都怪二维码,造就了网友们的社死现场...

原创 精选
安全 数据安全 新闻
你觉得二维码被滥用了吗

  短短半个月,与二维码相关的社会事件就发生了两起,且都引起了广泛讨论。

  QQ账号集体被盗,针对此事,腾讯QQ官博回应:“主要原因系用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。”

图片

图片来源:微博@腾讯QQ

  虽然这个解释无法说明,为何很多许久没有登录的远古账号也“中招”了,但此处按下不表,仅就明面上的解释来看,“二维码”背下了此次事件最大的锅。

  而不久前的“维权储户被赋‘红码’”事件也让“健康码滥用暴露权力任性”的现象浮上水面。虽然两起事件的性质不同,但都折射出一个问题:作为某种介质的二维码,在某些“有心”人的利用下走向了歧途。

  我国是名副其实的二维码大国,无论是出行、购物、点单、订票,“扫一扫”几乎已经成为多数人的习惯。在疫情期间,作为非接触式追踪的重要工具,二维码的应用更是进一步拓展,扫码登记成为常例。

  但快速便捷的扫码动作背后,二维码真的有想象中那么安全吗?

  “墙外开花墙内香”

      二维码,即QR Code,最早由日本公司Denso Wave的腾弘原发明。有意思的是,二维码实际是由条形码改造而来,不过相比条形码,二维码的数据存储能力大大提升。

  至于二维码的生成原理,简单来说:用特定的几何图形按编排规律在二维方向上分布,采用黑白相间的图形来记录数据符号信息。白块表示二进制的“0”;黑块是“1”。摄像头识别出颜色和排列就能解读出二维码包含的信息。

  虽然二维码是个舶来品,但放眼全球,二维码真正“遍地开花”的地方是中国。为何会出现这种“墙外开花墙内香”的现象?主因有二:

  其一,时机。随着智能手机的普及,移动互联网崛起,中国移动互联网用户使用量激增,庞大的市场可以说为二维码的普及扫清了C端障碍。

  其二,巨头和中小商户的推波助澜。最初二维码是微信的内置功能之一,很快二维码成为微信生态里重要的一环。随后,腾讯和阿里在支付场景下全力跑马圈地,加上中小商户在此过程的“鼎力相助”,让二维码得以迅速在国内推广。毕竟相比其他支付方式,二维码的成本实在太低了。不需要POS机,不需要NFC模块,扫码支付只需要一个摄像头,可以说“一机在手,支付无忧”。

  从实现效果来说,二维码与短网址服务类似,可即时访问网站、联络数据等信息。但是随着大众对二维码的依赖性越来越强,其特质也在被一些危险分子利用进行犯罪活动。其中最具迷惑性的一点就是二维码与二维码之间过于相似了。

  对于来路不明的链接,你可能会心生警惕,但是二维码就显得“人畜无害”。因为二维码乍看之下都是一样的,看不到域名,也提供不了背后网页和应用的任何可视性。加上“扫码”这一动作毫不费力,自然为潜在的网络攻击提供了可乘之机。

隐秘的威胁

  二维码的发布没有任何限制,二维码生成器也随处可见,因此不法分子实施欺诈行为的途径也更为简易。利用二维码将目标用户定向到网络钓鱼登陆页面的事件并不罕有,“扫码一时爽,扫完‘火葬场’”的受害者也屡见不鲜。

  一般来说,不法分子通过二维码实现恶意企图的方式有如下几种:

      1、 “以假乱真”。这一招没什么技术含量,但不小心就会被坑到。攻击者在正规收款二维码旁边贴上伪造的二维码。用户稍不留心,就会扫到假的二维码,直接跳转至付款界面。因此,对于几个并列的二维码,尤其是打印出来的二维码要保持一定的警戒心。

      2、 “换头”钓鱼。基于二维码的极度相似性进行“换头”,攻击者通过伪造的二维码将用户引导至高仿官方网站的钓鱼网站,不法分子就可以乘机在钓鱼网站上要求用户提供认证信息,然后操控其帐户。这种欺骗用户的手段本质是一种钓鱼攻击。

