警惕二维码诈骗:复杂伎俩及防范方法
QR 码网络钓鱼(也称为 Quishing)是一种复杂的网络安全威胁,黑客会在 QR 码内隐藏恶意链接以窃取个人信息或将恶意软件传播到您的设备上。
如今,二维码(快速响应码)随处可见,从餐厅菜单、广告牌、账单到公交车和火车时刻表。
扫描二维码已成为一种常见习惯,用户只需在手机上进行简单操作即可快速获取信息。然而,这种便利也成了一把双刃剑,网络犯罪分子利用这种不加区分地扫描二维码的习惯,部署了一种名为“Quishing”(扫码钓鱼)的新型诈骗手段。

犯罪分子可以将恶意二维码插入熟悉的表面,或通过电子邮件或短信发送,以诱骗受害者扫描代码并访问虚假网站,从而窃取个人信息或将恶意软件传播到设备上。
Quishing 是什么?
Quishing(二维码欺诈)是一种网络攻击形式,其中恶意行为者将恶意 URL 网址嵌入二维码中,以诱骗用户访问虚假网站。
此二维码不会将您引导至合法网站,而是可能会将您重定向至旨在窃取登录名、密码和个人数据的网络钓鱼网站。
或者偷偷下载恶意软件到您的设备上,让黑客控制、窃取数据或引导您访问包含危险内容的网站。
虽然听起来很简单,但二维码扫描却非常危险。虽然浏览网页时,点击链接前可以先查看网址,但二维码却隐藏着什么,你根本不知道。只需扫描一下,你就可能被带到一个虚假网站,甚至在不知情的情况下被迫下载危险文件。
此外,用户很容易被二维码欺骗,因为它们无处不在,从餐馆、咖啡馆到活动门票、广告,人们可以毫无怀疑地扫描它们。
此外,许多企业使用第三方 URL 缩短器或二维码生成平台。这意味着二维码中嵌入的链接并不总是直接指向其官方网站,这使得确定哪些二维码是安全的变得更加困难。
Quishing 不仅是一种潜在的威胁,而且在现实生活中也曾发生过,并被证明是一种非常有效的骗局。
伪造的二维码在世界各地被用于诈骗。网络犯罪分子只需打印一张包含恶意二维码的贴纸,并将其粘贴在餐厅、停车场、火车站等公共场所的合法二维码上即可。
如何保护自己免受 Quishing 的侵害?
Quishing 是一种日益复杂的威胁,但您可以通过一些简单有效的措施来保护自己。以下是一些关键步骤,可帮助您避免成为此类骗局的受害者:
1. 使用安全的二维码扫描器
最好使用手机自带的默认二维码扫描仪(例如 iOS 和 Android 上的相机)。
避免从第三方下载二维码扫描应用程序,因为其中许多应用程序的安全性和隐私性不佳,可能会收集数据,甚至包含恶意代码。
2. 打开链接前检查 URL
扫描代码后,点击前预览网站地址。
避免使用 URL 缩短器的链接(如 bit.ly、tinyurl、goo.gl),因为不法分子可以隐藏钓鱼网站的真实地址。
3. 限制使用二维码付款
如果可能,请避免使用二维码付款,尤其是在公共场所。如果付款链接指向可疑网址或并非来自官方银行/应用程序,请立即停止。
小心虚假网站,因为网络犯罪分子经常使用与合法网站非常相似的域名(例如,将paypal.com误写为paypall.com)。输入敏感信息前,请务必仔细检查拼写。
4. 不要在公共场合扫描随机二维码
避免扫描广告牌、传单或支付机贴纸上的二维码,因为它们可能已被恶意代码替换。
如果您需要在公共场所扫描二维码,请要求工作人员确认该二维码的合法性。
5. 增强设备安全性
关闭网络浏览器中的自动下载功能,以防止在您访问钓鱼网站时下载恶意软件。
打开隐私功能,例如阻止不安全的网站或在访问可疑网站时发出警告。
6. 扫描前仔细检查实体二维码
仔细检查您要扫描的二维码。如果二维码看起来被覆盖、被编辑过,或者与周围的设计不匹配,请远离。
如果您在付款机或公共场所看到二维码贴纸,请检查是否有被篡改的迹象,并请工作人员进行验证。
简而言之,网络犯罪分子在发起 Quishing 攻击方面越来越精明。请务必保持警惕,点击前仔细检查网址,并避免扫描来自不可信来源的二维码,以保护您的个人和财务数据。