二维码已成为日常生活中的一种便捷工具,只需简单扫描,用户便能快速访问网站、支付平台或数字菜单。然而,随着二维码的普及,网络犯罪分子对其的兴趣也与日俱增。一种被称为“二维码钓鱼”或“quishing”的攻击方式,虽然并非全新,但正逐渐兴起。这种攻击通过诱导用户扫描恶意二维码,窃取个人信息、安装恶意软件或将用户重定向至诈骗网站。
图中展示了英格兰西约克郡柯克利斯市停车计费器上的恶意二维码真实案例。(来源:柯克利斯市议会)
二维码钓鱼的运作方式
网络犯罪分子通过多种方式利用二维码实施诈骗。最常见的方法之一是在合法的二维码上覆盖假二维码。这种情况常发生在餐厅、停车计费器或其他公共场所,这些地方通常会使用二维码提供服务。当用户扫描假二维码时,可能会被引导至看似合法、实则旨在窃取登录凭证、财务信息或其他敏感数据的网站。
另一种方式是通过电子邮件或短信发送二维码,声称来自银行、快递服务或技术支持团队等可信来源。这类信息通常会制造紧迫感,例如告知用户账户已遭入侵或需要验证支付。一旦用户扫描,便会在不知不觉中将私人信息拱手送给黑客。
据二维码生成工具Online QR Code称,二维码有多种类型,几乎每种类型都可能被诈骗者滥用。这意味着无论二维码是通过海报、电子邮件还是看似正式的文件呈现,只要来源未经核实,就存在风险。
为何二维码钓鱼如此有效
二维码钓鱼之所以有效,是因为二维码本身不会立即显示其指向的链接。与传统链接不同,用户无法直接将鼠标悬停在二维码上方预览其URL,扫描二维码通常会直接将用户引导至目标网站,且没有任何即时警告。在移动设备上,大多数二维码扫描行为发生,这使得诈骗者更容易在不觉中得手。
此外,许多人信任二维码,因为它们是合法企业和组织广泛使用的工具。诈骗者利用这种信任,将恶意二维码放置在人们通常不会怀疑其真实性的地方。这也正是美国联邦调查局(FBI)不得不发出关于二维码钓鱼警告的原因。
如何防范二维码钓鱼
尽管二维码钓鱼威胁日益增加,但通过以下简单步骤,你可以有效保护自己:
- 扫描前核实——在公共场所看到二维码时,检查其是否有被篡改的迹象。如果发现二维码上贴有其他标签,请避免扫描。
- 预览URL——部分智能手机摄像头和二维码扫描应用允许用户在打开链接前预览URL。如果URL看起来可疑或与预期目的地不匹配,切勿继续操作。
- 避免扫描来自邮件或短信的二维码——对于通过电子邮件或短信发送的二维码,尤其是未经请求或带有紧急信息的,需保持警惕。建议手动输入官方网站地址,而非直接扫描二维码。
- 使用具有安全功能的二维码扫描器——部分安全应用和二维码扫描器内置保护功能,可以检测并警告用户恶意链接。
- 检查HTTPS和官方域名——如果你扫描了二维码,在输入任何个人信息前,请仔细检查URL。合法网站应在地址中包含“https”,且域名应与公司的官方网站一致。
- 对未经请求的二维码保持怀疑——如果收到的二维码声称提供奖品、折扣或紧急安全警报,需持怀疑态度。诈骗者常利用这些策略引诱受害者扫描。
- 保持手机安全更新——确保手机操作系统和安全软件保持最新状态,这有助于防范来自恶意网站的恶意软件感染。
二维码在短期内不会消失,它们已成为营销、支付和日常互动中的重要工具。但与电子邮件钓鱼和其他网络安全威胁一样,提高警惕是确保安全的关键。扫描前多花几秒钟核实二维码的来源,可以有效避免成为这些日益复杂的诈骗行为的受害者。