QRL劫持：劫持採用 QR Code 的登入手法，並應用在微信 & Whatsapp 竊取帳號權限

QRL劫持的原理如下：

• 攻擊者首先精心製作一個網絡釣魚頁面，釣魚頁面獲取真實頁面的QR碼。
• 攻擊者將釣魚頁面發送給受害者。
• 受害者使用特定目標移動應用掃描QR碼。
• 攻擊者後台獲得受害者帳戶的認證鏈接。
• 攻擊者打開認證鏈接後直接控制受害者的帳戶權限。

案例 :

在街上有1張宣傳海報，上面有1個QR碼，指明需要使用Whatsapp內置的QR碼掃瞄，才能獲得購物優惠。

受害者因好奇，就按宣傳海報上的要求去做，但發現QR碼並沒有甚麼反應，接著受害者的Whatsapp帳戶，就被攻擊者套取帳戶的管理權限，並盜用受害者的身份，與他的所有聯絡人進行各種詐欺行為。例如 : 買點數卡等。

最後，受害者就算報警處理，警方也沒有辦法跟進。

相關新聞 :

網絡安全及科技罪案調查科署理警司劉嘉豪表示，騙徒會假扮親友哄對方披露載有WhatsApp驗證碼的短訊內容，以騎劫其WhatsApp帳戶，再一傳十、十傳百行騙，他說：「一個帳號被騎劫，可以衍生很多宗騙案，一邊利用事主的電話簿繼續騎劫更多帳戶，一邊呃事主的親友買點數卡，再轉售圖利。」網絡安全及科技罪案調查科警司曾雅詩指，去年至今年首季有799名受害人，744人都被騙買遊戲點數卡，損失金額由128元至逾43萬元不等，有9宗則被騙取金錢，46宗則由自己或親友帳戶被盜用，並無損失；而近800名受害人中，以51至60歲年齡群組最多，佔28%，而41至60歲以上已佔64%，曾雅詩相信騙徒利用事主愛家人的心理而行騙，提醒市民勿向他人提供WhatsApp驗證碼，一旦收到親友要求購買點數卡的訊息時，亦宜先向親友求證，以及啟用WhatsApp「雙步驟認證」功能，又呼籲便利店職員如發現有顧客大額購買點數卡，可著對方「停一停、諗一諗」。

新聞來源 : https://topick.hket.com/

有興趣知道更多?

留下資料只需要1分鐘