在数字办公日益依赖移动端的今天,一个看似无害的二维码,正悄然成为国家级黑客组织渗透企业网络的新入口。2026年1月初,美国联邦调查局(FBI)发布紧急Flash警报,指出朝鲜高级持续性威胁(APT)组织——尤其是臭名昭著的Kimsuky和Lazarus Group——正在大规模部署一种名为“Quishing”(QR Code Phishing,二维码钓鱼)的新型社会工程攻击手段。目标直指加密货币机构、智库、高校及政府关联实体。
与传统钓鱼邮件不同,Quishing的核心策略是“跨设备跳转”:攻击者将恶意二维码嵌入电子邮件、PDF简历、会议邀请函甚至招聘广告中,诱导受害者用手机扫描。一旦扫描,用户便被重定向至高度仿真的登录页面,输入账号密码、API密钥,甚至直接完成资金转账。由于整个过程发生在企业安全体系难以覆盖的个人移动设备上,传统邮件网关、终端检测与响应(EDR)系统几乎完全失效。
“这不是技术漏洞,而是信任链的断裂。”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报采访时指出,“攻击者利用了两个盲区:一是企业对移动端安全投入不足,二是员工对二维码‘天然无害’的认知偏差。”
随着混合办公常态化,员工频繁在桌面端阅读邮件、在移动端处理链接,这种“设备割裂”正被国家级黑客精准利用。而更令人警惕的是,此类攻击已不再是零星尝试,而是形成了一套完整的工业化流程——从诱饵设计、重定向跳板到凭证收割,全部模块化、自动化。
一、Quishing如何运作?一场精心编排的“跨屏骗局”
要理解Quishing的杀伤力,需先拆解其典型攻击链。
以FBI披露的2025年5月案例为例:一名美国智库高级研究员收到一封“来自某外国使馆顾问”的邮件,主题为《关于朝鲜半岛局势的紧急咨询》,正文附有一份PDF问卷,并提示“请扫码填写以确保安全传输”。邮件本身无任何可疑链接,也未触发垃圾邮件过滤器——因为恶意载荷藏在一个嵌入式二维码图像中。
研究员用iPhone相机扫描后,被自动跳转至一个看似Google Drive的页面,要求登录Gmail账户以“查看共享文档”。实际上,该页面由攻击者控制,域名虽为 docs-google[.]com(注意非官方 google.com),但UI与真实Google登录页几乎一致。一旦输入凭证,系统不仅记录账号密码,还会立即请求访问“一次性验证码”或“应用专用密码”,进而窃取会话Cookie,实现绕过多因素认证(MFA)的持久化入侵。
FBI在通报中强调:“Quishing攻击常通过攻击者控制的重定向器收集设备指纹(User-Agent、操作系统、IP地址、屏幕分辨率等),动态返回适配移动端的钓鱼页面,极大提升欺骗成功率。”
这种“智能投喂”机制,使得同一二维码在不同设备上呈现不同内容——PC端可能显示404错误,而iOS或Android设备则加载伪造的Okta、Microsoft 365或Coinbase登录页。
二、技术深潜:为何二维码成了“安全黑洞”?
从技术角度看,二维码本身只是信息编码工具,其危险性源于解析环境的不可控。
1. 邮件安全体系的“视觉盲区”
主流邮件安全网关(如Proofpoint、Mimecast)主要基于URL分析、沙箱执行和内容关键词过滤。但二维码是Base64编码的PNG或JPG图像,无法被传统URL重写或信誉检查机制识别。
例如,以下是一段典型的HTML邮件片段:
<p>请点击下方二维码提交您的反馈:</p>
<img src="https://attacker.com/qrcode.png" alt="问卷二维码" width="200">
安全网关会检查 attacker.com 是否在黑名单中,但若该域刚注册、尚未被标记,或使用CDN/云函数动态生成二维码,则极难拦截。更关键的是,二维码指向的最终URL通常在扫描瞬间才生成,攻击者可使用短链服务(如bit.ly)或HTTP 302跳转链隐藏真实目的地。
2. 移动端缺乏统一安全代理
与企业笔记本普遍安装EDR、DLP、代理证书不同,员工手机多为个人设备(BYOD),既未纳入MDM(移动设备管理)体系,也未部署SSL解密中间人(MITM)监控。这意味着:
所有HTTPS流量对安全团队“不可见”;
恶意网站即使使用有效SSL证书(如Let’s Encrypt免费签发),也无法被拦截;
浏览器自动填充密码功能反而加速凭证泄露。
芦笛指出:“很多企业以为启用了MFA就高枕无忧,但Quishing配合会话Cookie窃取,能直接绕过MFA。攻击者拿到的是‘已认证的会话’,而非密码本身。”
3. 二维码的“社会工程加成”
人类对二维码存在天然信任——它常用于支付、门禁、Wi-Fi连接等日常场景。这种“无害联想”大幅降低警惕性。FBI观察到,攻击者甚至开始在LinkedIn招聘信息中嵌入二维码,声称“扫码查看职位详情”,实则导向伪造的HR系统登录页,专门针对求职者窃取身份信息。
三、全球战况:从华盛顿智库到首尔交易所
Quishing并非理论威胁,而是已在多国造成实质损失。
