列印 QR Code 後就放著不管,是企業最常見——也最危險——的錯誤之一。QR Code 本身是沒有威脅的;風險完全來自它把人們帶往何處。一月份看起來沒問題的目標網址,到了三月可能已被入侵、過期或遭到劫持。任何 QR Code 列印、貼在實體標誌或產品標籤上之前,都應該進行刻意的審查。以下是一份實用的七點檢查清單,你可以在 15 分鐘內完成。
為什麼目標網址是攻擊的關鍵
QR Code 只是一個編碼的字串。掃描器不會像瀏覽器對可疑連結那樣警告用戶,在相機開啟頁面前也沒有視覺預覽。這種組合——機器可讀、視覺上不透明、立即可執行——正是讓 QR 釣魚詐騙(「quishing」)有效的原因。攻擊者要麼交換實體 Code(我們的 QR Code 篡改偵測與防止指南中有涵蓋),要麼在列印後入侵目標。本檢查清單著重於目標端。
七點安全目標檢查清單
1. 確認強制使用 HTTPS
直接在瀏覽器中輸入目標網址。如果網站以 HTTP 載入,或在任何重定向環節重定向到 HTTP,這就是自動不合格。HTTPS 是基本要求,不是加分項。使用 Redirect Detective 或 SSL Labs 等免費工具檢查完整的重定向鏈——某些網站可能在首頁強制使用 HTTPS,但在登陸頁面以純 HTTP 提供。
2. 驗證網域年齡和註冊商
對目標網域進行 WHOIS 查詢。在過去 60–90 天內註冊的網域,如果託管「付款」或「登入」頁面,這是一個紅旗。如果第三方廠商或代理機構為你建立登陸頁面,這一點尤其重要——驗證他們使用的是你認可的既有網域,而非新註冊的仿冒品。
3. 檢查每一個重定向環節
短網址和動態 QR Code 通常會通過一或多個重定向層才到達最終目標。使用重定向追蹤工具確認:
- 沒有中間環節落在與預期不同的根網域上
- 沒有重定向指向 IP 位址而非具名網域
- 最終網址與你預期的網域相符
動態 QR Code 可讓你在列印後變更目標——這對活動來說很強大,如 靜態 vs 動態 QR Code 的比較中所說明——但這種靈活性也意味著每當你更新目標時,都必須重新執行此檢查。
4. 使用網址信譽工具掃描目標
列印前,將最終目標網址貼入至少以下其中一個免費工具:
| 工具 | 檢查項目 |
|---|---|
| Google 安全瀏覽(透過 VirusTotal) | 惡意軟體、釣魚資料庫 |
| URLScan.io | 頁面內容、出站連結、指令碼 |
| PhishTank | 社群回報的釣魚頁面 |
| Sucuri SiteCheck | CMS 惡意軟體、黑名單狀態 |
今天的乾淨結果不能保證六個月後仍然安全——在日曆上設置定期提醒,每季重新檢查一次實時 Code。
5. 在真實行動設備上測試頁面
這一項經常被跳過。在 Android 和 iOS 設備上開啟 QR Code 並觀察:
- 頁面是否載入時沒有憑證錯誤?
- 它是否立即重定向到意外的應用商店或下載提示?
- 它是否在用戶與任何內容互動前要求權限(相機、位置、聯絡人)?
- 頁面是否明顯針對行動裝置格式化,還是看起來像未精心製作的桌面頁面?
意外的下載提示和侵擾性權限要求是受入侵或惡意登陸頁面最常見的兩個信號。
6. 確認目標的所有權
這聽起來很明顯,但卻會讓使用連結縮短服務或嵌入第三方重定向系統的組織踩坑。問自己:
- 目標網域是否已註冊到你的組織(或簽約廠商)名下?
- 你是否擁有託管環境的登入憑證?
- DNS 記錄是否在你的控制下?
如果對其中任何一個的答案是「我不確定」,請在列印前解決。一個你無法快速修改或移除的登陸頁面是一個負債。
7. 記錄和儲存預期的目標
為生產中的每個 QR Code 建立一行簡單的試算表:QR Code ID 或標籤、預期的最終網址、最後驗證日期,以及誰驗證的。每個 Code 只需 30 秒,卻在客戶報告問題時無價。它也給你一個基準——如果實時掃描解析到與記錄不同的網址,你會立即知道有所改變。
將此整合到你的工作流程
如果你使用具有掃描分析功能的 QR Code 平台,你可以在此目標檢查清單上分層加入行為檢查:監控掃描量的突然下降(用戶在登陸後放棄)或地理異常,這可能表示機器人活動或受入侵的重定向鏈。
對於大量生成 Code 的團隊,考慮讓此檢查清單成為任何列印訂單批准前的必需簽核——類似於校對人員如何審查文案。
關鍵要點
- QR Code 本身不是風險——目標網址才是。
- 總是追蹤完整的重定向鏈,不只是表面網址。
- 在每次列印前檢查 HTTPS 強制、網域年齡和網址信譽。
- 在實際行動設備上測試——憑證錯誤和流氓下載提示只會在那裡出現。
- 記錄每個實時 Code 的預期目標,並安排每季重新驗證。
- 動態 Code 提供靈活性,但每次變更目標時都需要重新驗證。