二維碼威脅的興起：從方便到謹慎

您多久不假思索地掃描一下二維碼？如果這個快速的決定可能會讓您面臨數字環境中日益增長的威脅怎么辦？

二維碼掃描已經越來越受歡迎，在我們的數字時代變得至關重要。它們最初是為工業跟蹤而設計的，其易用性使其成為信息共享的首選工具。智能手機時代已經轉向數字支付，二維碼在促進交易和快速訪問數據方面已經變得很常見。

二維碼主要有兩種類型：動態二維碼，可以進行定期更新修改，但容易受到網絡攻擊；靜態二維碼，保持固定和穩定，但可能成為網絡犯罪分子的目標。當我們深入研究二維碼的世界時，了解其動態和潛在風險至關重要，從而揭示其廣泛流行所帶來的陰暗面。 

什么是二維碼釣魚攻擊？

Quishing，也稱為二維碼網絡釣魚，是一種網絡攻擊，網絡犯罪分子利用二維碼誘騙用戶提供敏感信息或下載惡意內容。他們創建逼真的 QR 碼，采用社會工程，并利用 QR 碼閱讀器應用程序中的漏洞。

取消釣魚攻擊與常見的網絡釣魚攻擊

網絡釣魚攻擊涉及欺騙手段，誘騙個人泄露用戶名、密碼或財務詳細信息等敏感信息。這些攻擊通過看似值得信賴的渠道（例如電子郵件或即時消息）模仿信譽良好的實體，其主要目標是未經授權的訪問或盜竊。

消除攻擊是對傳統網絡釣魚方案的細微差別。攻擊者利用 QR 碼融入日常環境的能力，通過印刷材料或電子郵件等各種渠道輕松分發。此方法提供了一種快速且隱蔽的方法，可將用戶重定向到欺詐網站，用戶可能會無意中泄露敏感信息。攻擊者受益于與 QR 碼相關的廣泛使用和信任，利用其便利性并經常繞過用戶對底層 URL 的審查。

攻擊過程的逐步分解

創建惡意二維碼
網絡犯罪分子設計看似合法的二維碼，但會將用戶重定向到欺詐網站或提示下載惡意內容。

社會工程技術 網絡
釣魚者經常使用說服性消息來操縱用戶掃描惡意二維碼。這些消息可能承諾獎勵、折扣或緊急警報，以營造緊迫感或興奮感。

分發渠道
惡意二維碼通過各種渠道傳播，包括網絡釣魚電子郵件、虛假廣告，甚至海報和傳單等實物，在線上和線下空間中利用毫無戒心的受害者。

偽裝技術

由于攻擊者利用偽裝技術，惡意 QR 碼通常在視覺上與合法二維碼無法區分。這涉及模仿品牌、徽標和設計元素來欺騙用戶，利用區分真實代碼和惡意代碼的挑戰。

重定向到欺詐網站
一旦掃描二維碼，受害者就會被重定向到模仿合法網站的虛假網站，提示他們輸入用戶名和密碼或財務詳細信息等敏感信息。

下載惡意內容
在某些情況下，掃描惡意二維碼可能會啟動將惡意軟件下載到用戶的設備上，從而危及安全并可能導致進一步的網絡攻擊。

數據收集和身份盜竊
網絡釣魚者收集受害者在虛假網站上輸入的信息，從而導致身份盜竊、財務損失或未經授權訪問個人帳戶。

現實生活中的例子

2022 年 2 月，亞特蘭大的司機在他們的車上發現了假停車罰單，上面帶有所謂的罰款支付二維碼。發現這一情況后，當地政府向居民發出警報，強調亞特蘭大的真正停車票不包含二維碼。

同年，中國發生了一場二維碼網絡釣魚活動，冒充中國財政部，通過虛假的政府撥款申請來引誘用戶。受害者被指示使用微信應用掃描電子郵件附件中的二維碼。掃描后，用戶被引導至一個欺騙性頁面，他們以申請不存在的補助金為幌子，無意中泄露了詳細的信用卡和銀行賬戶信息。 

保護自己免受二維碼詐騙

l 將智能手機的操作系統和安全功能保持更新到最新版本。

l 啟用 MFA 以獲得額外的安全層來保護您的個人信息。

l 在電子郵件中遇到 QR 碼時請務必小心，因為它們可用于網絡釣魚嘗試。

l 通過信譽良好的安全軟件采用網絡過濾來阻止惡意網站和潛在威脅。

l 通過威脅情報源隨時了解與二維碼詐騙相關的新興威脅。