行動商務爭取消費者信任 QR Code安全性不可少

值得注意的是，該ISTR報告統計顯示有五成使用者習慣將檔案存放在行動裝置上，其中有超過二成的用戶習慣將工作與私人檔案存在相同雲端儲存，但是只有50%會使用基本資安防護措施，由此不難發現，行動裝置方面的安全性意識仍待加強。

▲根據賽門鐵克第19期全球網路安全威脅報告（Internet Security Threat Report，ISTR）統計數據，每瀏覽的八個網站中，就有一個網站含有未經修補的重大弱點。（資料來源：www.symantec.com）

而零時差漏洞攻擊之所以成為駭客慣用手法，台灣賽門鐵克首席技術顧問張士龍認為，普遍存在網頁安全漏洞可說是助長的關鍵。他指出，每人每天瀏覽八個網站中，即有一個網站含有未經修補的重大弱點。在此報告中分析顯示，77%的網站其頁面內容含有漏洞，其中有近16%的網站漏洞被列為重大。由此數據亦可預期，經由網頁發動的攻擊行為將持續成長。

認證搭配標章 協助用戶識別網站的安全性

為了提升網站安全性，像是Google、Facebook等知名網站，皆已陸續增添Https加密。台灣網路認證（TWCA）產品經理陳柏翰認為，歐美國家資安意識較高，相當重視隱私權，網站服務業者承受不少來自用戶的壓力，即使是關鍵字搜尋也必須以Https加密傳輸。「使用者只要在網址列輸入Https即可連線，不影響原有操作行為。唯一的差別是網址列上顯示一個鎖頭或鑰匙，出現了就表示連線已是SSL加密。」

其實為了不干擾使用者的連網行為，網站認證成功的標示圖形亦設計得不明顯，因此常被忽略，一般使用者也不清楚鎖頭圖示所代表的意義。「網路認證標章的意義即在於此，可成為輔助識別的工具。」陳柏翰強調，只要在網頁上放置一個特定的Logo，並建立使用者對於該圖形與安全連線的關聯性記憶，即可讓辨識變得更為直覺，例如人們看到TWCA的標章即可知道該網站已啟用SSL加密保護。

TWCA所設計的標章為動態。坊間也有設計為靜態圖示的標章，會有被盜用的潛在風險；動態驗證標章，除了有動態文字資訊，還有燈號設計，當網頁被連線存取時，會自動到TWCA查詢憑證狀態，萬一網站有問題或被冒用，燈號即顯示為紅燈。但若最初的標章設計只是單純圖檔顯示，即可能會遭受複製濫用。

為了讓更多網站服務業者瞭解建立安全性網站的重要，TWCA也參與了經濟部商業司與中華民國軟體協會的合作專案，共同執行為期四年的電子商務網站身分識別機制推廣計畫，由TWCA負責提供憑證與標章，以及後台系統的維運工作，讓電子商務業者第一年由政府補助申請使用，之後展期憑證才須自行付費。

以QR Code為核心 發展網頁存取安全

在行動裝置普及後，愈來愈多使用者的瀏覽網頁行為是透過智慧型手機、平板電腦裝置，儘管網頁已申請認證標章，但礙於螢幕尺寸與解析度，標章Logo可能變得不明顯。陳柏翰認為，更重要的是，網站系統已朝向App化設計，邁向行動電子商務時代，勢必會以App為主，網頁認證標章將更難以識別。但他也發現，行動裝置的操作行為，經掃描QR Code（二維條碼）啟動頁面的應用正在增加。

台灣雲端安全聯盟理事長蔡一郎亦觀察到，尤其是在捷運、公車候車亭等戶外廣告看板常見採用QR Code，提供潛在消費者得以快速、方便地獲取訊息。「由於QR Code必須得經過Reader掃描過後才會取得圖形中的內容，我們曾做過測試，在一些公開場合張貼海報中有含QR Code，實際掃描的人數相當多，基本上，只要QR Code搭配活動，例如優惠方案，勢必可吸引人們立即掃描。」

當人們對於掃描QR Code取得資訊或優惠方案的行為日漸熟悉與習慣後，恐將成為駭客利用為詐騙的管道。因此蔡一郎建議，為避免遭遇偽造QR Code，行動裝置本身最好具備可偵測惡意網址的機制，如同偵測釣魚網站，先行確認後再放行通過。

「目前台灣尚未建立QR Code安全性認知，但是在中國卻早已陸續傳出遭受詐騙事件。」陳柏翰指出。由於在中國採用「二維碼」開啟淘寶網網站的動作已習以為常，於是被詐騙集團利用，讓用戶掃描後自動安裝木馬程式，或導向釣魚網站。

就整個行動網頁詐騙流程來看，QR Code正是事件起點，必須要在一開始就得以杜絕，否則安裝惡意程式後資料立即就被帶走。陳柏翰強調，邁向行動化商務時代後，QR Code掃描機制將成為主流，網站服務或電子商務提供者，過去經由認證標章宣示安全性，下一步則應以QR Code為核心考量其應用安全。