你可能会在停车场、餐厅里,或者在收到的传统信件上看到它们。二维码(QR code)提供了轻松和便利,但并非所有二维码都是安全的。
一种名为“Quishing”(二维码网络钓鱼)的新型骗局日益猖獗,犯罪分子只需用一张小小的贴纸覆盖在合法二维码上,就可能在你扫描后瞬间窃取你的银行信息或在手机中植入恶意软件。
什么是Quishing?
Quishing,即二维码网络钓鱼(QR code phishing),指的是使用一种特殊的二维码,当用户扫描后,会被导向一个仿冒合法网站的恶意网站,这些网站旨在窃取个人信息。在某些情况下,扫描二维码会使手机感染危险的软件,即恶意软件。
网络安全公司Malwarebytes的产品副总裁Michael Sherwood说:“当你看一个二维码时,你很难察觉到它有问题,因为它只是一个图像,不一定有任何‘迹象’表明它是恶意的。”
与其他类型的网络钓鱼攻击不同,quishing更为棘手,因为用户无法通过简单地查看代码来判断其是否恶意。
安省的Quishing骗局
过去几年,加拿大的不同地区都曾发现过恶意二维码。在安省,渥太华市曾警告居民,在“先付费后展示”(pay and display)的停车收费机上发现了quishing骗局,这些收费机被人用假的二维码贴纸动了手脚。
数十个路边的收费机受到了影响,扫描了恶意二维码的人被带到了一个假的PayByPhone网站。
阿尔伯塔省红鹿市(Red Deer)的皇家骑警(RCMP)去年也曾发出警告,提醒人们警惕不熟悉的二维码。
在一个案例中,有人收到了一个他们并未订购的奢侈品包裹。当他们打开包裹时,里面有一张纸条指示他们扫描一个二维码,结果发现该二维码来自一个诈骗者。
在其他案例中,诈骗者会将一个假的二维码贴纸覆盖在一个合法的二维码之上。
警方警告人们,除非他们确信二维码是可靠的,否则不要扫描。
Quishing是如何运作的?
攻击通常由网络犯罪分子创建一个恶意二维码开始。该代码旨在将用户重定向到一个仿冒网站,以窃取受害者的敏感信息,或者它也可能被设计成将恶意软件下载到设备中。
据Malwarebytes称,这些恶意代码可能以图片或附件的形式插入到电子邮件中,通过即时通讯应用发送,嵌入到社交媒体帖子或广告中,或者被放置在公共区域,如餐厅、公共咪表、假的活动海报和充电站。
在某些情况下,这些二维码也会通过邮件发送到目标的家中,附在一个伪装成特殊礼物的包裹里,并附有扫描代码的说明。
一旦代码被扫描,受害者就会被带到一个页面,他们可能会被提示输入银行信息,或者在不知情的情况下将恶意软件下载到自己的设备上。
新型骗局可规避检测
根据网络安全公司INKY的一份报告,一种危险的新quishing策略甚至不需要用户点击链接,而是在二维码被扫描后立即将用户带到恶意网站。
报告称,这使得黑客能够规避常见的安全过滤器。
滑铁卢大学网络安全与隐私研究所的Kami Vaniea表示,攻击者通过创建一个以“data”而不是“https”开头的特殊URL来实现这一点,并将所有网站代码直接嵌入到该data URL本身。这样一来,恶意代码就直接嵌入到二维码中,而不是链接到一个外部网站。
“这使得攻击者可以直接给你网站代码,而无需访问https类型的URL,从而有效地绕过了大多数过滤器。”
Sherwood说,这类二维码骗局可能变得更加危险,它会将以前需要人们手动操作的步骤自动化,例如点击链接。不过,他说,这种复杂的攻击很少见。
尽管如此,专家建议在处理二维码时要保持谨慎。
如何防范Quishing骗局
Sherwood说:“安全的方法是,只扫描你熟悉的二维码,不要扫描你在街上或公交上看到的随机二维码。”
Vaniea说,关闭二维码阅读器应用中的自动打开或访问功能也是一个值得推荐的做法。“这给了用户在访问网站之前检查URL的机会。”
她建议,定期更新软件和设备也很重要。“如果这种新的quishing攻击开始被频繁使用,大型浏览器提供商将开始对其进行扫描并向用户发出警告,”这些安全补丁将通过浏览器更新的形式提供。“如果你不确定,就不要扫描二维码,而是使用搜索引擎来查找你想要的东西。”
