當(dāng)今時(shí)代，二維碼已經(jīng)滲透進(jìn)入生活中的各個(gè)方面。買完東西，二維碼掃一掃付款；想騎共享單車，二維碼掃一掃就可以了，通過掃描二維碼獲取信息已成為年輕群體日常生活消費(fèi)中重要的便捷方式。當(dāng)然，福兮禍兮，犯罪分子可不會(huì)放過這個(gè)幾乎人人都用的香餑餑。

早在五年前，就有犯罪分子利用二維碼實(shí)施盜取話費(fèi)、銀行卡款項(xiàng)轉(zhuǎn)賬等違法行為，相關(guān)新聞也層出不窮。可是五年過去了，消費(fèi)者仍然沒有對此引起足夠的重視，小編身邊隨意掃描二維碼的朋友比比皆是。道高一尺魔高一丈，犯罪分子嘔心瀝血想出新方法來欺騙受害者也著實(shí)讓人“佩服”。

研究人員最近發(fā)現(xiàn)了一項(xiàng)新的網(wǎng)絡(luò)釣魚活動(dòng)，該活動(dòng)利用二維碼將受害者重定向到網(wǎng)絡(luò)釣魚登陸頁面，有效規(guī)避了旨在阻止此類攻擊的安全解決方案和控制措施。針對法國的網(wǎng)絡(luò)釣魚攻擊背后的攻擊者使用二維碼編碼的URL來繞過分析和阻止可疑/黑名單域的安全軟件。

網(wǎng)絡(luò)釣魚電子郵件是一個(gè)名為“審核重要文檔”的SharePoint電子郵件，郵件正文是 “掃描二維碼以查看文檔”。
為了引誘受害者進(jìn)入他們的網(wǎng)絡(luò)釣魚登陸頁面，攻擊者還添加了一個(gè)包含二維碼的GIF圖像，掃描該二維碼后，受害者將被重定向到hxxps://digitizeyourart.whitmers[.]com/wp-content/plugins/wp-college/Sharepoint/sharepoint/index.php，大多數(shù)智能手機(jī)包含二維碼掃描功能的應(yīng)用程序會(huì)立即通過手機(jī)的本機(jī)瀏覽器將用戶重定向到惡意網(wǎng)站。

在智能手機(jī)上訪問SharePoint的假冒登錄頁面后，頁面上會(huì)顯示使用AOL、Microsoft或其選擇的其他類型帳戶登錄以查看文檔的選項(xiàng)。

雖然這聽起來像一個(gè)簡單的網(wǎng)絡(luò)釣魚，但其背后的策略可一點(diǎn)兒不簡單——讓用戶主動(dòng)放棄安全軟件，這樣網(wǎng)絡(luò)犯罪分子就能夠輕松地繞過目標(biāo)公司信息安全部門設(shè)置的任何鏈接保護(hù)服務(wù)、安全電子郵件網(wǎng)關(guān)、沙箱或Web內(nèi)容過濾器。
由于二維碼發(fā)布沒有任何限制，二維碼生成器又隨時(shí)可從網(wǎng)上獲得，因此很容易被一些不法分子利用，發(fā)布虛假信息進(jìn)行欺詐。掃碼、開鎖、上車走人，隨時(shí)隨地都能騎走的共享單車，給人們生活帶來方便的同時(shí)，也被一些騙子悄悄盯上了。前段時(shí)間，鄭州街頭巷尾出現(xiàn)“釣魚二維碼”，用戶手機(jī)掃描后，或被要求直接轉(zhuǎn)賬，或被誘導(dǎo)關(guān)注一些陌生人及微信公眾號(hào)，用戶資金面臨被盜刷的風(fēng)險(xiǎn)。

除了共享單車，日常生活中還有很多常見物品都慘遭“釣魚二維碼”毒手，比如淘寶、微信聊天等，去年就有一位IT高管掃了“快遞員”給的二維碼后，被轉(zhuǎn)走存款222萬元，真的是太慘了。


目前二維碼騙局主要包括三種形式：

一是收款二維碼。騙子在正規(guī)二維碼旁邊貼上微信或支付寶轉(zhuǎn)賬二維碼，甚至破壞原有二維碼，直接粘貼騙子收款的二維碼。用戶一旦沒有辨別清楚掃到假的二維碼，就會(huì)跳轉(zhuǎn)至轉(zhuǎn)賬界面。同時(shí)，騙子還常常將自己的收款頭像設(shè)置成品牌logo，極具迷惑性。

二是釣魚網(wǎng)站騙信息。直接轉(zhuǎn)賬容易被警惕性高的用戶察覺出貓膩，有些騙子制作出高仿官方網(wǎng)站的釣魚頁面，以完善身份認(rèn)證等名義誘騙用戶主動(dòng)填寫個(gè)人身份信息和銀行卡資料，從而進(jìn)一步實(shí)施精準(zhǔn)詐騙甚至盜刷網(wǎng)銀。

三是山寨App藏木馬。以共享單車為例，租用共享單車必須使用租車App，騙子就設(shè)計(jì)了假租車App二維碼粘貼在單車上，提示用戶“更新”。用戶掃碼后看似安裝了租車軟件，其實(shí)手機(jī)卻被植入了木馬。

由于肉眼無法辨別二維碼真?zhèn)?手機(jī)用戶在掃碼時(shí)一定要慎之又慎，最最重要的就是千萬不要見碼就掃。

以上內(nèi)容由四川無國界(warmw001.com.cn) 整理編輯——專業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風(fēng)險(xiǎn)管理咨詢服務(wù)。