犯罪分子向來善於利用新技術的「尖端領域」。19 世紀中葉，有組織犯罪集團利用剛剛誕生的電報，聯繫不在當地司法管轄範圍內的犯罪活動。20 世紀初，有組織犯罪分子借助汽車快速逃離現場，還將其用作運輸盜竊物品的「工具」。¹ 1990 年代，兒童剝削及販毒犯罪分子利用網際網路傳播兒童性虐待內容、銷售非法毒品。² 在這三個案例中，犯罪網絡先於「主流」社會運用相關技術，就是為了領先執法機關一步。

快速回應碼與詐欺

我們購買的產品會標示通用產品條碼，而快速回應碼（行動條碼）是其變異版。1990 年代初期，日本工程師原昌宏發明行動條碼，並將這種代碼格式用於追蹤日本汽車製造供應鏈中的零組件。行動條碼主要分為兩類：靜態（儲存固定資訊）和動態（可變更資訊）。在行動條碼中，資料被排列成黑白像素，只要經過智慧手機攝影鏡頭或其他掃描設備掃描，就能完成解讀。行動條碼為二進制形式，黑色部分表示 1，白色部分表示 0。靜態行動條碼就像個人名片，而動態行動條碼則像個人網站（易於更新）。非接觸式和簡單便捷，通常表示沒有實體界限、中介機構等「阻礙」。實體界限和中介機構能在一定程度上保障安全，凍結或撤銷安全存疑的交易。

以自動櫃員機 (ATM) 為例。銀行客戶可以利用自動櫃員機提取現金，無須在「銀行營業時間」親自趕往銀行辦理。這為客戶帶來了便利，也為銀行降低人力成本。然而，這種操作流程簡化也有其劣勢。不法分子可能「踩點」自動櫃員機的位置，然後瞄準銀行客戶實施搶劫，因此，客戶的人身安全風險也隨之升高。由於缺少銀行櫃員的實地監看，犯罪分子得以避開相關人員（好人）視線並利用該系統。行動條碼也難逃這種趨勢。需要說明的是，行動條碼不會遭到駭客攻擊。駭客若要篡改，必須修改黑白二進制模式，而如果不瞭解實際行動條碼背後的明文，僅憑肉眼根本無法讀取。³ 即便如此，犯罪分子仍有其他手段破壞行動條碼以達成其非法目的。

行動條碼釣魚 (quishing) 攻擊產生了大量行動條碼相關詐欺。Security 報告稱，相比 2023 年 1 月至 8 月的累計數量，2023 年 9 月的行動條碼網路釣魚事件增長了 51%。⁴ 與其他金融相關詐欺類似，行動條碼網路釣魚極易導致帳戶盜用和數位支付詐欺。

行動條碼詐欺的實際操作

肉眼無法直接辨別惡意行動條碼，這為不法分子提供了顯著便利。

由於公眾逐漸習慣忽略和（可能）刪除電子郵件中引導受害者跳轉至詐欺網站的惡意網址 (URL) 連結，犯罪分子開始利用條碼的「下一代」版本——行動條碼。當配備相機的智慧手機廣泛使用，以及行動條碼的實用功能性，無論是活動門票、廣告和餐廳菜單中隨處可見行動條碼。犯罪分子可將惡意行動條碼覆蓋在合法行動條碼上，將掃描者引導至要求提供個人資訊的網站，進而實施身分盜用。

2023 年 11 月，金融犯罪稽查局 (FinCEN) 發布警告，提醒人們注意不法分子發出主旨為「重要法規遵循通知」並附帶行動條碼的電子郵件或實體通訊。這起詐欺事件發生的背景是，金融犯罪稽查局根據 2024 年 1 月《公司透明法案》(CTA) 規定，要求增加受益所有權資訊 (BOI)。《公司透明法案》規定，在美註冊的企業需向美國財政部提交受益所有權資訊。於是，詐騙分子針對新成立的美國企業使用詐欺行動條碼實施詐騙。此類企業一旦掃描這些行動條碼，就不得不提交私人資訊或在用於掃描的裝置上安裝惡意軟體。⁵ 這種詐欺形式獲取的資訊，極易用於合成身分詐欺或真實身分竄改。

防範方法

金融服務領域的行動條碼主要用於支付相關活動，PayPal、Venmo 等移動支付服務供應商都在使用。金融服務領域的行動條碼還有其他行政用途，幫助客戶省去輸入信用卡號或其他個人資訊的步驟，這對原本需要填寫冗長貸款申請的客戶意義重大。動態行動條碼可讓金融機構客戶取得一個很快過期的行動條碼，避免其被用於未來可能出現的詐欺活動。生物測定學安全方案，例如視網膜掃描和指紋識別，可用作雙重認證，證明行動條碼持有者確為與該行動條碼相關的「合法」個人。

