QR Code 騙局的真相:「免費」產生器如何勒索使用者

在 2015 年到今天某個時點,QR Code 從日本的稀奇玩意變成了全球基礎建設。它們被印在餐廳桌面、博物館牆上、產品包裝和報稅表格上。地球上幾乎每一支手機都能讀取它們。

而一個安靜的產業,圍繞著一個不誠實的前提把自己建了起來:QR Code 應該要有個中間人。

本文解釋 QR Code 勒索方案的運作機制、為什麼有效、誰從中獲利,以及如何避免成為其中上百萬受害者之一。

這個套路

你在 Google 搜尋「免費 QR Code 產生器」。排第一的結果有個歡快的介面。你貼上一個網址、自訂顏色,看到一個漂亮的 QR Code 出現。你點「下載」。

接著會發生以下三件事之一:

1. 你被要求建立帳號 —「只是為了下載」
2. 你被告知免費版本產出低解析度或有浮水印的版本,而「Premium」下載被付費牆擋住
3. 你拿到一份乾淨的下載 — 而沒有任何警告告訴你,剛剛儲存的 QR Code 會經由該產生器的伺服器轉送

第 3 種情況最陰險。使用者帶著「我有可用 QR Code」的信念離開網站。他們把它印在名片、餐廳菜單、活動招牌、產品標籤上。成千上萬份流通出去。在接下來的幾週、幾個月,有時甚至幾年,這些 Code 都運作正常。

然後 — 某一天,悄悄地 — 它們就停了。因為該公司決定:該開始變現了。

QR Code 裡面到底有什麼

QR Code 是一堆黑白方格排出的圖樣,用來編碼二進位資料。掃描器把這個圖樣解碼,把結果交給作業系統,由作業系統解讀成網址、文字字串、Wi-Fi 憑證或其他格式。

這是關鍵所在:QR Code 本身就是資料。沒有伺服器介入,沒有查詢動作。一旦 QR Code 被印出來,沒有人可以改變它內部的內容。

給 https://example.com/menu 的靜態網址 QR Code,字面上就包含這個網址的 ASCII 位元組。全世界任何人、永遠任何時候掃描它,都會被導向這個網址。沒人能把它下架。沒人能修改它。沒人能追蹤是誰在掃描。

QR Code 就是這樣被設計出來的,也因此成為通用基礎建設。

繞路

動態 QR Code 破壞了這個設計。它們不是編碼真實網址,而是把一段短的重新導向網址編進去,指向 QR 服務商自己的伺服器,像是 https://short.qr-co/abc123。

掃描時,掃描器請求 short.qr-co/abc123。服務商的伺服器在資料庫裡查詢 abc123,找到真正的目的地,發出 HTTP 重新導向。掃描器跟著跳,最後抵達真正的頁面。

從使用者角度看,它運作起來一模一樣。從 QR 服務商角度看,這是座金礦:

• 每次掃描都會產生伺服器 log:時間戳、IP、user-agent,有時還有地理位置
• 目的地網址可以隨時更改,無需重印
• Code 可以被服務商停用、刪除,或被拿去當作人質
• 掃描資料可以被再次轉售
• 最重要的:服務商可以收租

我們在 QR Code 重新導向劫持 中更詳細介紹其機制。

收費的方式

動態 QR 模型讓四種不同的榨取策略成為可能:

訂閱

只要你付月費,QR Code 就會運作。停止付款,服務商就會停用重新導向 — 你 QR Code 的每一份印刷本都會變成無用之物。這被明目張膽地當作一項「功能」來行銷(「追蹤掃描!隨時編輯你的 QR Code!」),但鎖定效應才是真正的生意。詳情見 QR 訂閱陷阱。

試用與陷阱

免費使用者拿到「試用」動態 QR Code。它可以用 14 天、30 天,有時更久。到期時,它早已流通在外。要讓它繼續運作,使用者現在必須付費。就這樣悄悄地,免費工具變成了持續的支出。

付費牆下載

免費產生 Code。想下載高解析度,付錢。想去掉浮水印,再多付。想要 SVG,再多付。想要「Premium」樣式,再多付。這些都跟任何實際成本毫無關係 — QR Code 只是個 100 位元組的運算 — 但每一道阻力都會把一定比例的使用者轉化為付費客戶。

強制註冊

QR Code 免費而且靜態,但要下載就得建立帳號。現在他們有了你的 email,產品重點轉為上銷郵件、潛在客戶培養和周邊服務。

這四種策略依賴的是同一個伎倆:使用者不知道 QR Code 的生產成本幾乎為零。大多數人假定既然要收錢就必定有理由。其實沒有。

真實世界的損害

這些並非假設。此一套路造成看得見的後果:

• 餐廳的菜單 QR 在政策更動後突然失效
• 活動主辦單位手上留著大量指向死掉重新導向的宣傳品
• 小企業的名片在活動進行到一半時變成失效
• 非營利組織的捐款 QR 在訂閱失效時一起崩壞
• 教會、博物館、學校 — 沒有專屬 IT 團隊的任何單位 — 守著一堆無用的印刷品

