Quishing 二维码钓鱼攻击识别技术与多层防御体系实证研究

在线体验各类最新模型,更有模型 免费Token 额度领取!
立即体验
简介: 本文系统分析二维码钓鱼(Quishing)攻击新态势,揭示其线上HTML虚拟二维码、线下贴纸篡改等全渠道传播手法,指出传统检测失效根源。提出覆盖邮件网关、终端、线下场景与人员运营的四层闭环防御体系,并提供两套可落地Python检测代码,助力政企构建移动端身份安全防线。(239字)

摘要

基于 ZDNet 发布的二维码钓鱼(Quishing)专题报道,本文系统梳理全球移动端二维码钓鱼攻击的规模化传播态势,拆解线上邮件、短信载体与线下实体贴纸两类 Quishing 攻击完整杀伤链,剖析二维码信息隐藏特性带来的传统钓鱼检测失效根源。研究归纳攻击者规避邮件网关、终端安全工具的主流技术手段,包括 HTML 表格虚拟二维码、短链接多层跳转、实体贴纸覆盖篡改等实操方案,结合真实攻击样本量化钓鱼行为识别特征。反网络钓鱼技术专家芦笛指出,二维码将恶意链接视觉封装的特性大幅降低用户风险感知能力,传统 URL 黑名单、静态文本检测无法覆盖此类新型攻击,企业与个人均存在显著防护盲区。本文构建覆盖邮件网关、终端设备、线下场景、人员安全运营的四层闭环防御架构,提供邮件 HTML 虚拟二维码检测、恶意 URL 解析校验两套可落地 Python 代码示例,区分线上电子载体、线下实体二维码制定差异化识别标准与拦截策略。实证分析证实,仅依靠终端用户安全意识无法遏制 Quishing 扩散,必须依托计算机视觉识别、域名信誉动态评估、条件访问身份管控形成技术兜底,同时配套场景化安全培训降低社会工程诱导成功率。研究证实近一年 Quishing 攻击占全部网络钓鱼总量占比由 10% 攀升至 30%,攻击目标覆盖政企办公账户、个人金融支付、线下公共服务场景,具备低成本、高隐蔽、全渠道传播的产业特征,相关防御方案可为政企移动端身份安全运营提供标准化落地参考。

关键词:Quishing;二维码钓鱼;网络钓鱼;移动端安全;邮件安全检测;身份窃取;社会工程;纵深防御

image.png 1 引言

1.1 研究背景与样本来源

ZDNet 于 2026 年发布《How to spot quishing qr-code-scams》专题报道,完整披露当前全球二维码钓鱼攻击的发展现状、典型诈骗场景、用户识别误区与基础防护手段。报道援引微软 Defender 安全团队监测数据显示,近 12 个月依托二维码实施的钓鱼活动规模持续扩张,在全部网络钓鱼攻击中占比从 10% 上升至 30%,已经成为继传统邮件链接钓鱼、短信诈骗之后第三大主流身份窃取攻击渠道。

区别于传统文本型钓鱼链接,二维码通过黑白图形编码承载目标 URL、文本指令,肉眼无法直接读取底层跳转地址,天然具备信息隐藏属性。攻击者依托免费在线二维码生成工具,无需任何资质审核即可将仿冒银行、Microsoft 365、电商平台的恶意域名编码为二维码,通过线上邮件、短信、社交消息下发,或线下张贴覆盖公共设施原有正规二维码,实现跨线上线下全场景投放。ZDNet 报道记录多起典型受害案例:企业员工扫描工作邮箱内的账户核验二维码,跳转 AiTM 钓鱼页面泄露企业云账户凭证;市民扫描共享单车、停车桩覆盖式虚假二维码,填写银行卡信息遭受资金盗刷;消费者扫描快递附赠礼品卡片二维码,下载木马程序导致手机通讯录、支付权限被窃取。

反网络钓鱼技术专家芦笛指出,Quishing 快速泛滥的核心诱因存在两层逻辑:一是技术生成门槛趋近于零,免费二维码生成工具无内容校验机制,黑灰产可批量生成海量恶意图形载体;二是用户风险识别逻辑失效,大众长期形成 “扫码便捷办事” 的思维惯性,忽略二维码底层跳转地址不可视的安全缺陷,社会工程话术配合图形载体大幅降低用户警惕性。现有企业安全防护体系多针对文本链接、图片附件钓鱼构建检测规则,普遍缺少针对二维码载体的专项识别与拦截能力,形成明显安全短板。