金融機構在使用行動條碼時，還可透過資訊加密提升安全性。運用加密演算法產生加密行動條碼。這些演算法可以（透過複雜數學運算）打亂明文，並將明文轉換為一串（看似毫無意義的）字母數字式字元。金融服務領域最常見的加密形式是公鑰或非對稱加密 (AC)。接收方會將加密訊息解密並轉換為可讀形式。行動條碼令非對稱加密成為商業活動的可行之選。非對稱加密借助（所有人可見的）公鑰和安全隱密的私鑰保障資訊安全。如果有人同時取得兩個金鑰，就能全面存取儲存的資訊。這些「金鑰組」透過加密演算法產生，從數學角度將兩個金鑰相互關聯，數學的精確特性使之無法變更。

隨著量子運算興起，這種非對稱加密的安全措施將會面臨風險。量子運算會讓使用非對稱加密保護的行動條碼處於安全風險之中。非對稱加密行動條碼是數位資產比特幣生態系統的支柱。隨著比特幣單位在傳統金融 (TradFi) 領域愈發常見，傳統金融實體需要留意相應發展動態，進而緩解這種易受量子運算影響的情形。由於量子運算尚處發展初期，這些非對稱加密的安全慣例仍在持續改進。蘭德公司報告稱，「專家共識」指出，「至少到 2030 年代」，量子電腦都不會威脅到經濟體的電腦基礎設施。⁶ 傳統電腦以線性方式逐步解決問題，而量子電腦則能同時分析所有可能的解決方案。非對稱加密會因這種能力而面臨威脅，所以需對行動條碼通訊採取保障措施。後量子密碼學正在推行，非對稱加密代碼最終將被抗量子技術取代，而非對稱加密慣例則會被引入量子領域，以匹配量子的整體運算能力。金融機構必須緊跟最新進展，圍繞量子對敏感資料的影響實施風險評估，並對這些新演算法展開測試。2022 年 12 月，拜登政府簽署立法，要求美國聯邦實體採用抗量子技術。⁷ 2023 年初，美國國家標準技術研究所 (NIST) 強調四種演算法，用於防範量子電腦攻擊現有技術基礎設施。該研究所目前正在分析公眾對於這四種選定演算法的回饋意見。2023 年 10 月，美國金融業監管局 (FINRA) 發布報告《量子運算及其對證券產業的影響》。⁸

結語

正如上文所強調的，犯罪分子總會試圖利用新技術為自身謀取利益。金融服務從業者必須竭盡全力，保護全球經濟支柱不被利用。鑒於加密行動條碼存在漏洞，金融專業人士必須隨時瞭解能夠採取哪些防禦措施，保護在經營業務時需要利用順暢便捷行動條碼的客戶。

目前，金融機構廣泛運用行動條碼技術，該技術也朝著對金融機構及其客戶有益的方向不斷發展。一方面，犯罪分子持續推動有利自身的非法活動，另一方面，反詐欺和防制洗錢專業人士則對這些非法活動進行反擊。此類安全「軍備競賽」正在如火如荼地展開。因此，所有安全和法規遵循專業人士對金融服務基礎設施所面臨的威脅，必須搶佔先機，採用能夠提升金融業營運情況及全球整體使用者 / 客戶體驗的行動條碼。

Doug McCalmont，Chrysalis Digital Asset Exchange 聯合創始人 / 法遵長，麻州昆西市, dmccalmont@chrysalisdae.com , , 

Rob Goldfinger，CAMS，美國陸軍刑事調查司令部上尉（退休），SAS FSBU 詐欺、安全和情報業務發部資深領域專家, rob.goldfinger@sas.com

1. Joel Cahill，“Criminals are Early Tech Adopters”（犯罪分子最早運用各類技術），INFIMA, https://infimasec.com/blog/criminals-early-adopters/
2. 同上。
3. “Can a QR Code be hacked?”（行動條碼會遭到駭客攻擊嗎？），Unitag，https://www.unitag.io/faq/can-qrcodes-be-hacked
4. “New report shows 51% rise in QR code phishing for September”（新報告顯示 9 月行動條碼釣魚事件成長 51%），Security，2023 年 11 月 9 日，https://www.securitymagazine.com/articles/100122-new-report-shows-51-rise-in-qr-code-phishing-for-september
5. “Beneficial Ownership Information”（受益所有權資訊），金融犯罪稽查局，https://fincen.gov/boi
6. Edward Parker，“When a Quantum Computer Is Able to Break Our Encryption, It Won't Be a Secret”（一旦量子電腦能破解我們的加密技術，這將不再是個秘密），蘭德公司，2023 年 9 月 13 日， https://www.rand.org/pubs/commentary/2023/09/when-a-quantum-computer-is-able-to-break-our-encryption.html
7. John Potter，“President Biden Signs Post-Quantum Cybersecurity Guidelines into Law”（拜登總統簽署《後量子網路安全指南》並予立法），IOT World Today，2022 年 12 月 28 日，https://www.iotworldtoday.com/security/president-biden-signs-post-quantum-cybersecurity-guidelines-into-law
8. “Quantum Computing and the Implications for the Securities Industry”（量子運算和對證券業的影響），美國金融業監管局，2023 年 10 月 30 日，https://www.finra.org/rules-guidance/key-topics/fintech/report/quantum-computing