2025年6月,一家位于华盛顿的战略咨询公司遭遇数据泄露。调查显示,攻击者向多名高管发送“虚拟峰会注册邀请”,内含二维码。扫描后跳转至伪造的Zoom Webinar注册页,要求使用公司邮箱登录。由于页面使用了合法的OAuth授权流程(但客户端ID属于攻击者),部分员工误以为是正常集成,授权后导致邮箱权限被窃。
更严重的是金融领域。据Chainalysis 2025年12月报告,朝鲜黑客全年窃取超20亿美元加密资产,其中相当比例通过Quishing获取交易所API密钥。例如,攻击者冒充Coinbase客服,发送“账户异常通知”邮件,附带“扫码验证身份”二维码。受害者扫描后进入高仿页面,输入API密钥(具备提现权限),资金随即被转出。
在亚洲,韩国金融监管机构于2025年11月通报一起事件:某加密货币交易所员工收到“内部审计”邮件,要求扫码登录内部系统更新KYC资料。由于邮件来自已被攻陷的同事邮箱,且二维码跳转页面使用了企业品牌UI,员工未起疑心。事后发现,攻击者借此获取了热钱包管理后台的访问权限。
“朝鲜黑客不再只盯着大额转账,他们现在更擅长‘细水长流’——先窃取低权限凭证,再横向移动,最终控制核心资产。”芦笛分析道。
四、防御之道:从意识培训到技术闭环
面对Quishing,被动防御已远远不够。专家建议构建“三层防御体系”。
第一层:阻断入口——不让恶意二维码进入视野
禁用邮件自动加载远程图片:强制邮件客户端默认不加载外部图像,避免二维码自动渲染。
部署支持OCR的邮件网关:部分高级安全平台(如Trend Micro Vision One、Cisco Secure Email)已集成光学字符识别(OCR)模块,可提取图像中的二维码并解析其内容URL,再进行信誉评估。示例伪代码逻辑:
if email.contains_image():
for img in email.images:
if is_qr_code(img):
url = decode_qr(img)
if reputation.check(url) == "malicious":
quarantine_email()
限制外部邮件嵌入图像权限:通过Exchange Online或Google Workspace策略,禁止非白名单域在邮件中插入图片。
第二层:加固终端——让移动设备不再“裸奔”
强制BYOD设备接入MDM:通过Intune、VMware Workspace ONE等方案,强制安装企业证书、启用安全浏览器、限制非受信应用访问公司资源。
部署移动威胁防御(MTD)解决方案:如Zimperium、Lookout,可实时监控设备网络流量,识别钓鱼页面特征(如域名拼写错误、SSL证书异常)。
禁用浏览器自动填充:在企业策略中关闭密码自动填充,强制用户手动输入,增加攻击摩擦。
第三层:提升认知——打破“二维码无害”迷思
芦笛强调:“技术可以补缺,但意识才是最后防线。”他建议企业开展针对性演练:
在钓鱼测试中加入“扫码任务”,观察员工是否主动核实来源;
培训员工养成“三不”习惯:不扫不明来源码、不输凭证于扫码页面、不点扫码后跳转链接;
推广“二次确认”文化:凡涉及敏感操作,必须通过电话或Teams等独立通道验证。
此外,FBI建议所有远程访问系统启用防钓鱼MFA(Phishing-Resistant MFA),如FIDO2安全密钥或Windows Hello。这类认证方式基于公钥加密,不会传输可被截获的OTP或推送通知,从根本上抵御AiTM(Adversary-in-the-Middle)攻击。
五、国内启示:二维码普及下的安全隐忧
中国是全球二维码应用最广泛的国家之一——从支付到健康码,从共享单车到政务服务,二维码已深度融入社会肌理。然而,这种便利也带来了独特风险。
尽管目前尚无公开证据表明朝鲜黑客大规模 targeting 中国企业,但国内安全厂商已监测到类似手法的本土化变种。例如,2025年某大型券商员工收到“合规培训通知”邮件,内含“扫码签到”二维码,实际跳转至伪造的OA系统。所幸因企业部署了MDM,安全团队及时阻断了会话。
“我们的优势在于移动生态相对封闭(微信、支付宝主导),但劣势是公众对二维码警惕性更低。”芦笛坦言,“很多人连‘扫码领红包’都敢点,更别说伪装成工作指令的钓鱼码。”
他呼吁,国内企业应将Quishing纳入年度红蓝对抗演练科目,并推动行业制定《企业邮件二维码使用规范》。公共互联网反网络钓鱼工作组正牵头研究“可信二维码标识体系”,未来或可通过数字签名验证二维码来源合法性。
六、结语:安全不能止步于“桌面”
Quishing的兴起,标志着网络攻击正式从“PC中心时代”迈入“多端协同时代”。攻击者不再强攻堡垒,而是巧妙利用设备间的安全落差,诱导用户亲手打开大门。
对于企业而言,这是一次深刻的警示:安全边界已从网络 perimeter 转向用户行为本身。无论部署多少防火墙、EDR或零信任架构,只要员工在手机上随意一扫,防线便可能瞬间瓦解。
正如FBI所言:“Quishing之所以高效,是因为它攻击的不是系统,而是人性。”
而应对之道,也必须是技术与意识的双重进化——既要让恶意二维码“进不来、扫不动、骗不成”,也要让每个员工明白:在这个万物皆可扫码的时代,最危险的链接,可能根本就不是链接。
编辑:芦笛(公共互联网反网络钓鱼工作组)