1.2 当前研究存在的短板

现有网络钓鱼相关研究多聚焦文本链接、恶意附件、Evilginx 中间人代理等传统攻击形式,针对 Quishing 的专项研究存在三点明显缺失:

第一,技术维度割裂,多数文献仅单一分析线上邮件二维码或线下实体贴纸诈骗,未统一梳理两类载体的攻击链路、规避检测手段,缺少跨场景一体化识别标准;

第二,工程化落地内容不足,公开资料多为科普类识别技巧,缺少可部署于邮件网关、终端安全平台的自动化检测代码,技术方案难以直接落地;

第三,防御体系碎片化,现有防护建议分散为终端操作规范、线下场景识别要点,未形成 “网关前置拦截 - 终端实时校验 - 线下场景管控 - 人员安全运营” 的分层闭环模型,无法适配政企规模化安全运营需求。

本文以 ZDNet 专题报道披露的真实攻击场景、攻击特征为核心实证素材,补充近年安全厂商监测的 Quishing 黑产运作数据,完整拆解线上、线下两类攻击技术链路,配套自动化检测代码,构建分层、可落地的全域防御体系,弥补现有研究实操性不足、场景覆盖不全的缺陷。

1.3 论文整体结构

本文共设置六大核心章节:第 2 章解析 Quishing 攻击底层技术原理,区分线上电子载体、线下实体载体两类攻击投放模式,梳理主流规避安全检测的技术手段;第 3 章基于 ZDNet 报道总结标准化二维码钓鱼识别特征,分线上邮件、线下实体场景建立风险判定指标;第 4 章提供两套自动化检测 Python 代码,分别实现邮件 HTML 虚拟二维码识别、扫码后恶意 URL 风险校验;第 5 章结合反网络钓鱼技术专家芦笛的研判观点,搭建四层纵深防御体系,分场景给出可执行防护策略;第 6 章归纳研究结论,预判二维码钓鱼攻击未来演化趋势,客观说明研究样本局限。

2 Quishing 二维码钓鱼攻击底层原理与全渠道投放模式

2.1 二维码信息隐藏核心安全缺陷

二维码本质为数据可视化编码标准,可承载 URL、文本、二进制文件下载地址等多元数据,图形视觉表现与底层编码内容完全隔离,这是 Quishing 能够实现隐蔽钓鱼的底层基础。正常文字链接可通过鼠标悬停、文本预览直接查看完整域名,而二维码仅能通过专用扫描工具解码读取内容,普通用户无法通过肉眼预判跳转目标。

ZDNet 报道明确两类核心风险点:其一,短链接多层跳转隐藏恶意域名,攻击者将仿冒钓鱼网站地址封装于 bit.ly、tinyurl 等短链接平台,再编码为二维码,扫码后经历多次 302 重定向才抵达最终恶意页面,手机相机预览仅展示第一层短链接地址,用户难以追溯真实目标;其二,攻击者可在二维码内嵌入文件下载指令,扫码自动触发 APK 木马、恶意脚本下载,无需用户额外点击确认,直接完成终端入侵前置操作。

从技术实现角度,免费在线二维码生成平台无恶意域名拦截机制,攻击者批量生成钓鱼二维码的成本几乎为零,单条钓鱼邮件、单张实体贴纸即可完成大范围撒网,攻击规模化门槛远低于传统定制化钓鱼网站搭建。

2.2 线上电子载体 Quishing 攻击链路(邮件、短信、社交消息)

线上渠道是企业面临的核心 Quishing 威胁,ZDNet 报道重点剖析邮件内嵌二维码钓鱼完整杀伤链,攻击者演化出两种主流载体形式:图片嵌入二维码、HTML 表格虚拟二维码,后者可绕过传统邮件网关图片 OCR 识别检测。

2.2.1 图片嵌入型二维码攻击流程

载荷制作:攻击者注册仿冒企业、金融机构的拼写错误域名,将钓鱼页面 URL 编码为 PNG/JPG 格式二维码图片;

