短短半个月,与二维码相关的社会事件就发生了两起,且都引起了广泛讨论。
QQ账号集体被盗,针对此事,腾讯QQ官博回应:“主要原因系用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。”
图片来源:微博@腾讯QQ
虽然这个解释无法说明,为何很多许久没有登录的远古账号也“中招”了,但此处按下不表,仅就明面上的解释来看,“二维码”背下了此次事件最大的锅。
而不久前的“维权储户被赋‘红码’”事件也让“健康码滥用暴露权力任性”的现象浮上水面。虽然两起事件的性质不同,但都折射出一个问题:作为某种介质的二维码,在某些“有心”人的利用下走向了歧途。
我国是名副其实的二维码大国,无论是出行、购物、点单、订票,“扫一扫”几乎已经成为多数人的习惯。在疫情期间,作为非接触式追踪的重要工具,二维码的应用更是进一步拓展,扫码登记成为常例。
但快速便捷的扫码动作背后,二维码真的有想象中那么安全吗?
“墙外开花墙内香”
二维码,即QR Code,最早由日本公司Denso Wave的腾弘原发明。有意思的是,二维码实际是由条形码改造而来,不过相比条形码,二维码的数据存储能力大大提升。
至于二维码的生成原理,简单来说:用特定的几何图形按编排规律在二维方向上分布,采用黑白相间的图形来记录数据符号信息。白块表示二进制的“0”;黑块是“1”。摄像头识别出颜色和排列就能解读出二维码包含的信息。
虽然二维码是个舶来品,但放眼全球,二维码真正“遍地开花”的地方是中国。为何会出现这种“墙外开花墙内香”的现象?主因有二:
其一,时机。随着智能手机的普及,移动互联网崛起,中国移动互联网用户使用量激增,庞大的市场可以说为二维码的普及扫清了C端障碍。
其二,巨头和中小商户的推波助澜。最初二维码是微信的内置功能之一,很快二维码成为微信生态里重要的一环。随后,腾讯和阿里在支付场景下全力跑马圈地,加上中小商户在此过程的“鼎力相助”,让二维码得以迅速在国内推广。毕竟相比其他支付方式,二维码的成本实在太低了。不需要POS机,不需要NFC模块,扫码支付只需要一个摄像头,可以说“一机在手,支付无忧”。
从实现效果来说,二维码与短网址服务类似,可即时访问网站、联络数据等信息。但是随着大众对二维码的依赖性越来越强,其特质也在被一些危险分子利用进行犯罪活动。其中最具迷惑性的一点就是二维码与二维码之间过于相似了。
对于来路不明的链接,你可能会心生警惕,但是二维码就显得“人畜无害”。因为二维码乍看之下都是一样的,看不到域名,也提供不了背后网页和应用的任何可视性。加上“扫码”这一动作毫不费力,自然为潜在的网络攻击提供了可乘之机。
隐秘的威胁
二维码的发布没有任何限制,二维码生成器也随处可见,因此不法分子实施欺诈行为的途径也更为简易。利用二维码将目标用户定向到网络钓鱼登陆页面的事件并不罕有,“扫码一时爽,扫完‘火葬场’”的受害者也屡见不鲜。
一般来说,不法分子通过二维码实现恶意企图的方式有如下几种:
1、 “以假乱真”。这一招没什么技术含量,但不小心就会被坑到。攻击者在正规收款二维码旁边贴上伪造的二维码。用户稍不留心,就会扫到假的二维码,直接跳转至付款界面。因此,对于几个并列的二维码,尤其是打印出来的二维码要保持一定的警戒心。
2、 “换头”钓鱼。基于二维码的极度相似性进行“换头”,攻击者通过伪造的二维码将用户引导至高仿官方网站的钓鱼网站,不法分子就可以乘机在钓鱼网站上要求用户提供认证信息,然后操控其帐户。这种欺骗用户的手段本质是一种钓鱼攻击。
3、 “免费WiFi”陷阱。攻击者以提供免费WiFi为诱饵,向扫描其二维码的人士提供某个WiFi
网络。连接到设备以后,攻击者可以拦截用户正在共享的数据,并窃取可作识别身份用途的个人资料和账户信息。
4、暗度陈仓的“木马”。以降价或奖励为诱饵,要求受害人扫描二维码加入会员,实则附带木马病毒。或者以安装或更新软件为由,引导用户进入不正规的应用商店,令他们在毫无防备的情况下下载包含病毒、木马或其他类型的恶意软件,从而导致数据和隐私外泄。
扫码前请小心
围绕QQ账号被盗话题及二维码的安全风险,“51CTO技术社群”内的开发者们也发表了各自的观点。
首先,技术无罪,二维码本身不是祸源。正如开发者【Hmxingkong】提到的:“扫码本身无问题,关键是这个码被人替换成了钓鱼系统的入口,谁扫谁授权谁中招,系统呈现比较难识别。”
再者,鉴于肉眼无法识别真伪,千万不要见码就扫,一定要三思后行、慎之又慎。
对于个人用户来说,开发者【COW】的建议是“永远在已信任的设备上使用网络账号”。尽量避免在不熟悉的电脑和网站上扫描二维码,仅扫描来自可信对象的代码,并务必仔细确认登录前的提示信息。
对于企业和平台来说,自觉防范的意识和措施需要进一步加强。比如:
- 定期为其网站和应用进行信用检测,以确保代码和链接地址未被篡改;
- 提升员工的网络安全意识,包括但不限于设置独一无二的密码、设置多因子身份认证等,还有 对于远程办公的员工,要进行适度的网络安全培训;
- 对于部分应用禁止自动跳转,允许用户在访问网站前进行预览,再决定网站是否值得信任;
- 做好用户数据的取舍。对此,开发者【大苹果】提到了两点:“一是根据企业的经营性质,用户的数据在保存三五年之后,强制删除,不留底。二是如果没有好的办法防止数据泄密,那就一定期限内格式化数据。”
结语
工具无错,但工具也最容易“背锅”。刀如是,二维码亦如是。
很多人并没有意识到,个人数据往往在不经意间被泄露。比如,快递单上的信息、公共场所的WiFi、促销让利的二维码等。在可见的未来,二维码可能会被更频繁地使用,届时“有心人”的手段可能更加多样。在更大的风险到来之前,提升自我的警觉意识是个中关键。因为“魔鬼总是藏在细节中”。
参考链接:
https://threatpost.com/qr-codes-sneaky-security-threat/159757/
https://baijiahao.baidu.com/s?id=1736781617963575083&wfr=spider&for=pc