絕大多數情況下,受害者從未搞清楚發生了什麼事。他們假定 QR Code 本來就脆弱,或是自己哪裡做錯了。服務商的商業模式就依賴這種混淆。若你的 Code 停止運作,請閱讀 為什麼 QR Code 會失效。

為什麼這招一直管用

有幾個因素讓 QR Code 勒索異常有效:

「QR」這個詞對大多數人來說是黑箱。 對一般使用者來說,QR Code 就是個神奇地打開連結的黑白方框。他們不知道靜態和動態 Code 之間有區別 — 產生器的介面從來不告訴他們。我們寫了一份 完整比較 來修正這件事。

傷害是延遲出現的。 等到動態 QR Code 壞掉時,受害者通常早已忘記是哪個服務做的。他們無法輕易重新下載、重新列印或復原。

傷害是無聲的。 壞掉的 QR Code 不會 crash。它就只是不運作 — 看起來和任何其他掃描問題沒兩樣。大多數使用者會怪自己的手機。

搜尋結果偏向掠食者。 有營收的公司把錢花在 SEO、廣告和內容農場上。誠實的靜態 QR 工具很少能排在它們之上。結果就是:搜尋「免費 QR Code 產生器」大部分都導向 dynamic-first 產品。

如何辨識掠奪型 QR 服務

在使用任何 QR 產生器之前,檢查下列訊號:

1. 它是否要求帳號? 沒有任何靜態 QR 產生器需要帳號 — 把網址編碼成圖樣純粹是客戶端的數學計算。任何註冊要求都是一種榨取方案。
2. 它是否提供「追蹤」或「分析」? 能計算掃描次數的功能代表這個 Code 就是動態的。靜態 QR Code 無法追蹤任何東西。
3. 是否有「方案」或「訂閱」? QR 編碼本質上不花錢。訂閱定價只有在服務商扣著你的 Code 當人質時才說得通。
4. 定價頁面是否提到「到期」、「掃描次數上限」、「可編輯 QR Code」? 這些都暗示動態 Code,跑在服務商的伺服器上。
5. 預覽的網址看起來像 `qrco.de/xyz` 嗎? 那是重新導向網址 — 你正在製作動態 Code。
6. 網站是否塞滿廣告或追蹤腳本? 搭配監控的免費服務必然是以另一種方式在榨取價值。

完整清單整理在 5 個紅旗:你的 QR 產生器是個陷阱 中。

靜態 QR Code 長什麼樣

靜態 QR Code 產生器詢問你的內容,把它直接編碼進 QR 圖樣裡,然後給你一個檔案。就這樣。沒有重新導向、沒有追蹤、沒有帳號、沒有訂閱、沒有過期。

本站就是其中之一。所有事情都在你的瀏覽器裡發生 — 我們的伺服器從未收到你所編碼的任何東西。你可以在瀏覽器的網路分頁裡驗證這點:當你在此產生 QR Code 時,沒有任何資料離開你的裝置。

你也可以驗證 QR Code 裡面有什麼。用我們的 掃描器 掃描任何你產生的 QR,然後確認解碼出來的內容正是你輸入的 — 沒有包裝網址、沒有短網址、沒有重新導向。

我們為什麼做這個

我們受夠了看著出於善意的人們 — 小生意老闆、志工、藝術家、老師 — 掉進 QR 騙局裡。那些號稱在幫他們的工具,悄悄地在收割他們的資料、印刷預算和未來的訂閱款。

所以我們做了相反的東西。

這個產生器免費,是因為產生 QR Code 本來就免費。我們不收錢,因為根本沒什麼好收的。我們不收集資料,因為沒什麼資料可收 — 你的 QR 內容從未離開你的瀏覽器。我們不提供追蹤,因為追蹤需要把你的 QR Code 變成別人的財產。

我們的 QR Code 是靜態的。它們屬於你。它們永遠不會過期。它們無法被停用。如果我們的網站明天熄燈,你曾在這裡產生的每一個 QR Code 都還是會運作。

你可以做什麼

1. 印刷品絕對不要用動態 QR Code。 如果你無法便宜地重新印刷,靜態就是唯一安全的選擇。
2. 如果你已經印了動態 Code,請把它們當作短期品看待。 為它們失效做準備。把原始目的地留在手邊,這樣稍後可以用靜態方式重新產生。
3. 告訴身邊的人。 絕大多數非技術使用者不知道這個騙局存在。一個關於靜態 vs 動態的簡短解釋可以替他們省下數年的訂閱費。
4. 下一個 QR Code 用靜態方式產生。 從我們的 網址、WiFi、vCard、email、電話 或 文字 產生器開始。

QR Code 是基礎設施。它們應該表現得像基礎設施 — 可預期、永久,屬於製作它的人。

我們做了這個網站,好讓至少在網際網路的某個角落,它們仍然是這樣。