邮件投递:伪造官方发件人邮箱,正文搭配紧迫性话术,例如 “账户今日过期,请扫码完成核验”“快递理赔需扫码提交银行卡信息”,嵌入二维码图片;

用户扫码:员工使用手机相机扫描邮件内图片,系统预览短链接或模糊域名,受紧迫性话术诱导直接跳转;

凭证窃取:跳转至高仿真登录页面,诱导输入账号密码、短信 MFA 验证码,数据实时回传攻击者后台;

横向扩散:利用劫持的企业邮箱向组织全员批量发送同源二维码钓鱼邮件,扩大受害范围。

2.2.2 HTML 表格虚拟二维码规避检测技术

该手法为 2025 年底兴起的新型规避方案,ZDNet 配套安全厂商监测数据记录大量同类攻击样本。攻击者不嵌入图片文件,通过 HTML 表格黑白单元格拼接,在视觉上复刻二维码图案,传统邮件网关仅对附件、图片文件执行 OCR 二维码识别,无法解析纯表格绘制的虚拟二维码,直接放行恶意邮件。

技术实现逻辑:利用 HTML 表格<table>标签拆分大量单元格,黑色单元格填充#000000、白色单元格填充#ffffff,按照二维码模块排布规则拼接图形,普通用户打开邮件后视觉上无法区分图片二维码与表格虚拟二维码,扫码行为完全一致。此类攻击大幅提升邮件网关检测难度,成为企业办公环境高频风险。

2.2.3 短信、社交渠道辅助投放逻辑

短信、微信、企业微信社交渠道的 Quishing 攻击依托精准数据泄露开展,攻击者通过黑产购买用户网购、快递、社保信息,针对性发送定制化钓鱼短信,内嵌二维码图片。相较于邮件,短信无发件人域名校验机制,用户更容易信任短信内的官方话术,扫码转化率高于邮件渠道。

2.3 线下实体载体 Quishing 攻击链路(公共场景贴纸篡改)

线下实体二维码诈骗针对普通民众,同时覆盖园区停车、园区缴费、企业访客登记等政企线下场景,ZDNet 实地走访记录多类篡改投放手段,核心攻击流程统一分为三步:

物理篡改:使用透明、同色系不干胶贴纸打印恶意二维码,完整覆盖原有正规二维码,贴合于停车桩、共享单车、电梯广告、缴费公示牌表面,光线不足环境下肉眼难以分辨贴纸痕迹;

场景诱导:依托线下场景固有需求制造紧迫感,例如停车超时缴费、共享单车解锁、访客信息登记,用户出于办事刚需直接扫码;

多层危害分支:扫码后分三类恶意结果,跳转仿冒支付页面窃取银行卡信息、诱导下载木马 APP 获取手机全权限、跳转虚假积分兑换页面套取身份证、手机号隐私数据。

线下载体存在特殊检测难点:企业、商圈运维人员无法全天候巡检全部张贴点位,贴纸篡改行为隐蔽性极强,静态域名黑名单无法拦截线下实体二维码带来的即时访问风险,必须依靠用户扫码前人工核验与扫码后终端域名校验双重防护。

2.4 黑产规模化运营配套手段

ZDNet 报道同步披露 Quishing 黑色产业链标准化分工:上游工具开发者维护免费二维码生成站点、短链接批量跳转平台,提供域名抢注、仿冒页面模板;中层运营者批量采购泄露公民信息,分线上邮件、线下实体两条渠道投放载荷;下游变现团伙通过窃取的金融凭证实施盗刷,通过劫持的企业云账户批量倒卖内部数据。同时产业链配套 AI 生成诱导话术,针对银行、电商、政企 IT 部门定制差异化胁迫文案,进一步提升扫码成功率。

3 Quishing 二维码钓鱼标准化识别特征(基于 ZDNet 实证样本)

结合 ZDNet 报道收录的数百份真实钓鱼样本,分线上电子载体、线下实体载体建立可量化风险识别指标,全部特征均为攻击者高频复用的标准化套路,可作为自动化检测、人工风险研判核心依据。

