3 秒讓你吃飯也能變身資安偵探

週末，家附近開了一家新的餐廳。在我們這邊窮鄉僻靜的地方，對於外食族，難得有新的選擇，就趕快搶先。進入餐廳坐下來訂餐的時候，發現桌上角落有一個 QRCode 圖，讓客人掃描點餐。拿起手機掃了 QRCode 之後，瞄了一下網址，發現不對勁，這是 http:// ，不安全的網站。當下問了服務員是否有提供紙本點餐。很可惜沒有，就假意客人太多，自己手機一直沒辦法點餐。最後由服務員代理點餐。
哈哈~~~~ 我俗辣，我應該不會光顧第二次~~~~ ✋✋✋
掃個 QR Code 就能點餐？你的個資可能正在「外洩」！

引言：一個字母的差異，決定你的資料安全

💬 一個小小的 S，不只是多一個字母，而是保護你資料安全的那把鎖。

當你在餐廳掃描 QR Code 點餐時，你注意過螢幕上方的網址嗎？是 http:// 還是 https://？這看似微小的差異，卻可能讓你的個資在網路世界中「裸奔」。

一、餐桌上的資安風險

臺灣餐飲業的數位轉型

近幾年，台灣的餐飲環境經歷了巨大變革。走進連鎖早午餐店、手搖飲店，甚至夜市攤位，傳統的紙本點餐單已逐漸消失。取而代之的，是每張餐桌上貼著的 QR Code。

顧客只需：

1. 用手機掃描 QR Code
2. 在網頁上選擇餐點
3. 線上完成付款

這樣的系統對店家來說節省人力成本，對消費者來說也省去了排隊等待的時間。看似雙贏的局面，但......✋✋✋🙅‍♀️🙅‍♀️🙅‍♀️你確定訂餐系統是安全嗎? 小心喝杯飲料，吃個飯，個資就被駭客偷光光。

你有注意過這個細節嗎？

當你掃描 QR Code、打開點餐畫面時，手機螢幕最上方那串網址，是 http:// 還是 https:// 開頭？

• 如果是 http://：瀏覽器通常會顯示「不安全」警告，或在網址上劃一條線
• 如果是 https://：網址列會出現一個鎖頭符號 🔒

那個「S」代表什麼？

「S」是「Secure（安全）」的縮寫。

• 有了它：你的個資才有機會安全地在網路上傳輸。
• 沒有它：駭客可以輕易攔截你的資料。

也許你會想：「只是訂餐記錄而已，有什麼大不了？」
但如果這個系統與金流綁定呢？你的信用卡資料可能就在傳輸途中被有心人士攔截。即使沒有付款功能，你的用餐習慣、聯絡電話、裝置資訊也可能成為駭客的目標。

二、HTTP vs HTTPS：明信片與信封的差別

HTTP：公開的明信片

當你使用 QR Code 進入點餐系統時，手機會使用一種叫做 HTTP（HyperText Transfer Protocol） 的通訊協定來傳送資料。
|比喻： HTTP 就像一張公開的明信片。你寫上：

• 點餐裝置資訊（手機或平板）
• 餐桌號碼
• 餐點內容
• 聯絡電話

郵差（網路）會幫你送達，但沿途所有經手的人都能看到你寫了什麼。

換句話說：你傳的資料是明碼，任何人都能讀懂。

HTTPS：上鎖的信封

HTTPS（HTTP Secure） 則像是把信件放進信封裡，再上鎖。

只有寄件人（你）和收件人（網站伺服器）擁有這把鑰匙。中間即使有人攔截信件，打不開鎖，也看不懂內容。

這把鎖的技術名稱叫做 TLS（Transport Layer Security），它是早期 SSL 的升級版，目前是全世界網站通用的加密標準。

白話總結

通訊協定加密狀態安全性比喻
HTTP：❌ 無加密 = >資料明碼傳輸，任何人都能看到明信片。
HTTPS：✅ 加密 => 資料被鎖起來，只有雙方能解讀上鎖的信封。