      3、 “免费WiFi”陷阱。攻击者以提供免费WiFi为诱饵,向扫描其二维码的人士提供某个WiFi

网络。连接到设备以后,攻击者可以拦截用户正在共享的数据,并窃取可作识别身份用途的个人资料和账户信息。

  4、暗度陈仓的“木马”。以降价或奖励为诱饵,要求受害人扫描二维码加入会员,实则附带木马病毒。或者以安装或更新软件为由,引导用户进入不正规的应用商店,令他们在毫无防备的情况下下载包含病毒、木马或其他类型的恶意软件,从而导致数据和隐私外泄。

扫码前请小心

  围绕QQ账号被盗话题及二维码的安全风险,“51CTO技术社群”内的开发者们也发表了各自的观点。

  首先,技术无罪,二维码本身不是祸源。正如开发者【Hmxingkong】提到的:“扫码本身无问题,关键是这个码被人替换成了钓鱼系统的入口,谁扫谁授权谁中招,系统呈现比较难识别。”

  再者,鉴于肉眼无法识别真伪,千万不要见码就扫,一定要三思后行、慎之又慎。

  对于个人用户来说,开发者【COW】的建议是“永远在已信任的设备上使用网络账号”。尽量避免在不熟悉的电脑和网站上扫描二维码,仅扫描来自可信对象的代码,并务必仔细确认登录前的提示信息。

  对于企业和平台来说,自觉防范的意识和措施需要进一步加强。比如:


  • 定期为其网站和应用进行信用检测,以确保代码和链接地址未被篡改;


  • 提升员工的网络安全意识,包括但不限于设置独一无二的密码、设置多因子身份认证等,还有 对于远程办公的员工,要进行适度的网络安全培训;


  • 对于部分应用禁止自动跳转,允许用户在访问网站前进行预览,再决定网站是否值得信任;


  • 做好用户数据的取舍。对此,开发者【大苹果】提到了两点:“一是根据企业的经营性质,用户的数据在保存三五年之后,强制删除,不留底。二是如果没有好的办法防止数据泄密,那就一定期限内格式化数据。”

结语

  工具无错,但工具也最容易“背锅”。刀如是,二维码亦如是。

  很多人并没有意识到,个人数据往往在不经意间被泄露。比如,快递单上的信息、公共场所的WiFi、促销让利的二维码等。在可见的未来,二维码可能会被更频繁地使用,届时“有心人”的手段可能更加多样。在更大的风险到来之前,提升自我的警觉意识是个中关键。因为“魔鬼总是藏在细节中”。

  参考链接:

  https://threatpost.com/qr-codes-sneaky-security-threat/159757/

  https://baijiahao.baidu.com/s?id=1736781617963575083&wfr=spider&for=pc

责任编辑:张洁 来源: 51CTO技术栈
相关推荐

2024-06-26 08:46:45

2022-06-29 06:07:31

QQ盗号腾讯

2013-01-30 12:16:49

二维码NFC近场通讯

2023-11-17 15:44:06

C++库生成二维码

2023-11-17 09:07:51

.NET生成二维码识别二维码

2017-02-21 09:17:46

二维码漏洞

2012-04-01 09:53:13

二维码

2011-12-06 16:40:45

二维码快拍二维码灵动快拍

2011-11-24 16:00:23

信息图QR码二维码

2013-10-29 09:46:05

二维码

2014-03-05 14:41:55

二维码登录

2015-09-24 09:56:19

.NET二维码

2023-12-25 14:53:36

2023-08-08 14:16:07

二维码开发鸿蒙

2011-08-30 17:42:02

Kuapay二维码移动支付

2013-03-27 16:13:17

Android开发Android二维码生QR生成

2024-06-03 10:33:08

2020-10-08 18:48:02

二维码安全应用安全网络攻击

2015-10-28 13:33:50

二维码条形码扫描源码

2015-01-14 09:46:52

Google API
点赞
收藏

51CTO技术栈公众号