3.1 线上邮件 / 短信二维码五大高危识别特征

发件主体可信度异常

邮件发件域名与宣称机构官方域名不匹配,仿冒微软、银行、企业 IT 部门的钓鱼邮件多使用免费邮箱域名;短信发送方为 106 陌生虚拟通道,无官方机构专属短信签名。反网络钓鱼技术专家芦笛强调,正规机构涉及账户核验、资金操作的通知,不会通过个人免费邮箱、无签名陌生短信下发二维码,该特征为首要筛查指标。

话术存在强紧迫感、利益诱导

正文出现 “今日失效”“立即扫码核验”“三倍理赔”“免费大额优惠券” 等话术,通过制造焦虑、贪图小利的心理压缩用户思考判断时间,刻意规避用户对二维码底层地址的核验行为。

二维码解码后域名存在明显异常

扫码预览地址为数字 IP、多级短链接跳转、拼写错误仿冒域名(如microsoft-secure-verif.com替代microsoft.com)、路径包含/verify /pay-now /update-account等高风险诱导路径;正规机构官方服务二维码极少使用短链接、裸 IP 地址。

页面加载后强制索取敏感信息

跳转页面无任何业务内容展示,第一弹窗直接要求填写银行卡、身份证、账户密码、短信验证码;正规业务页面会先展示服务说明,不会一进入页面即索要核心隐私凭证。

载体形式异常规避检测

邮件内无图片附件,仅依靠 HTML 表格绘制虚拟二维码;二维码图片尺寸过小、模糊压缩,刻意降低邮件网关 OCR 识别成功率。

3.2 线下实体二维码四大物理识别特征

表面存在粘贴篡改痕迹

触摸二维码区域有分层贴纸凸起,边缘存在裁切毛边、色差,光线斜射下可看出两层图形叠加;正规印刷二维码直接印制于展板、设备外壳,无分层触感。

场景与二维码功能逻辑不匹配

停车桩二维码跳转至积分兑换页面、电梯广告二维码跳转账户安全核验页面,业务场景与扫码后服务无合理关联,属于典型诈骗配置。

无官方文字说明佐证

二维码周边未印刷官方客服电话、正规业务介绍,仅单独张贴二维码,缺少场景配套说明文字;正规线下便民码均配套完整业务指引。

张贴位置偏僻、光线昏暗

攻击者优先选择楼道角落、停车桩背光面、夜间无人值守设施投放篡改贴纸,利用环境视觉缺陷降低用户核验意愿。

3.3 通用跨场景风险判定规则

无论线上、线下二维码,满足以下任意一条即可判定为高风险载体:解码后跳转地址未使用 HTTPS 加密;域名注册时间不足 30 天,无正规企业备案;单次扫码后自动触发 APK、exe 文件下载;页面请求授予手机通讯录、屏幕共享、支付权限。

4 Quishing 自动化检测代码实现与功能说明

本章配套两套 Python 工程化检测代码,分别解决邮件网关虚拟二维码筛查、终端扫码 URL 风险校验两大核心需求,代码逻辑贴合 ZDNet 报道披露的攻击特征,可直接集成于邮件安全网关、企业终端安全巡检平台。

4.1 代码一:邮件 HTML 表格虚拟二维码检测脚本

该脚本基于 BeautifulSoup 解析邮件 HTML 源码,识别利用黑白单元格拼接的虚拟二维码,拦截规避图片 OCR 检测的新型 Quishing 邮件,适配 Outlook、企业自建邮件网关批量筛查场景。

from bs4 import BeautifulSoup

import re


def detect_html_fake_qr(html_content: str) -> dict:

   """

   检测邮件HTML中表格拼接的虚拟二维码(Quishing规避检测手段)

   :param html_content: 邮件原始HTML文本

   :return: 风险判定结果,包含风险等级、匹配特征

   """

   soup = BeautifulSoup(html_content, "html.parser")

   all_tables = soup.find_all("table")

   risk_score = 0

   risk_details = []

   # 匹配纯黑白单元格配色(二维码基础特征)

   black_color_reg = re.compile(r"#000000|black", re.IGNORECASE)

   white_color_reg = re.compile(r"#ffffff|white", re.IGNORECASE)


   for table in all_tables:

       all_cells = table.find_all("td")

       cell_count = len(all_cells)

