如何防范Quishing或二维码诈骗
这个月,您可能已经不假思索地扫描了数十个二维码——在餐厅、停车计时器,或许还有收银台的支付终端。这种不加思索的信任正是诈骗分子当前正在利用的,而相关数据令人无法忽视。
二维码钓鱼(俗称"Quishing")在2022年至2023年间激增587%,2025年又飙升了25%,已有超过2600万美国人因此被引导至恶意网站。更令人不安的是:仅有39%的消费者能在为时已晚之前准确识别出受感染的二维码,这意味着绝大多数人扫描时完全处于"盲扫"状态。
那么,究竟发生了什么?攻击者是如何得逞的?我们又能采取哪些防范措施?让我们来详细分析。
"Quishing"(QR + phishing)是指将危险链接隐藏在二维码中,从而将用户重定向至虚假网站、窃取凭证或安装恶意软件的行为。不妨将其视为一种经典的二维码攻击——只不过它被包装成一种人眼无法直接解码的格式。
这正是二维码安全性的核心问题:与电子邮件中可悬停预览的常规链接不同,二维码在浏览器加载目标页面之前不会显示任何信息。既没有拼写错误的域名可供察觉,也没有可疑的锚文本可供注意。二维码的危险性是设计使然的隐形威胁——这也正是"二维码钓鱼"相较于传统诈骗手段更为有效的关键所在。
正因如此,在2024至2025年间,22%的钓鱼攻击都采用了二维码。它们能绕过大多数自动邮件过滤器,因为安全工具无法读取图片中编码的URL。
全面了解二维码威胁态势,有助于您在成为受害者之前识别威胁。以下是2025年最常见的攻击模式。
最普遍的实体攻击手段是将伪造的二维码贴纸直接覆盖在合法二维码上——例如停车计时器、餐厅餐桌、交通标识或零售展示架上。您以为自己正在打开地图链接或在支付终端付款,实际上您的卡片信息正直接流向诈骗者的伪造门户。只需进行简单的目视检查——确认二维码是否平整或是否有层叠痕迹——就能完全避免此类风险。
由于人们通常使用手机扫描二维码,其中嵌入的URL能绕过防火墙和终端URL拦截器等桌面安全工具。这使得通过电子邮件进行的二维码攻击特别有效。这类邮件看似来自微软、您的银行或公司IT部门——配有完整标识和专业排版。
值得注意的是,27%的此类钓鱼攻击会使用伪造的多因素身份验证提示:"您的会话已过期——请扫描以重新验证。"这种紧迫感正是为了让你来不及多加思考。
这是扫描二维码时常被忽视的隐患之一:仅在2024年年中,就检测到50万封带有嵌入PDF附件中二维码的钓鱼邮件。这些文档看似合法——可能是发票、福利单或送货通知——而其中的二维码则看似便捷的快捷方式。美国联邦贸易委员会(FTC)还指出,实体邮件诈骗呈激增态势,其中含有二维码的恶意软件链接被印在伪造的包裹单或公用事业账单上。
"二维码钓鱼"网络安全威胁的最新演变趋势令人担忧,即利用AI生成的钓鱼页面,其逼真程度几乎与真实页面无异。攻击者如今能在数分钟内生成令人信服的虚假预订或PayPal登录页面,针对特定目标量身定制,不仅品牌标识逼真,文案内容也经过个性化处理。这使得个人和组织防范二维码欺诈的难度大幅增加。
但威胁远不止于虚假登录页面。如今,AI已被应用于攻击流程的每个阶段——从目标选择、攻击交付到规避检测。
其实际影响显而易见:曾经帮助人们识别诈骗的视觉和上下文线索正变得不可靠。如今,对来源的怀疑——而不仅仅是外观——已成为更重要的过滤标准。
二维码的安全风险分布并不均匀。某些行业因其二维码的使用性质及所处理数据的价值,面临着显著更高的风险暴露。
| 行业 | 为何成为目标 | 常见攻击途径 |
|---|---|---|
| 金融与银行业 | 高价值凭证、支付数据 | 伪造的银行应用登录页面、带有凭证窃取功能的伪造PayPal/Venmo门户 |
| 医疗 | 敏感患者数据、老旧系统 | 通过电子邮件发送的伪造患者表格、打印版入院文件上的二维码 |
| 教育 | 用户基数庞大,安全意识薄弱 | 校园内伪造的Wi-Fi登录页面、PDF课程材料中的二维码 |
| 零售与电子商务 | 支付处理,客流量大 | 在正规支付终端上张贴诈骗贴纸,虚假折扣或会员预订码 |
| 餐饮与旅游 | 二维码使用率高,公共场所广泛设置 | 菜单上的二维码被替换为虚假点餐页面,大堂内出现虚假Wi-Fi登录页面 |
| 政府 | 利用公众信任 | 伪造许可申请表、冒充官方网站伪造的税务缴纳门户 |
| 物流 | 包裹配送的紧迫性 | 通过短信发送的虚假追踪链接、伪造送货单上的二维码 |
| 房地产 | 大额交易 | 虚假房产挂牌页面、欺诈性文件签署表单,伴随凭证盗窃 |
零售业员工在识别二维码恶意活动方面的漏检率最高,而金融、制造和医疗保健行业则始终是受攻击最严重的领域。值得注意的是,医疗保健领域中二维码的安全问题后果尤为严重——患者数据、保险凭证和内部系统都面临风险。
无论您是个人用户、企业主,还是负责制作包含二维码的营销材料,以下实用指南都能助您保障安全。
大多数现代智能手机在扫描后会立即显示目标链接,此时浏览器尚未加载任何内容。这十秒钟的习惯是二维码安全的基础——请务必坚持。
检查网址时,请注意:
使用安全的二维码扫描应用——而非仅依赖手机的默认相机。专业的二维码安全检测工具会在打开任何链接前标记已知的恶意域名,为您提供真正的防护层,而不仅仅是便利。
在人流量大的场所,篡改检测是一个切实的隐患。在公共场所扫描前,请仔细观察:二维码是否与表面齐平,还是略微凸起?边缘是否整齐,还是看起来像是贴在其他物体上的贴纸?
