你在不假思索的情况下会不会常常扫描二维码呢?可要知道,这个看似无害的决定可能让你陷入数字领域中日益增长的威胁之中。
数字时代
二维码,即快速响应码,在我们这个数字时代已经变得非常关键,变得异常受欢迎。它们最初是为了工业跟踪而设计的,但由于其使用简便性,已经成为信息共享的首选工具。随着智能手机时代数字支付的普及,二维码在促进交易和迅速获取信息方面变得愈发普及。
网络攻击
我们通常分两种二维码:动态二维码,可以随时更新但也容易受到网络攻击;静态二维码,保持不变但可能成为网络犯罪分子的目标。当我们深入了解二维码的世界时,了解它们的特性和潜在风险变得至关重要,揭示了伴随其广泛普及的更为阴暗的一面。
一、那么,什么是二维码网络钓鱼攻击呢?
网络犯罪分子利用二维码进行网络钓鱼,也被称为Quishing。这是一种利用二维码欺骗用户提供敏感信息或下载恶意内容的网络攻击类型。他们制作逼真的二维码,运用社交工程学,并利用二维码阅读器应用程序的漏洞。
二维码网络钓鱼攻击
二、与常见的网络钓鱼攻击相比,Quishing攻击有何不同呢?
网络钓鱼攻击采用欺骗性手段,试图欺骗个人透露用户名、密码或财务详细信息。这些攻击通过看似可信赖的渠道,如电子邮件或即时消息,模仿声望良好的实体,其主要目标是未经授权的访问或盗窃。
而Quishing攻击则是对传统网络钓鱼方案的微妙变化。攻击者使用二维码进行轻松分发,比如通过印刷材料或电子邮件,充分利用它们能够融入日常生活的特点。这种方法为迅速将用户引导到欺诈站点提供了一种迅速而伪装的手段,用户可能在那里不知不觉地泄露敏感信息。攻击者从二维码的广泛使用和受信任性中获益,利用了用户通常对底层URL的审查不足。
Quishing攻击
三、攻击的过程可以逐步分解如下:
① 制作恶意二维码:网络犯罪分子设计外观合法的二维码,将用户重定向到欺诈网站或促使其下载恶意内容。
② 使用社交工程技术:钓鱼者通常使用有说服力的消息来操纵用户扫描恶意二维码。这些消息可能承诺奖励、折扣或紧急警报,以制造紧急感或兴奋感。
③ 分发渠道:恶意二维码通过各种渠道传播,包括钓鱼电子邮件、虚假广告,甚至是物理物品,如海报和传单,从而在在线和离线空间利用毫无防备的受害者。
④ 伪装技术:恶意二维码通常被制作成在视觉上与合法二维码难以区分,攻击者利用伪装技术,模仿品牌、标志和设计元素来欺骗用户,充分利用在真伪二维码之间区分的挑战。
⑤ 重定向到欺诈性网站:一旦扫描了二维码,受害者将被重定向到模仿合法站点的伪站点,引导他们输入用户名和密码,或者财务详细信息。
⑥ 下载恶意内容:在某些情况下,扫描恶意二维码可能会启动将恶意软件下载到用户设备上,危害安全,可能导致进一步的网络攻击。
⑦ 数据收集和身份盗窃:钓鱼者收集受害者在伪站点上输入的信息,导致身份盗窃、财务损失或对个人账户的未经授权访问。
四、还有一些现实生活中的例子:
2022年2月,在亚特兰大,驾驶员发现他们的车上有带有二维码的假停车罚单。当地政府发现后,立即提醒居民,强调亚特兰大真正的停车罚单不包含二维码。
同年,在中国发生了一场二维码网络钓鱼攻击活动,假冒中国财政部,引诱用户使用虚假的政府拨款申请。受害者被指示使用微信应用程序扫描电子邮件附件中的二维码。扫描后,用户被引导到一个欺诈页面,在那里他们无意间透露了详细的信用卡和银行账户信息,伪装成申请不存在的拨款。
那么,如何保护自己免受二维码诈骗呢?
① 保持智能手机操作系统和安全功能更新到最新版本。
② 启用多因素身份验证,为个人信息提供额外的安全层。
③ 在电子邮件中遇到二维码时要谨慎,因为它们可能被用于网络钓鱼尝试。
④ 使用可信的安全软件通过网络过滤以阻止恶意网站和潜在威胁。
⑤ 通过威胁情报来源及时了解与二维码诈骗相关的新威胁。