       # 二维码基础尺寸阈值:单元格数量介于1200-3000之间

       if 1200 <= cell_count <= 3000:

           black_cells = 0

           white_cells = 0

           for cell in all_cells:

               cell_style = cell.get("style", "")

               if black_color_reg.search(cell_style):

                   black_cells += 1

               elif white_color_reg.search(cell_style):

                   white_cells += 1

           # 黑白单元格配比符合二维码模块分布特征

           if black_cells > 100 and white_cells > 100:

               risk_score += 70

               risk_details.append(f"检测到疑似虚拟二维码表格,单元格总数:{cell_count}")

   # 附加风险特征:正文包含扫码诱导关键词

   scam_keywords = ["扫码核验", "账户过期", "立即扫码", "理赔", "积分兑换"]

   for keyword in scam_keywords:

       if keyword in html_content:

           risk_score += 15

           risk_details.append(f"邮件正文包含钓鱼诱导话术:{keyword}")

   # 风险分级判定

   if risk_score >= 70:

       risk_level = "高风险-疑似Quishing钓鱼邮件,建议直接拦截"

   elif risk_score >= 30:

       risk_level = "中风险-存在二维码钓鱼特征,人工复核"

   else:

       risk_level = "低风险-无虚拟二维码风险特征"

   return {

       "risk_level": risk_level,

       "risk_score": risk_score,

       "risk_details": risk_details

   }


# 测试示例

if __name__ == "__main__":

   # 此处替换为邮件网关获取的真实HTML源码

   test_mail_html = "<html><body><table>大量黑白单元格拼接代码省略</table><p>扫码完成账户核验,今日失效</p></body></html>"

   result = detect_html_fake_qr(test_mail_html)

   print("邮件二维码风险检测报告:")

   for k, v in result.items():

       print(f"{k}:{v}")

反网络钓鱼技术专家芦笛补充说明,该脚本为前端筛查工具,实际部署时需配套 OCR 图片二维码识别模块,实现 “图片二维码 + HTML 虚拟二维码” 双维度全覆盖检测,单一脚本存在漏报可能性,需组合使用。

4.2 代码二:扫码后 URL 域名风险自动校验脚本

部署于企业终端安全客户端,用户扫码获取目标 URL 后自动调用脚本,比对域名信誉库、风险路径关键词,实时弹窗预警恶意跳转地址,适配手机、电脑终端扫码场景。

import requests


# 风险特征库,基于ZDNet钓鱼样本整理

SHORT_DOMAIN_LIST = ["bit.ly", "tinyurl.com", "t.co"]

HIGH_RISK_PATH = ["/verify", "/pay-now", "/update-account", "/claim-rebate"]

# 企业可信域名白名单

TRUST_DOMAIN = ["microsoft.com", "company-intranet.com", "bank-official.com"]


def check_scan_url_safety(target_url: str) -> dict:

   """

   校验二维码解码后的URL是否属于钓鱼风险地址

   """

   risk_flag = False

   alert_msg = []

   # 1. 判断是否为短链接域名

   for short_d in SHORT_DOMAIN_LIST:

       if short_d in target_url:

           risk_flag = True

           alert_msg.append("风险:使用短链接隐藏真实跳转地址")

   # 2. 提取域名判断是否在可信白名单

   domain = target_url.split("/")[2] if "//" in target_url else target_url

   trust_match = any(trust in domain for trust in TRUST_DOMAIN)

   if not trust_match:

       risk_flag = True

       alert_msg.append(f"风险:域名{domain}未录入企业可信白名单")

   # 3. 检测高危钓鱼路径

   for risk_path in HIGH_RISK_PATH:

       if risk_path in target_url:

           risk_flag = True

           alert_msg.append(f"风险:URL包含敏感诱导路径{risk_path}")

   # 4. 校验是否为HTTP无加密协议

   if target_url.startswith("http://") and not target_url.startswith("https://"):

       risk_flag = True

       alert_msg.append("风险:网站未启用HTTPS加密,存在凭证窃取风险")

   # 5. 简易域名存活探测(规避失效正规域名被抢注钓鱼场景)

   try:

       resp = requests.head(target_url, timeout=3)

       reg_time = resp.headers.get("domain-register-date", "")

       if reg_time and int(reg_time[:4]) >= 2026:

           alert_msg.append("预警:域名注册时间不足1年,可疑新注册钓鱼域名")

   except Exception:

       alert_msg.append("预警:域名无法正常访问,存在失效域名劫持风险")

