诈骗者如何利用二维码进行钓鱼攻击及该如何防范

在日常生活里，二维码已然是极为便捷的工具。无论是访问网站、登录支付平台，还是查看数字菜单，用户只需轻松一扫就能搞定。但随着二维码的广泛应用，网络犯罪分子也盯上了这块 “肥肉”。其中，一种名为 “二维码钓鱼”（也叫 “quishing”）的攻击手段，虽说不是新出现的，可当下正愈发猖獗。此类攻击会诱导用户扫描恶意二维码，进而实现窃取个人信息、植入恶意软件，或者将用户导向诈骗网站等恶劣行径。

二维码钓鱼的运作方式

网络犯罪分子实施诈骗的手段多种多样。最常见的方式之一，是在合法的二维码上覆盖假二维码。这种情况经常出现在餐厅、停车计费器等公共场所，这些地方一般都会使用二维码来为用户提供服务。当用户不小心扫描了假二维码，就可能被引导至一个看似正规，但实际上是专门用来窃取登录凭证、财务信息或其他敏感数据的网站。例如，在一些餐厅，不法分子趁人不注意，在原本用于点餐的二维码上，贴上自己制作的假二维码，顾客扫码后，页面可能跳转到一个仿冒餐厅点餐系统的网站，输入的支付信息就会被犯罪分子获取。

另外，犯罪分子还会通过电子邮件或短信发送二维码，并且声称这些二维码来自银行、快递服务或技术支持团队等让人信任的机构。这类信息往往会营造出一种紧迫感，比如告知用户账户已被入侵，或者需要立即验证支付等。一旦用户扫描了这些二维码，就会在毫无察觉的情况下，将自己的私人信息拱手送给黑客。比如收到一条看似来自银行的短信，称账户存在异常，需要扫描附带的二维码进行验证，用户一旦扫描，输入的账号密码等信息就会被黑客窃取。

据二维码生成工具 Online QR Code 表示，二维码有多种类型，而几乎每种类型都有可能被诈骗者利用。这也就意味着，不管二维码是出现在海报、电子邮件中，还是看似正式的文件上，只要来源没有经过核实，就存在着巨大的风险。

为何二维码钓鱼如此有效

二维码钓鱼之所以屡试不爽，根源在于二维码不会即时展现其指向的链接。有别于传统链接，用户无法通过鼠标悬停预览其 URL，一旦扫描二维码，便会径直被导向目标网站，全程毫无预警。加之大多数二维码扫描行为发生在移动设备上，这无疑为诈骗分子创造了更多可乘之机，让他们得以悄然得手。

再者，二维码作为合法企业及组织广泛运用的工具，深受大众信赖。诈骗分子正是利用了这份信任，将恶意二维码巧妙安置在人们通常不会质疑其真实性的场所。正因如此，美国联邦调查局（FBI）不得不发出针对二维码钓鱼的郑重警告。

如何防范二维码钓鱼

目前二维码钓鱼威胁日益增加，但通过龙名网为您整理的以下几个简单步骤，我们也可以有效地保护自己：

一、扫描前核实——在公共场所看到二维码时，检查其是否有被篡改的迹象。如果发现二维码上贴有其他标签，请避免扫描。

二、预览URL——部分智能手机摄像头和二维码扫描应用允许用户在打开链接前预览URL。如果URL看起来可疑或与预期目的地不匹配，切勿继续操作。

三、避免扫描来自邮件或短信的二维码——对于通过电子邮件或短信发送的二维码，尤其是未经请求或带有紧急信息的，需保持警惕。建议手动输入官方网站地址，而非直接扫描二维码。

四、使用具有安全功能的二维码扫描器——部分安全应用和二维码扫描器内置保护功能，可以检测并警告用户恶意链接。

五、检查HTTPS和官方域名——如果你扫描了二维码，在输入任何个人信息前，请仔细检查URL。合法网站应在地址中包含“https”，且域名应与公司的官方网站一致。

六、对未经请求的二维码保持怀疑——如果收到的二维码声称提供奖品、折扣或紧急安全警报，需持怀疑态度。诈骗者常利用这些策略引诱受害者扫描。

七、保持手机安全更新——确保手机操作系统和安全软件保持最新状态，这有助于防范来自恶意网站的恶意软件感染。

在当下，二维码已然深度融入营销、支付以及日常互动等诸多领域，短期内不会退出历史舞台，已然成为我们生活中不可或缺的重要工具。然而，如同电子邮件钓鱼及其他网络安全威胁一般，我们必须时刻提高警惕，这是保障自身安全的关键所在。只需在扫描二维码前，多花费短短几秒钟核实其来源，就能切实有效地规避成为日益复杂的诈骗行为受害者的风险。

声明:本文系作者授权龙名社区发表，未经许可，不得转载。

如有侵权，请联系平台删除。