这一点在停车收费机、交通枢纽以及涉及二维码支付安全的任何场所尤为重要——这些正是诈骗分子最常盯上的目标,因为紧迫感和分心会助长他们的气焰。
这是二维码钓鱼造成最大危害的领域。正规公司——银行、软件供应商、人力资源部门——绝不会通过电子邮件要求您扫描二维码来验证身份或重置密码。若收到此类信息,请手动输入网址直接访问该公司的官方网站。
无论二维码看起来多么正式,都不要扫描你意料之外的PDF 或 附件图片中的二维码。这同样适用于WhatsApp转发消息和短信——利用二维码的黑客早已将攻击范围扩展到了电子邮件之外。
并非所有扫描应用都能提供同等水平的保护。普通相机仅能读取图案——而最安全的二维码扫描器会实时将目标网址与威胁数据库进行交叉比对。请选择明确提供二维码阅读安全功能的应用:网址预览、恶意软件检测以及域名信誉检查。
在采取行动前验证二维码,是您能养成的最有效的习惯。如果某个应用在打开链接前不显示链接内容,请寻找能显示链接的应用。
人非圣贤,孰能无过——以下是减轻损失的方法。立即断开Wi-Fi和移动数据连接,切断与攻击者服务器的通信。使用可信的移动安全应用进行扫描。修改扫描后输入的任何密码,优先处理金融和工作账户。检查应用商店的安装记录,查找陌生应用,撤销未知权限,若涉及支付信息,请立即联系银行。
如果您的组织在营销使用二维码活动、电子商务流程、房地产列表、医疗保健登记表或餐厅菜单中使用二维码,那么保护二维码是您对用户应尽的责任之一。
针对企业的有效二维码安全措施包括:使用带有贵公司徽标和品牌颜色的定制化二维码(此类二维码更难被逼真伪造);向用户明确说明扫描后应显示的内容;以及定期检查面向公众的二维码是否存在篡改迹象。
除此之外,二维码生成器的安全性选择也至关重要。最安全的二维码生成器会在生成时对目标网址进行审核——在二维码上线前,就屏蔽恶意链接、垃圾信息和违规内容。Me-QR 正是如此:通过该服务生成的每个动态二维码都会自动检查是否含有恶意软件、钓鱼内容及政策违规情况,因此您和您的客户都不会因您自己的材料而面临二维码安全风险。
使用二维码的危险并非源于技术本身——而是取决于二维码指向何处,以及您是否愿意进行核查。保障安全并非要您避开二维码,而是要在扫描前知道该注意什么。
核对网址。检查二维码本体。使用能自动验证的二维码安全扫描工具。这些二维码诈骗背后的骗子正指望人们"自动驾驶"。而统计数据显示,他们的判断是正确的——仍有61%的人在扫描时不检查二维码指向何处。这个数字正是实际存在的漏洞。堵住这个漏洞,您就已经做得比大多数人更多了。
这篇文章有帮助吗?
点击星星进行评分!
感谢您的投票!
平均评分: 5/5 投票: 2
成为第一个评价此帖的人!
使用我们的免费QR生成器创建代码。可理解的界面,选择QR代码类型的多样性,可以查看统计信息的能力!
下载我们的应用
现在,它很容易创建和扫描QR码!
使用我们的免费QR生成器创建代码。可理解的界面,选择QR代码类型的多样性,可以查看统计信息的能力!
下载我们的应用
现在,它很容易创建和扫描QR码!
Copyright © 2018- Me-Team