   # 输出校验结果

   if risk_flag:

       level = "高危,禁止访问该页面"

   else:

       level = "低风险,可信业务域名"

   return {

       "scan_url": target_url,

       "risk_level": level,

       "alert_detail": alert_msg

   }


# 测试调用

if __name__ == "__main__":

   test_mal_url = "https://bit.ly/microsoft-verify-account/update-account"

   res = check_scan_url_safety(test_mal_url)

   print("二维码URL安全校验结果:")

   print(res)

脚本运行逻辑贴合 ZDNet 报道给出的用户识别规范,将人工核验标准转化为自动化判定规则,降低终端用户人工判断负担,实现扫码行为前置风险拦截。

5 面向 Quishing 攻击的四层闭环纵深防御体系

结合 ZDNet 报道提出的防护建议,叠加反网络钓鱼技术专家芦笛的分层防御研判,构建覆盖邮件网关前置拦截、终端实时校验、线下实体场景管控、人员安全运营培训的四层防护模型,各层级策略相互补充,消除单一防护手段的局限性。

5.1 第一层:邮件网关前置拦截(阻断线上电子载体 Quishing)

企业办公场景核心防线,从源头拦截内嵌恶意二维码的钓鱼邮件,配套双重检测机制:

图片 OCR 二维码识别 + HTML 表格虚拟代码双筛查

邮件网关部署 OCR 图像识别模块,对所有图片附件、内嵌图片执行二维码解码,提取底层 URL 与域名信誉库比对;集成 4.1 节虚拟二维码检测脚本,拦截表格拼接的规避型钓鱼邮件,两类检测同步运行,避免单一检测漏报。

多维度邮件风险评分机制

综合发件人域名信誉、正文诱导话术、二维码解码后域名风险三项指标加权评分,高分邮件直接隔离至垃圾邮件隔离区,同时推送告警至安全运营人员;中风险邮件添加醒目红色风险提示标签,强制员工扫码前阅读预警。

短链接域名全局阻断

在邮件网关黑名单批量录入 bit.ly、tinyurl 等全部主流短链接平台,凡是二维码解码指向短链接的邮件统一标记高危,仅允许管理员白名单内业务短链接放行。

5.2 第二层:终端设备实时安全校验(线上、线下扫码通用防护)

覆盖员工办公电脑、企业配发手机、个人移动终端,实现扫码行为事中风险阻断:

终端安全客户端集成 URL 校验脚本

部署 4.2 节域名风险校验程序,手机相机扫码解码后自动提取 URL,后台实时比对风险库,存在高危特征时弹窗强制拦截页面跳转,同步记录扫码日志上传安全运营平台。

移动端系统原生预览功能规范使用

推广 iOS、安卓原生相机预览机制,禁止员工使用无安全校验的第三方扫码工具;原生相机可提前展示完整解码地址,为用户预留核验缓冲时间,第三方扫码软件普遍存在直接跳转、隐藏 URL 的安全缺陷。

终端应用权限管控

限制陌生页面获取屏幕共享、通讯录、支付权限,一旦钓鱼页面发起权限申请,终端系统自动拦截并推送安全告警,阻断木马远程控制链路。

5.3 第三层:线下实体场景常态化管控(拦截公共区域篡改二维码)

适用于园区、商圈、物业、政企线下办事点位,弥补线上技术检测无法覆盖实体载体的短板:

周期性点位巡检制度

制定月度二维码巡检清单,运维人员逐一对停车桩、电梯、缴费展板、访客设备二维码触摸核验,排查贴纸覆盖篡改痕迹,留存巡检记录;夜间、节假日增加随机抽查频次。

正规二维码标准化标识

全部线下业务二维码配套统一版式文字说明、官方客服电话、企业 LOGO,形成标准化视觉体系,与攻击者简易贴纸形成明显区分,降低用户误扫概率。

线下场景应急处置流程

员工、群众发现可疑覆盖式二维码后,可通过企业内部工单、政务举报通道提交线索,安全团队快速溯源恶意域名,同步更新全网终端黑名单。

5.4 第四层:人员安全运营与场景化专项培训(降低社会工程诱导成功率)