三、HTTP 點餐的三大陷阱

陷阱一：資料「裸奔」，個資隨時被攔截

很多人認為：「點個飲料、輸入電話叫號，沒什麼大不了。」甚至覺得「駭客攔截點餐資料也沒什麼利用價值」。

但駭客要的，比你想像的還要多。

你可能洩露的資訊包括：

用餐習慣與隱私：你多久光顧一次該餐廳、你的飲食偏好、平均消費金額、用餐時間規律。
裝置資訊：當你點擊「送出」按鈕時，系統可以抓取你手機或平板的基本資料：
硬體資訊：裝置名稱、MAC 位址、序號、SIM 卡狀態。
軟體資訊：Android/iOS 版本、全性修補程式等級、瀏覽器版本。
聯絡資訊：手機號碼、電子郵件（如有填寫）
付款資訊：如果系統與金流綁定，你的信用卡資料也包含在內

陷阱二：公共 Wi-Fi 的高風險環境

情境模擬：

你在某家咖啡廳使用店內免費 Wi-Fi，掃描 QR Code 點餐。這個點餐網站使用 HTTP（無加密）。
此時，如果有駭客也連上同一個 Wi-Fi，使用簡單的攔截工具（如 Wireshark捕抓封包），就能看到你的每一筆資料傳輸。

駭客可以看到什麼？你的名字、你的電話、你的訂單內容、你的付款紀錄（如果有線上付款）。
這樣的資訊外洩，不僅侵犯隱私，還可能被用於：詐騙電話、垃圾簡訊推銷、身分盜用、針對性攻擊。

陷阱三：假冒網站難以辨識，釣魚攻擊防不勝防

HTTP 的另一個致命問題：無法驗證對方身份。

你無法確定這個網站背後，是不是那家你想點餐的店。HTTP 網站缺乏身分驗證機制，駭客可以輕易架設一個外觀相似的假網站，誘導你輸入個資。

真實情境：美食街的 QR Code 調包術

這種攻擊特別容易發生在美食廣場、夜市：

• 人來人往，環境複雜
• 老闆很少到餐桌上走動，也沒有服務員在外場服務
• 沒人注意 QR Code 貼紙是否被動過手腳

如果有心人士偷偷更換餐桌上的 QR Code 貼紙，你的資料就會直接傳送到駭客的伺服器。

實際案例模擬

原始網址：

https://sihlefongsteak.tw （思樂風牛排官方網站）

駭客偽造網址：

http://sihlefongsteak.co （少了 s，或把 .tw 改成 .co）
http://sih1efongsteak.tw （把 l 改成數字 1）
http://sihlefongsteak-tw.com （加入連字號）

一般人根本看不出差別！

攻擊流程

1. 駭客製作假 QR Code：連結到偽造的點餐網站
2. 偷偷更換餐桌上的貼紙：趁人不注意時調包
3. 顧客掃描假 QR Code：以為連上官方網站
4. 輸入個資：姓名、電話、付款資料
5. 資料被竊取：全部傳送到駭客的伺服器

