二維碼已成為日常生活中的一種便捷工具，只需簡(jiǎn)單掃描，用戶便能快速訪問(wèn)網(wǎng)站、支付平臺(tái)或數(shù)字菜單。然而，隨著二維碼的普及，網(wǎng)絡(luò)犯罪分子對(duì)其的興趣也與日俱增。一種被稱為“二維碼釣魚”或“quishing”的攻擊方式，雖然并非全新，但正逐漸興起。這種攻擊通過(guò)誘導(dǎo)用戶掃描惡意二維碼，竊取個(gè)人信息、安裝惡意軟件或?qū)⒂脩糁囟ㄏ蛑猎p騙網(wǎng)站。

圖中展示了英格蘭西約克郡柯克利斯市停車計(jì)費(fèi)器上的惡意二維碼真實(shí)案例。（來(lái)源：柯克利斯市議會(huì)）

二維碼釣魚的運(yùn)作方式

網(wǎng)絡(luò)犯罪分子通過(guò)多種方式利用二維碼實(shí)施詐騙。最常見的方法之一是在合法的二維碼上覆蓋假二維碼。這種情況常發(fā)生在餐廳、停車計(jì)費(fèi)器或其他公共場(chǎng)所，這些地方通常會(huì)使用二維碼提供服務(wù)。當(dāng)用戶掃描假二維碼時(shí)，可能會(huì)被引導(dǎo)至看似合法、實(shí)則旨在竊取登錄憑證、財(cái)務(wù)信息或其他敏感數(shù)據(jù)的網(wǎng)站。

另一種方式是通過(guò)電子郵件或短信發(fā)送二維碼，聲稱來(lái)自銀行、快遞服務(wù)或技術(shù)支持團(tuán)隊(duì)等可信來(lái)源。這類信息通常會(huì)制造緊迫感，例如告知用戶賬戶已遭入侵或需要驗(yàn)證支付。一旦用戶掃描，便會(huì)在不知不覺中將私人信息拱手送給黑客。

據(jù)二維碼生成工具Online QR Code稱，二維碼有多種類型，幾乎每種類型都可能被詐騙者濫用。這意味著無(wú)論二維碼是通過(guò)海報(bào)、電子郵件還是看似正式的文件呈現(xiàn)，只要來(lái)源未經(jīng)核實(shí)，就存在風(fēng)險(xiǎn)。

為何二維碼釣魚如此有效

二維碼釣魚之所以有效，是因?yàn)槎S碼本身不會(huì)立即顯示其指向的鏈接。與傳統(tǒng)鏈接不同，用戶無(wú)法直接將鼠標(biāo)懸停在二維碼上方預(yù)覽其URL，掃描二維碼通常會(huì)直接將用戶引導(dǎo)至目標(biāo)網(wǎng)站，且沒有任何即時(shí)警告。在移動(dòng)設(shè)備上，大多數(shù)二維碼掃描行為發(fā)生，這使得詐騙者更容易在不覺中得手。

此外，許多人信任二維碼，因?yàn)樗鼈兪呛戏ㄆ髽I(yè)和組織廣泛使用的工具。詐騙者利用這種信任，將惡意二維碼放置在人們通常不會(huì)懷疑其真實(shí)性的地方。這也正是美國(guó)聯(lián)邦調(diào)查局（FBI）不得不發(fā)出關(guān)于二維碼釣魚警告的原因。

如何防范二維碼釣魚

盡管二維碼釣魚威脅日益增加，但通過(guò)以下簡(jiǎn)單步驟，你可以有效保護(hù)自己：

• 掃描前核實(shí)——在公共場(chǎng)所看到二維碼時(shí)，檢查其是否有被篡改的跡象。如果發(fā)現(xiàn)二維碼上貼有其他標(biāo)簽，請(qǐng)避免掃描。
• 預(yù)覽URL——部分智能手機(jī)攝像頭和二維碼掃描應(yīng)用允許用戶在打開鏈接前預(yù)覽URL。如果URL看起來(lái)可疑或與預(yù)期目的地不匹配，切勿繼續(xù)操作。
• 避免掃描來(lái)自郵件或短信的二維碼——對(duì)于通過(guò)電子郵件或短信發(fā)送的二維碼，尤其是未經(jīng)請(qǐng)求或帶有緊急信息的，需保持警惕。建議手動(dòng)輸入官方網(wǎng)站地址，而非直接掃描二維碼。
• 使用具有安全功能的二維碼掃描器——部分安全應(yīng)用和二維碼掃描器內(nèi)置保護(hù)功能，可以檢測(cè)并警告用戶惡意鏈接。
• 檢查HTTPS和官方域名——如果你掃描了二維碼，在輸入任何個(gè)人信息前，請(qǐng)仔細(xì)檢查URL。合法網(wǎng)站應(yīng)在地址中包含“https”，且域名應(yīng)與公司的官方網(wǎng)站一致。
• 對(duì)未經(jīng)請(qǐng)求的二維碼保持懷疑——如果收到的二維碼聲稱提供獎(jiǎng)品、折扣或緊急安全警報(bào)，需持懷疑態(tài)度。詐騙者常利用這些策略引誘受害者掃描。
• 保持手機(jī)安全更新——確保手機(jī)操作系統(tǒng)和安全軟件保持最新狀態(tài)，這有助于防范來(lái)自惡意網(wǎng)站的惡意軟件感染。

二維碼在短期內(nèi)不會(huì)消失，它們已成為營(yíng)銷、支付和日?；?dòng)中的重要工具。但與電子郵件釣魚和其他網(wǎng)絡(luò)安全威脅一樣，提高警惕是確保安全的關(guān)鍵。掃描前多花幾秒鐘核實(shí)二維碼的來(lái)源，可以有效避免成為這些日益復(fù)雜的詐騙行為的受害者。