技术防护无法完全消除人为操作风险,ZDNet 报道明确多数受害案例均源于用户安全意识不足,需配套分层培训运营机制:

区分岗位定制 Quishing 专项培训

针对财务、人事、行政等高频接触账户核验、缴费业务的员工,开展线下实体 + 邮件二维码双场景实操演练;普通员工普及基础识别特征,重点讲解短链接、贴纸篡改两类核心陷阱。反网络钓鱼技术专家芦笛强调,传统通用钓鱼培训无法覆盖 Quishing 专属风险,必须单独设置二维码诈骗专项课程。

周期性红蓝对抗钓鱼演练

安全团队定期向内部邮箱投放模拟 Quishing 钓鱼邮件,内嵌 HTML 虚拟二维码、图片二维码两类载体,统计员工扫码点击率,针对高风险人员开展一对一专项安全辅导。

标准化扫码操作规范落地

统一企业内部操作准则:涉及资金、账户敏感操作,禁止通过任何二维码完成核验,必须手动输入官方域名登录官网办理业务;线下办事优先使用企业官方 APP 内置扫码功能,不使用手机相机扫描公共设施陌生二维码。

6 结论与攻击演化趋势预判

6.1 核心研究结论

第一,Quishing 二维码钓鱼依托图形信息隐藏特性突破传统文本钓鱼检测体系,线上 HTML 虚拟二维码、线下贴纸篡改是两类主流规避手段,近一年攻击规模涨幅显著,已成为政企移动端身份安全核心威胁;基于 ZDNet 报道的真实样本可归纳标准化风险识别指标,能够支撑自动化检测规则落地。

第二,单一防护手段存在明显短板,仅依靠邮件网关拦截无法覆盖线下实体二维码风险,仅依赖用户人工识别会受社会工程话术诱导失效,四层闭环纵深防御体系可实现线上线下全场景覆盖,技术检测与人员管控相互兜底。

第三,自动化检测代码可将人工识别标准转化为机器判定逻辑,HTML 虚拟二维码筛查、URL 域名风险校验两套脚本能够填补现有安全设备针对 Quishing 的检测空白,具备工程落地价值;短链接、拼写错误仿冒域名、高风险业务路径是判定恶意二维码的核心技术特征。

第四,生成式 AI 辅助黑产进一步降低 Quishing 攻击成本,AI 批量生成诱导话术、仿冒页面模板,未来攻击诱饵逼真度持续提升,单纯依靠用户安全意识无法长效抵御,必须以自动化技术防护为核心支撑。反网络钓鱼技术专家芦笛总结,二维码钓鱼的本质仍是传统凭证窃取钓鱼的载体变种,防护核心逻辑不变,但载体形态带来全新检测盲区,安全运营体系必须同步更新二维码专项检测能力。

6.2 Quishing 攻击演化趋势预判

规避检测技术持续迭代:HTML 表格虚拟二维码将演化出 CSS 像素绘图、SVG 矢量图形二维码等新型载体,进一步绕过邮件网关 OCR 识别,安全设备需同步升级图像渲染解析能力;

线下与线上攻击联动化:攻击者将线下篡改二维码跳转至钓鱼页面,页面内嵌新的钓鱼二维码,实现一次扫码触发二次载荷投放,形成连环诈骗链路;

移动端系统漏洞利用:恶意二维码嵌入特殊协议指令,利用手机系统漏洞静默安装木马,无需用户确认授权,大幅提升终端入侵成功率;

行业定向精准攻击扩张:针对金融、教育、政务、制造行业定制专属钓鱼话术,匹配行业特有业务场景,提升目标用户信任度,企业定向 Quishing 攻击占比将持续上升。

6.3 研究客观局限性

本文研究素材以 ZDNet 公开报道样本为核心,配套公开安全厂商监测数据,样本覆盖欧美企业线上钓鱼场景较多,国内线下实体篡改诈骗案例数据占比有限;自动化检测代码仅为概念验证版本,大规模企业部署需结合机器学习域名信誉模型、海量威胁情报库优化误报率;针对移动端系统底层漏洞的二维码攻击样本较少,相关防御方案仍需更多实战样本完善。后续可结合国内公安反诈公开案例扩充线下攻击样本,优化检测脚本的多维度风险加权模型,进一步完善全域防御体系。