HTTP 網站沒有身分驗證：

• 瀏覽器不會檢查網站是否合法
• 駭客可以隨意架設相似網站
• 使用者難以察覺異常

HTTPS 的防護機制：

• 必須申請經過認證的 SSL 憑證
• 瀏覽器會自動驗證網站身分
• 假網站無法通過驗證，會被瀏覽器警告

勞保局網站有申請 HTTPS

你可能根本不知道自己連上的是假網站，直到發現帳戶被盜刷！

四、HTTPS 如何為你多加一道鎖？

HTTPS 的安全性主要來自兩大保護機制：

機制一：資料加密 — 只有雙方才知道的「密語」

運作原理：

當你連上 HTTPS 網站時，客戶端（你的手機瀏覽器或應用程式）和伺服器（餐廳的資訊系統）會先進行「握手」，交換一組「加密金鑰」。

往後所有傳輸的資料都會經過加密，即使駭客攔截資料，也只會看到一堆亂碼。

比喻： 就像你和餐廳之間講的是只有你們懂的「暗語」，外人聽不懂。

📍 好處：

• 確保你填寫的餐點、電話、付款資料不會被偷看
• 防止資料在傳輸過程中被竄改
• 駭客即使攔截資料也無法解讀

機制二：身分驗證 — 確認對方是真的餐廳

HTTPS 網站要運作，必須向可信的憑證機構（Certificate Authority, CA）申請「數位憑證」，這就像網站的「身分證」。

勞保局網站憑證由 TWCA 發行

數位憑證包含：網站的名稱、伺服器位址、憑證有效期限、發證機構的數位簽章。
當你連上 HTTPS 網站時：瀏覽器會自動驗證這張「身分證」是否：

• 由可信的機構發行
• 尚未過期
• 與目前網站網址相符

📍 好處：防止假網站冒充真餐廳、避免你誤入釣魚網站、確保你的資料傳送到正確的伺服器。

HTTPS 的視覺標示

在瀏覽器中，HTTPS 網站會顯示：

• 🔒 鎖頭圖示
• 綠色或灰色的安全標示
• 點擊鎖頭可查看憑證詳細資訊

HTTP 網站則會顯示：⚠️「不安全」警告、網址上的刪除線、部分瀏覽器會用紅色標示。

五、點餐前 3 秒變身資安偵探

多「看一眼」的行動建議

你不需要是資安專家，只要養成一個小習慣，就能大幅降低風險。

✅ 給一般使用者的三個自保步驟

步驟一：掃完 QR Code，先看網址列！

檢查項目：

• 網址是 https:// 開頭嗎？
• 有顯示鎖頭符號 🔒 嗎？
• 網址看起來正常嗎？（沒有奇怪的拼字或數字）

如果答案是「否」，請不要輸入任何個人資料。

步驟二：不要在公共 Wi-Fi 下輸入個資或付款

高風險場所：

• 咖啡廳的免費 Wi-Fi
• 百貨公司的公共 Wi-Fi
• 機場、車站的開放網路
• 飯店的免費網路

建議做法：

• 使用自己的手機網路（4G/5G）
• 若必須使用公共 Wi-Fi，只瀏覽不輸入資料

步驟三：若網站看起來奇怪或名稱不符，請離開頁面

警訊標誌：

• 網址拼字怪異（例如：resteurant 而非 restaurant）
• 網站設計粗糙、排版錯亂
• 要求過多不必要的個人資訊
• 付款流程不清楚或可疑

不確定時的做法：

• 直接詢問店員
• 使用店家官方 App 或網站
• 選擇現場點餐

🍳 給餐廳老闆的重要提醒

採用 HTTPS 不只是保護客人，更是保護自己品牌的信譽。

為什麼要升級到 HTTPS？

1. 保護客戶信任

• 當客人看到「不安全」警告，會質疑你的專業度
• 資料外洩事件會嚴重損害品牌形象

2. 法規要求

• 台灣《個人資料保護法》要求妥善保護客戶個資
• 若因未加密導致資料外洩，可能面臨罰款

3. 瀏覽器警告

• Chrome、Safari、Firefox 等主流瀏覽器都會標示 HTTP 網站為「不安全」
• 部分瀏覽器甚至會阻擋 HTTP 網站載入

實作建議

1. 聯絡你的網站開發商或主機商：大多數主機商都提供一鍵安裝 SSL 憑證服務
2. 確保整個網站都使用 HTTPS：不只是付款頁面，所有頁面都應該加密
3. 定期檢查憑證有效期限：過期的憑證會導致網站無法正常運作
4. 測試點餐流程：確保 HTTPS 升級後功能正常

重要觀念：

對於現代網路世界來說，HTTPS 已經不是「選擇題」，而是每個網站的基本禮貌。

結語：安全，不只是技術，更是一種習慣

點餐這件看似平凡的小事，其實是現代生活中最常見的「資安場景」。我們常以為駭客離自己很遠，但資安問題往往藏在日常的一個「小不注意」中。下次當你拿起手機掃 QR Code 點餐時，請先看一眼網址。因為那個小小的「S」，就是守護你資料安全的第一道防線。

記住這三個重點

1. 看網址：確認是 https:// 開頭
2. 看環境：避免在公共 Wi-Fi 輸入個資
3. 看內容：不要過度填寫不必要的個人資訊

資安防護，從每一次的小心謹慎開始。