透过电信业者1922专线记录足迹，也更有效率，并减少店家要保管足迹资料、28天销毁的作业麻烦。

不过，这样方便的机制可能被有心人士滥用，对此，刑事警察局在5月先向国内媒体提到此事，后在6月初于165全民防骗的脸书粉丝专页公布3个注意事项。

首先，是商家需要注意的事项，张贴于门外的QR Code，需要不定期检查是否遭人更换掉包，注意张贴连结的正确性，并在非营业时间将连结公告收入店内保管，其次，是民众扫描后点选传送简讯时，要注意简讯传送的号码是否为1922。同时，警方也说明了可能的诈骗情形，包括出现短网址要求下载，引导至其他付费连结与非1922的号码。

为何店家张贴的QR Code被掉包，会有资安风险？刑事警察局虽未详细说明，这其实是大众应具备的基本资安观念，但有些民众可能不了解或容易忽略，同时，我们也进一步询问刑事警察局科技犯罪防制中心主任林建隆，以了解这次宣导用意，以及为何外界传出已有这样的攻击案例。

简单来说，民众基于信任店家，扫描所张贴的QR Code，但若遭中间人攻击，也就是有心人士偷偷更换了恶意QR Code，让你误以为还是原本店家所张贴，此时，民众就有可能被引导到恶意网站。

事实上，这样的攻击情境，过去几年不少资安业者就已经指出，不论实体店面张贴的QR Code，还有网络上出现的QR Code，都同样有被窜改的风险要注意。这其实也与短网址的状况类似，因为，民众看到一个QR Code（或短网址）时，并无法直接看出其作用与连结的真实网址。

对此，林建隆表示，对于一般商家而言，可能在张贴实联制QR Code后，就不会再去注意，或是容易忽略遭掉包的问题，因此他们希望能够主动预先提醒，避免等到事件发生后才被动警告。

同时，对于扫描QR Code后的资安风险，当作用是启动简讯传送，也有要注意的环节。警方过去就曾调查过利用高资费电话的诈骗，诱使民众拨打高资费电话以图利，导致用户不慎被收取高额电信费用，而林建隆也表示，由于他身边朋友就有发送实联制简讯时传错简讯号码的经验，因此，为避免不肖分子可能利用相关诈骗样态，他也特别提醒，民众要确定传送对象是免费的专线1922。

综合来说，在这次刑事局警察局的提醒中，商家与民众应要了解QR code的方便与风险，并认知到有被不肖分子替换的可能性，虽然警方目前尚未接获这类情事，然而，一旦发生将引起社会动荡，因此提醒民众应建立基本资安风险认知，可以早些察觉异常让自己不上当，进而也能及早通报，避免事件扩大导致影响众人。