结语

移动互联网普及背景下,二维码已渗透办公、消费、公共服务全场景,依托二维码载体演化的 Quishing 钓鱼攻击,凭借低门槛、高隐蔽、全渠道传播的特征快速扩张,对政企云账户安全、民众个人金融信息安全形成持续性威胁。ZDNet 专题报道完整展示了当前二维码钓鱼的主流诈骗套路与用户识别误区,为安全研究提供真实可溯源的攻击样本。

传统网络钓鱼防护体系聚焦文本链接、恶意附件,缺少针对图形载体的专项识别能力,存在显著安全盲区。本文构建的四层纵深防御体系,通过邮件网关自动化筛查、终端实时 URL 校验、线下场景常态化巡检、场景化人员安全培训形成闭环,配套两套可落地 Python 检测代码,同时区分线上电子、线下实体两类载体制定差异化识别与拦截策略,补齐现有防护方案实操性不足的短板。

黑灰产持续依托免费生成工具、生成式 AI 简化 Quishing 攻击制作流程,攻击技术迭代速度持续加快,企业安全运营不能仅依靠静态黑名单、一次性安全培训。安全团队需持续跟踪二维码钓鱼新型规避技术,迭代自动化检测规则,同步更新线下场景巡检规范,动态调整人员安全培训内容,持续缩小 Quishing 攻击面,构建适配移动端图形载体钓鱼威胁的长效身份安全防护机制。

编辑:芦笛(公共互联网反网络钓鱼工作组)

目录
相关文章
|
6天前
|
缓存 人工智能 安全
GPT-5.6 Terra与GPT-5.5性能实测:成本减半后的跑分对比与快速迁移指南
GPT-5.6 Terra 的定价为每百万 token 输入 2.50/输出 15。GPT-5.5 则是 5/ 30。Terra 的每一项费率,包括 $0.25/M 的缓存读取,都恰好是 GPT-5.5 的一半,因此在任何工作负载组合下,Terra 都固定 便宜 2.0x。以每天 10 万次请求、3K token 提示词计算,大约是 Terra 每天 2,000,GPT−5.5每天 4,000,即每月约 60,000对 120,000。问题在于:OpenAI 没有发布任何针对 Terra 的编码基准。那个著名的 91.9% Terminal-Bench 数字是 Sol 在 Ul
|
2天前
|
数据采集 机器学习/深度学习 人工智能
田间杂草定位与检测4200张YOLO智慧农业数据集分享
本数据集含4200张真实农田图像,YOLO格式,单类别(杂草)高质量标注,覆盖多作物、多光照、多生长阶段等复杂场景,专为智慧农业杂草检测与智能除草设备研发设计,支持YOLOv5/v8/v10等主流模型训练。
327 93
|
3天前
|
缓存 UED 开发者
Codex109天重置23次,明天还要再送一次
Codex近109天完成23次额度重置,7月14日将迎来第24次。Tibo高频响应用户反馈:优化GPT-5.6高消耗问题、补发失效福利、调整重置时间——形成“反馈→回应→修复→补偿”正向闭环,彰显以用户为中心的产品哲学。(239字)
505 11
|
6天前
|
人工智能 缓存 JSON
刚刚 GPT-5.6 发布,吊打 Claude 5 和 Grok 4.5?一手实测来啦!
GPT-5.6 刚发布,跑分号称超越 Fable 5,真的假的?附一手实测,让 3 个最强 AI 编程模型 GPT-5.6 Sol、Claude Fable 5、Grok 4.5 在 Cursor 里同时一把梭开发网页游戏,看看最新模型到底谁更能打。
340 0
|
6天前
|
存储 人工智能 JSON
Qwen 本地部署搭配 ComfyUI 生成 AI 漫剧完整实操指南(小白零基础可落地,零成本无限生成+角色一致性天花板)
2026全网最优本地漫剧流水线:零成本、离线运行、角色统一、低配(8G显卡)可跑。融合Qwen本地大模型+ComfyUI双引擎,实现剧本生成→分镜绘图→动态成片全自动,隐私安全、无审核限流,新手30分钟上手,日更无忧。(239字)